Tin tức Napatech

Giới thiệu giải pháp Security Offload của Napatech

Đăng vào bởi editor
07
Th1

Giải pháp Napatech Infrastructure Processing Unit (IPU) tối đa hóa hiệu suất bảo mật của trung tâm dữ liệu dựa trên mã hóa Transport Layer Security (TLS)

Trong các trung tâm dữ liệu đám mây và doanh nghiệp, mã hóa Transport Layer Security (TLS) được sử dụng để đảm bảo tính bảo mật, tính bí mật và tính toàn vẹn của dữ liệu. Nó cung cấp một kênh truyền thông an toàn giữa các máy chủ qua mạng trung tâm dữ liệu, đảm bảo rằng dữ liệu được trao đổi giữa chúng vẫn riêng tư và không bị giả mạo. Tuy nhiên, việc triển khai giao thức TLS trên CPU máy chủ của máy chủ sẽ gây ra chi phí tính toán đáng kể và hạn chế số lượng lõi CPU có sẵn để chạy các dịch vụ và ứng dụng.

Bản tóm tắt giải pháp này giải thích cách giải pháp phần cứng cộng với phần mềm tích hợp từ Napatech giải quyết vấn đề này bằng cách chuyển giao thức TLS từ CPU máy chủ sang Đơn vị xử lý cơ sở hạ tầng (IPU) trong khi vẫn duy trì khả năng tương thích hoàn toàn của phần mềm ở cấp ứng dụng.

Giải pháp này không chỉ giải phóng các lõi CPU của máy chủ mà nếu không sẽ bị các giao thức bảo mật sử dụng mà còn mang lại hiệu suất cao hơn đáng kể so với triển khai dựa trên phần mềm. Điều này làm giảm đáng kể CAPEX, OPEX và mức tiêu thụ năng lượng của trung tâm dữ liệu.

Nó cũng đưa một lớp bảo mật vào hệ thống, cô lập quá trình xử lý cơ sở hạ tầng cấp hệ thống khỏi các ứng dụng và khối lượng công việc tạo ra doanh thu. Điều này làm tăng khả năng bảo vệ chống lại các cuộc tấn công mạng, giúp giảm khả năng trung tâm dữ liệu bị vi phạm bảo mật và dữ liệu khách hàng có giá trị cao bị xâm phạm, đồng thời cho phép khách hàng kiểm soát hoàn toàn các tài nguyên hệ thống lưu trữ.

TLS: giao thức bảo mật chuẩn cho giao tiếp giữa các ứng dụng web và máy chủ
Transport Layer Security (TLS) là một giao thức mật mã cung cấp bảo mật đầu cuối cho dữ liệu được gửi giữa các ứng dụng qua internet. Người dùng chủ yếu quen thuộc với giao thức này thông qua việc sử dụng trong duyệt web an toàn và đặc biệt là biểu tượng ổ khóa xuất hiện trong trình duyệt web khi phiên bảo mật được thiết lập. Tuy nhiên, giao thức này cũng có thể được sử dụng cho các ứng dụng khác như email, truyền tệp, hội nghị truyền hình/âm thanh, nhắn tin tức thời và Thoại qua IP (VoIP). TLS phát triển từ Secure Socket Layers (SSL) ban đầu được phát triển để bảo mật các phiên web. Phiên bản đầu tiên của giao thức này được phát hành vào năm 1999 và phiên bản gần đây nhất là TLS 1.3, được phát hành vào năm 2018.

TLS được sử dụng trong các trung tâm dữ liệu để đảm bảo tính bảo mật, xác thực và toàn vẹn dữ liệu. Nó cung cấp một kênh truyền thông an toàn giữa các máy chủ qua mạng trung tâm dữ liệu, đảm bảo rằng dữ liệu được trao đổi giữa chúng vẫn riêng tư và không bị giả mạo. Các lợi ích chính bao gồm:

