Produkteigenschaften

Sicherheitsgeräte entwickeln sich ständig weiter

Die nächste Generation von Netzwerksicherheitsimplementierungen entwickelt sich weiter und vollzieht einen architektonischen Wandel von Backup- zu Inline-Implementierungen.Mit dem Beginn der 5G-Implementierung und dem exponentiellen Anstieg der Anzahl angeschlossener Geräte besteht für Unternehmen ein dringender Bedarf, die für Sicherheitsimplementierungen verwendete Architektur zu überdenken und zu ändern.5G-Durchsatz- und Latenzanforderungen verändern Zugangsnetze und erfordern gleichzeitig zusätzliche Sicherheit.Diese Entwicklung führt zu den folgenden Veränderungen in der Netzwerksicherheit.

1. Höhere L2- (MACSec) und L3-Sicherheitsdurchsätze.

2. die Notwendigkeit einer richtlinienbasierten Analyse auf der Edge-/Zugriffsseite

3. Anwendungsbasierte Sicherheit, die einen höheren Durchsatz und eine höhere Konnektivität erfordert.

4. der Einsatz von KI und maschinellem Lernen für prädiktive Analysen und Malware-Identifizierung

5. die Implementierung neuer kryptografischer Algorithmen, die die Entwicklung der Post-Quantum-Kryptografie (QPC) vorantreiben.

Neben den oben genannten Anforderungen werden zunehmend Netzwerktechnologien wie SD-WAN und 5G-UPF eingesetzt, was die Implementierung von Network Slicing, mehr VPN-Kanälen und eine tiefere Paketklassifizierung erfordert.In der aktuellen Generation von Netzwerksicherheitsimplementierungen wird die Anwendungssicherheit größtenteils mithilfe von Software verwaltet, die auf der CPU ausgeführt wird.Während die CPU-Leistung im Hinblick auf die Anzahl der Kerne und die Rechenleistung zugenommen hat, können die steigenden Durchsatzanforderungen immer noch nicht durch eine reine Software-Implementierung gelöst werden.

Richtlinienbasierte Anforderungen an die Anwendungssicherheit ändern sich ständig, sodass die meisten verfügbaren Standardlösungen nur einen festen Satz an Verkehrsheadern und Verschlüsselungsprotokollen verarbeiten können.Aufgrund dieser Einschränkungen von Software und festen ASIC-basierten Implementierungen bietet programmierbare und flexible Hardware die perfekte Lösung für die Implementierung richtlinienbasierter Anwendungssicherheit und löst die Latenzprobleme anderer programmierbarer NPU-basierter Architekturen.

Der flexible SoC verfügt über eine vollständig gehärtete Netzwerkschnittstelle, kryptografische IP sowie programmierbare Logik und Speicher, um Millionen von Richtlinienregeln durch zustandsbehaftete Anwendungsverarbeitung wie TLS und Suchmaschinen für reguläre Ausdrücke zu implementieren.

Adaptive Geräte sind die ideale Wahl

Der Einsatz von Xilinx-Geräten in Sicherheitsgeräten der nächsten Generation behebt nicht nur Durchsatz- und Latenzprobleme, sondern bietet auch weitere Vorteile, darunter die Ermöglichung neuer Technologien wie Modelle für maschinelles Lernen, Secure Access Service Edge (SASE) und Post-Quanten-Verschlüsselung.

Xilinx-Geräte bieten die ideale Plattform für die Hardwarebeschleunigung dieser Technologien, da Leistungsanforderungen nicht mit reinen Software-Implementierungen erfüllt werden können.Xilinx entwickelt und aktualisiert kontinuierlich IP, Tools, Software und Referenzdesigns für bestehende und zukünftige Netzwerksicherheitslösungen.

Darüber hinaus bieten Xilinx-Geräte branchenführende Speicherarchitekturen mit Flow-Klassifizierung und Soft-Search-IP, was sie zur besten Wahl für Netzwerksicherheits- und Firewall-Anwendungen macht.

Verwendung von FPGAs als Verkehrsprozessoren für die Netzwerksicherheit

Der Datenverkehr zu und von Sicherheitsgeräten (Firewalls) wird auf mehreren Ebenen verschlüsselt, und die L2-Verschlüsselung/-Entschlüsselung (MACSec) wird an den Netzwerkknoten der Verbindungsschicht (L2) (Switches und Router) verarbeitet.Die Verarbeitung über L2 (MAC-Schicht) hinaus umfasst typischerweise tieferes Parsen, L3-Tunnel-Entschlüsselung (IPSec) und verschlüsselten SSL-Verkehr mit TCP/UDP-Verkehr.Die Paketverarbeitung umfasst das Parsen und Klassifizieren eingehender Pakete sowie die Verarbeitung großer Verkehrsmengen (1–20 Mio.) mit hohem Durchsatz (25–400 Gbit/s).

Aufgrund der großen Anzahl erforderlicher Rechenressourcen (Kerne) können NPUs für eine relativ schnellere Paketverarbeitung verwendet werden, eine skalierbare Datenverkehrsverarbeitung mit geringer Latenz und hoher Leistung ist jedoch nicht möglich, da der Datenverkehr mithilfe von MIPS/RISC-Kernen und der Planung solcher Kerne verarbeitet wird basierend auf ihrer Verfügbarkeit ist schwierig.Durch den Einsatz von FPGA-basierten Sicherheits-Appliances können diese Einschränkungen CPU- und NPU-basierter Architekturen effektiv beseitigt werden.