  • Mã hóa dữ liệu: Một trong những lý do chính để sử dụng TLS trong các trung tâm dữ liệu là mã hóa dữ liệu được truyền giữa các máy chủ và máy khách trong trung tâm dữ liệu. Mã hóa này đảm bảo rằng ngay cả khi dữ liệu bị các tác nhân độc hại chặn lại, chúng sẽ không thể hiểu hoặc giải mã nội dung thực tế của dữ liệu. Trong môi trường nhiều bên thuê, nơi nhiều bên thuê sử dụng cùng một tài nguyên trung tâm dữ liệu, TLS đảm bảo rằng dữ liệu thuộc về một máy khách vẫn là dữ liệu riêng tư và không thể truy cập được bởi những người khác.
  • Tính toàn vẹn dữ liệu: TLS cung cấp các cơ chế để đảm bảo rằng dữ liệu đang được truyền không bị thay đổi hoặc giả mạo trong quá trình truyền. Điều này đạt được thông qua các kỹ thuật như Mã xác thực tin nhắn (MAC) và hàm băm. Sử dụng TLS để liên lạc nội bộ đảm bảo rằng ngay cả khi một phần cơ sở hạ tầng bị xâm phạm, dữ liệu được trao đổi giữa các thành phần vẫn được bảo vệ.
  • Xác thực: TLS cho phép xác thực các bên liên quan trong giao tiếp. Điều này có nghĩa là máy khách và máy chủ có thể xác minh danh tính của nhau, đảm bảo dữ liệu chỉ được trao đổi với các thực thể đáng tin cậy. Điều này rất quan trọng trong môi trường trung tâm dữ liệu để ngăn chặn truy cập trái phép và vi phạm dữ liệu.
  • Bảo vệ chống lại các cuộc tấn công Man-in-the-Middle: TLS giúp bảo vệ chống lại các cuộc tấn công Man-in-the-Middle, trong đó kẻ tấn công chặn và có khả năng sửa đổi thông tin liên lạc giữa hai bên mà không có sự hiểu biết của họ. Bằng cách mã hóa dữ liệu và sử dụng chứng chỉ kỹ thuật số để xác thực, TLS giảm thiểu rủi ro của các cuộc tấn công như vậy.
  • Yêu cầu về tuân thủ và quy định: Nhiều ngành và khu vực có các quy định và yêu cầu tuân thủ cụ thể liên quan đến bảo mật và quyền riêng tư dữ liệu. Việc triển khai TLS giúp các trung tâm dữ liệu tuân thủ các quy định này bằng cách đảm bảo tính bảo mật và toàn vẹn của dữ liệu mà họ xử lý.
  • Giao diện quản lý an toàn: Các trung tâm dữ liệu thường có giao diện quản lý và API cho phép người quản trị kiểm soát và giám sát nhiều khía cạnh của cơ sở hạ tầng từ xa. Bảo mật các giao diện này bằng TLS giúp ngăn chặn truy cập và thao túng trái phép các hệ thống quan trọng.
  • Bảo mật dịch vụ đám mây: Nhiều trung tâm dữ liệu hiện đại cung cấp dịch vụ đám mây và TLS rất cần thiết để bảo mật thông tin liên lạc giữa người dùng và cơ sở hạ tầng đám mây, cũng như thông tin liên lạc giữa các dịch vụ đám mây khác nhau.

Tóm lại, TLS rất quan trọng đối với các trung tâm dữ liệu hiện đại vì nó cung cấp lớp bảo mật toàn diện, bảo vệ tính bảo mật, toàn vẹn và xác thực của dữ liệu khi dữ liệu được truyền và giao tiếp trong môi trường trung tâm dữ liệu.

Hạn chế của kiến ​​trúc bảo mật chỉ dựa trên phần mềm
Mặc dù TLS có những lợi ích hấp dẫn đối với bảo mật trung tâm dữ liệu, nhưng người vận hành cần lưu ý đến những hạn chế đáng kể liên quan đến việc triển khai trong đó giao thức chạy trong phần mềm trên CPU máy chủ thường cũng chạy Giao thức điều khiển truyền (TCP), trên máy chủ được cấu hình với một hoặc nhiều Card giao diện mạng chuẩn (hoặc “nền tảng”) “NIC”:

  • Chi phí hiệu suất: TLS dựa trên phần mềm tạo ra chi phí tính toán bổ sung do các quy trình mã hóa và giải mã. Điều này có thể dẫn đến độ trễ tăng lên và thông lượng giảm, đặc biệt là trong môi trường có lưu lượng truy cập cao như trung tâm dữ liệu hoặc cụm máy tính hiệu suất cao.
  • Khả năng mở rộng: Khi số lượng kết nối đồng thời và khối lượng dữ liệu tăng lên, các triển khai TLS dựa trên phần mềm có thể gặp khó khăn trong việc mở rộng hiệu quả. Các hoạt động mã hóa và giải mã có thể trở thành nút thắt cổ chai, hạn chế khả năng xử lý số lượng lớn kết nối đồng thời của toàn bộ hệ thống.
  • Tăng tốc phần cứng hạn chế: Trong khi CPU hiện đại cung cấp hướng dẫn phần cứng cho các hoạt động mã hóa, không phải tất cả các thư viện TLS dựa trên phần mềm đều sử dụng đầy đủ các hướng dẫn này. Điều này có nghĩa là hiệu suất tiềm năng tăng lên từ tăng tốc phần cứng có thể không được nhận ra đầy đủ.
  • Độ phức tạp và bảo trì: Việc triển khai và bảo trì giải pháp TLS dựa trên phần mềm có thể phức tạp. Thư viện TLS cần được cập nhật thường xuyên để giải quyết các lỗ hổng bảo mật và duy trì khả năng tương thích với các tiêu chuẩn đang phát triển. Chi phí bảo trì này có thể rất lớn, đặc biệt là đối với các tổ chức có nguồn lực hạn chế.
  • Rủi ro bảo mật: Nếu thư viện TLS đang sử dụng có lỗ hổng hoặc không được cấu hình đúng cách, nó có thể khiến hệ thống gặp rủi ro bảo mật. Việc triển khai TLS được cấu hình sai hoặc bảo trì không đúng cách có thể phủ nhận các lợi ích bảo mật mà nó hướng đến.
  • Quản lý khóa: Quản lý khóa và chứng chỉ mật mã là một khía cạnh quan trọng của bảo mật TLS. Trong các triển khai dựa trên phần mềm, các hoạt động quản lý khóa phù hợp là rất quan trọng để ngăn chặn truy cập trái phép hoặc vi phạm dữ liệu. Quản lý khóa không phù hợp có thể dẫn đến lỗ hổng bảo mật nghiêm trọng.
  • Khả năng tương thích và khả năng tương tác: Đảm bảo khả năng tương thích và khả năng tương tác giữa các ứng dụng phần mềm, nền tảng và phiên bản khác nhau có thể là một thách thức. Sự khác biệt trong các lựa chọn và cấu hình triển khai TLS đôi khi có thể dẫn đến các vấn đề về giao tiếp.

Vì những lý do này và nhiều lý do khác, kiến ​​trúc chỉ dựa trên phần mềm đặt ra những thách thức đáng kể về mặt kinh doanh và kỹ thuật đối với bảo mật trung tâm dữ liệu.

Chuyển giao bảo mật dựa trên IPU
Việc chuyển giao thức TLS sang Đơn vị xử lý cơ sở hạ tầng (IPU) cũng chạy các dịch vụ như Giao thức điều khiển truyền (TCP) sẽ giải quyết được những hạn chế của việc triển khai chỉ bằng phần mềm và mang lại những lợi ích đáng kể cho các nhà điều hành trung tâm dữ liệu:

  • Tối ưu hóa tài nguyên: Việc chuyển giao thức TLS sang IPU sẽ giải phóng các tài nguyên CPU có giá trị có thể được sử dụng cho các ứng dụng khách (người thuê).
  • Hiệu suất: IPU được tối ưu hóa để thực hiện các hoạt động mã hóa và giải mã TLS nhanh hơn CPU thông thường. Việc chuyển TLS sang IPU dẫn đến cải thiện hiệu suất đáng kể, đặc biệt là trong các tình huống mà quá trình xử lý TLS bị tắc nghẽn và/hoặc cần xử lý khối lượng lớn dữ liệu được mã hóa.
  • Xử lý song song: IPU được thiết kế để song song hóa, cho phép chúng thực hiện nhiều tác vụ cùng lúc. Các hoạt động TLS liên quan đến các phép tính toán học có thể được song song hóa, cho phép thực hiện nhanh hơn và sử dụng tài nguyên hiệu quả hơn.
  • Khả năng mở rộng: Khi lưu lượng truy cập tăng, IPU có thể được mở rộng bằng cách thêm nhiều đơn vị hơn vào cơ sở hạ tầng. Khả năng mở rộng này giúp duy trì mức hiệu suất TLS nhất quán ngay cả khi xử lý tải cao hơn.
  • Độ trễ thấp: IPU có thể giảm độ trễ liên quan đến mã hóa và giải mã TLS. Điều này đặc biệt quan trọng đối với các ứng dụng yêu cầu giao tiếp thời gian thực, giảm thiểu độ trễ trong quá trình truyền dữ liệu.
  • Hiệu quả năng lượng: Việc chuyển giao TLS sang IPU và giải phóng tài nguyên CPU của máy chủ cho các ứng dụng khách có thể giảm tổng số máy chủ cần thiết trong trung tâm dữ liệu, giúp tiết kiệm năng lượng và giảm OPEX.
  • Cải tiến bảo mật: Nhiều IPU bao gồm các tính năng bảo mật zero-root-of-trust dựa trên phần cứng giúp tăng cường bảo mật cho các hoạt động TLS. Các tính năng này cung cấp khả năng bảo vệ bổ sung chống lại một số loại tấn công và lỗ hổng nhất định.
  • Ngăn xếp phần mềm đơn giản hóa: Bằng cách chuyển giao các hoạt động TLS cho IPU, ngăn xếp phần mềm của CPU chính có thể được đơn giản hóa, giúp quản lý và bảo trì hệ thống dễ dàng hơn. Điều này cũng có thể dẫn đến giảm lỗ hổng bảo mật.
  • Future-Proofing: IPU có thể được thiết kế hoặc cập nhật trong phần mềm để hỗ trợ các tiêu chuẩn và thuật toán mã hóa TLS mới khi chúng xuất hiện. Điều này đảm bảo rằng cơ sở hạ tầng trung tâm dữ liệu vẫn an toàn và tương thích với các yêu cầu bảo mật đang phát triển.

Ngoài những lợi ích trên áp dụng cho khối lượng công việc TLS, kiến ​​trúc hệ thống dựa trên IPU cũng đưa một lớp bảo mật vào hệ thống, cô lập quá trình xử lý cơ sở hạ tầng cấp hệ thống khỏi các ứng dụng và khối lượng công việc tạo ra doanh thu. Điều này đảm bảo rằng các chức năng TLS và TCP không thể bị xâm phạm bởi một cuộc tấn công mạng do ứng dụng thuê bao phát động. Bản thân các dịch vụ cơ sở hạ tầng được bảo mật vì quá trình khởi động của chính IPU là an toàn, trong khi IPU sau đó hoạt động như gốc tin cậy cho máy chủ lưu trữ.

Giải pháp giảm tải bảo mật của Napatech
Napatech cung cấp giải pháp tích hợp cấp hệ thống để giảm tải bảo mật trung tâm dữ liệu, bao gồm ngăn xếp phần mềm Link-Security™ hiệu suất cao chạy trên IPU F2070X.

Xem thanh bên để biết thông tin chi tiết về phần cứng IPU F2070X.

Phần mềm Link-Security tích hợp nhiều chức năng phong phú, bao gồm:

  • Chuyển giao toàn bộ mã hóa và giải mã TLS từ máy chủ sang IPU;
  • Xử lý TCP, bao gồm TCP Checksum Offloading (TSO), Generic Receive Offload (GRO), Generic Segmentation Offload (GSO), Large Receive Offload (LRO) và kiểm tra tổng;
  • Cân bằng tải cho CPU lưu trữ;
  • Tăng tốc máy chủ web (giảm thời gian tải trang) với bộ nhớ đệm tệp tĩnh và tối ưu hóa hình ảnh;
  • Tăng cường bảo mật bao gồm giảm thiểu Tấn công từ chối dịch vụ phân tán (DDoS) và lọc lưu lượng truy cập độc hại;
  • Đối với các ứng dụng cũ không có bảo mật TLS, IPU với proxy ngược sẽ thêm lớp mã hóa TLS vào giao tiếp văn bản thuần túy;
  • Lớp cô lập bảo mật giữa CPU máy chủ và IPU, không có kết nối mạng nào được kết nối với máy chủ.

Vì F2070X dựa trên FPGA và CPU thay vì ASIC, nên toàn bộ chức năng của nền tảng có thể được cập nhật sau khi triển khai, cho dù là để sửa đổi dịch vụ hiện có, để thêm chức năng mới hay để tinh chỉnh các thông số hiệu suất cụ thể. Việc lập trình lại này có thể được thực hiện hoàn toàn như một bản nâng cấp phần mềm trong môi trường máy chủ hiện có, không cần phải ngắt kết nối, tháo hoặc thay thế bất kỳ phần cứng nào.

Giải pháp phần cứng cộng với phần mềm tích hợp của Napatech, bao gồm ngăn xếp phần mềm Link-Security chạy trên IPU F2070X, cung cấp khả năng mã hóa và giải mã TLS hiệu suất cao mà không tiêu tốn tài nguyên CPU của máy chủ bằng cách chuyển tải khối lượng công việc TLS từ CPU sang IPU trong khi vẫn duy trì khả năng tương thích hoàn toàn của phần mềm ở cấp ứng dụng.

Hiệu suất hàng đầu trong ngành
Giải pháp chuyển tải bảo mật dựa trên Napatech F2070X mang lại hiệu suất hàng đầu trong ngành về các điểm chuẩn liên quan đến các trường hợp sử dụng trung tâm dữ liệu, bao gồm mã hóa và giải mã TLS tốc độ đường truyền 100G x 2, đồng thời đảm bảo không có lõi CPU máy chủ nào được sử dụng cho giao thức TLS.

Hiệu suất này được đo như sau:

  1. Chạy máy chủ web (nginx) trên CPU máy chủ.
  2. Chạy proxy ngược HTTP (nginx) trên bộ xử lý IPU Xeon D.
  3. Chạy ứng dụng đánh giá chuẩn HTTP/HTTPS trên hệ thống khác để tạo tải (yêu cầu HTTP) tới
    máy chủ web.
  4. Đo lường và ghi lại số liệu hiệu suất.

Lưu ý rằng các tiêu chuẩn trên chỉ là sơ bộ khi chưa có phần cứng và phần mềm chính thức.

Tóm tắt
Trong các trung tâm dữ liệu đám mây và doanh nghiệp, mã hóa Transport Layer Security (TLS) được sử dụng để đảm bảo tính bảo mật, tính bí mật và tính toàn vẹn của dữ liệu. Nó cung cấp một kênh truyền thông an toàn giữa các máy chủ qua mạng trung tâm dữ liệu, đảm bảo rằng dữ liệu được trao đổi giữa chúng vẫn riêng tư và không bị giả mạo. Tuy nhiên, việc triển khai giao thức TLS trên CPU máy chủ của máy chủ sẽ gây ra chi phí tính toán đáng kể và hạn chế số lượng lõi CPU có sẵn để chạy các dịch vụ và ứng dụng.

Giải pháp phần cứng cộng với phần mềm tích hợp của Napatech, bao gồm ngăn xếp phần mềm Link-Security chạy trên IPU F2070X, giải quyết vấn đề này bằng cách chuyển giao thức TLS từ CPU máy chủ sang IPU trong khi vẫn duy trì khả năng tương thích phần mềm hoàn toàn ở cấp ứng dụng.

Giải pháp giảm tải bảo mật của Napatech không chỉ giải phóng lõi CPU máy chủ vốn sẽ bị các giao thức bảo mật sử dụng mà còn mang lại hiệu suất cao hơn đáng kể so với triển khai dựa trên phần mềm. Điều này giúp giảm đáng kể CAPEX, OPEX và mức tiêu thụ năng lượng của trung tâm dữ liệu.

Giải pháp Napatech cũng đưa một lớp bảo mật vào hệ thống, cô lập quá trình xử lý cơ sở hạ tầng cấp hệ thống khỏi các ứng dụng và khối lượng công việc tạo ra doanh thu. Điều này làm tăng khả năng bảo vệ chống lại các cuộc tấn công mạng, giúp giảm khả năng trung tâm dữ liệu bị vi phạm bảo mật và dữ liệu khách hàng có giá trị cao bị xâm phạm, đồng thời cho phép khách hàng kiểm soát hoàn toàn các tài nguyên hệ thống máy chủ.

Post Views: 69
Chia sẻ với bạn bè

Related posts:

  1. Ứng dụng Napatech trong Network Management
  2. Ứng dụng Napatech trong Virtualization Solutions
  3. Giải pháp Napatech SmartNICs
  4. Tăng tốc hệ thống giao dịch tài chính với Napatech Link Capture Software
editor

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *