AIによリ強化された5GセキュリティでIntelligent Traffic Offloadを実現(nVIDIA×Paloalto)
はじめに
AIによるセキュリティについていくつか見ていければと考えています。
nVIDIAと、Paloaltoの2は共実は自分が2024年からの新NISAで購入している外国株ですので注視して読んでいます。(簡単に言うとポジショントークです。)
以下本文
高度なAI・機械学習(ML)ベースの攻撃への対処
private 5Gとエッジアプリケーションのセキュリティ確保には、多くの課題が伴います。高度なAI・機械学習(ML)ベースの攻撃には、リアルタイムでセキュリティが対応する必要があります。
Securing the private 5G and applications at the edge comes with many challenges. Sophisticated AI– and ML-based attack campaigns require security to respond in real time.
Palo Alto Networksのセキュリティプラットフォームは、長年にわたって機械学習とAI技術の革新を取り入れ、リアルタイムの機械学習(ML)機能とAI主導のインシデント対応を自動化してきました。
Palo Alto Networks’ security platform has been incorporating ML and AI technological breakthroughs over the years to ensure that real-time ML capabilities and AI-driven incident responses are autonomous.
Intelligent Traffic Offload(ITO)について
Palo Alto NetworksとNVIDIAのチームがIntelligent Traffic Offload(ITO)を構築した際、目的は明確でした。企業がセキュリティを犠牲にすることなく5Gを受け入れられるようにすることです。私たちはITOを基盤ソリューションとして開発し、近代企業向けの高速で安全なプライベート5Gインフラ構築を支援しました。
When teams from Palo Alto Networks and NVIDIA collaborated to build Intelligent Traffic Offload (ITO), our purpose was clear: to enable any enterprise to embrace 5G without compromising security over performance and efficiency. We created ITO as a foundational solution that helps establish a fast and secure private 5G infrastructure for modern enterprises.
データ処理ユニット(DPU)は、エッジコンピューティングAI/MLインフラ、ハイパースケールテレコムクラウド、IT/OT/IoTネットワークやサービスを提供する任意のクラウドにとって重要な構成要素です。顧客企業はITOを利用してセキュリティ機能を拡張し、総合的なファイアウォールスループットを最低5倍に引き上げています。
Data processing units (DPUs) are critical components within the edge computing AI and ML infrastructure, hyperscale telco cloud, and any cloud that offers IT, OT, or IoT networks and services. Enterprise customers use ITO to scale security capabilities and increase overall firewall throughput by at least 5x.
ITOにはさらに機能強化を施し、より多くのオプション、導入の容易さ、高性能を実現しています。主な内容は以下の通りです。
・NVIDIA BlueField-3 DPUへの新規対応
・レイヤー3ルーティング機能を備えた展開モードの拡大
・ネットワークアドレス変換(NAT)ベースのオフロード
静的・動的ルーティングにより展開オプションが広がる一方、NATベースのオフロードにより、エンドユーザーIDを守りながらトラフィックをオフロードし、インターネット境界線を確保できます。
NVIDIA BlueField-3 上のITO
既存のNVIDIA BlueField-2 DPU統合に加えて、NVIDIA BlueField-3 DPUへの対応を拡大しました。
当社のITOソリューションは、NVIDIA BlueField DPUとPalo Alto Networks VM-Series 仮想次世代ファイアウォール(NGFW)を加速し、スループットを大幅に高めながら、インフラコストを大きく削減します。
ITOの機能強化: レイヤー3サポート
ITOを発表した当初は、ファイアウォールの挿入にvWireモードをサポートしていました。つまり、ファイアウォールがスイッチングやルーティング機能を実行することはありません。ワイヤー上の簡単な通過点として機能するだけです。これは、ルーティングやスイッチングが不要な特定の環境や、ファイアウォールが単一のL3ドメインからすべてのトラフィックを受信する場合に有益です。
新しいレイヤー3モードにより、データセンター内でセキュリティを活用する機能が大幅に拡張されます。ファイアウォールがトラフィックをスイッチングおよびルーティングしてネットワークドメインに振り分けることができるようになります。
図1のパケットフローには以下の特徴があります。
インターフェースe1/1およびe1/2がレイヤー3モードで設定されています。
VR1には、5Gレイヤー3ルーターまたはUPF、およびインターネットピアルーターへの静的または動的ルートが設定されています。
タグ付きおよびタグなしのトラフィックがサポートされています。ルーターおよびDPUまたはNICはアクセスモードまたはトランクモードになります。
レイヤー3モードのパケットフロープロセスは以下の通りです。
パケットが5G UPF(レイヤー3ルーター)からレイヤー3リーフ/ルーターに送信されます。
パケットが、DPUとSmartNIC PF0に接続されたルーターポートPA1に到着し、vlanXタグをパケットに追加するよう設定されています。
パケットがDPUポートpf0vf0に到着し、VLANを削除するかしないかに関わらず、VM-Seriesに渡されます。
ファイアウォールがレイヤー3モードで動作しており、パケットの次ホップとそのMACアドレスを見つけます。
ファイアウォールは、必要に応じて新しい宛先MACとvlanYをgRPCを通じてDPUとSmartNICに更新します。
vlanYタグ付きのパケットが、DPUとSmartNICポートPF1からルーターポートPA2に到着します。
パケットがタグなしの場合、ルーターポートPA2がvlanYタグを追加する可能性があります。
パケットが次ホップアドレスに送信され、インターネットピアに届けられます。動的ルーティングの場合、ルート更新時にVM-Seriesが新しい次ホップMACアドレスをDPUに更新します。
ITOの機能強化: vWireおよびレイヤー3向けNATサポート
一般的に、5G展開や特定のハイパースケール企業環境では、PAN VM-Series 仮想NGFWがインターネット境界線または南北方向のトラフィックを守ります。このような展開では、NATモードを活用してエンドユーザーデバイスがインターネットに公開されないよう確保できます。
ITOの機能においてvWireモードとレイヤー3モードの両方でNATサポートを提供します。IPv4で、動的IPアドレスとポート変換によるソースNAT、宛先NATポート変換、転送など、複数のNATモードを設定できるようになりました。
NATポリシーの設定方法は以下の通りです。
VM-Seriesには、IPとポートを動的IPとポートマッピングに対してソースNATを実行するNATポリシーが設定されています。
定義されたNATポリシーでは、宛先IPとポートの変換と転送も実行できます。
NATポリシーが設定されている場合のパケットフロープロセスは以下の通りです。
パケットが、ソースIPアドレスとポート172.10.20.30:320で、5Gデバイスから5G UPFまたはレイヤー3ルーターを経由して送信されます。
パケットがVM-Seriesに到着し、そこでNATポリシーが動的IPアドレスとポート変換を行うソースNATに定義されています。ソースIP:ポート172.10.20.30:320が192.168.100.15:545に変換されます。
VM-SeriesはNATポリシーに基づいてパケットのレイヤー2およびレイヤー3の書き換えを行います。これは動的IPアドレスとポート変換によるソースNAT、または宛先NATポート変換と転送のいずれかになります。
VM-Seriesは、gRPCを介してNAT変換をDPUとSmartNICに更新します。
SNAT DIPPは、プライベートソースIPアドレスとポートのペアを特定のパブリック(変換済み)ソースIPアドレスとポートのペアに同じ元のソースIPアドレスとポートのペアに対する後続のセッションでバインドすることで永続性を維持します。この場合、172.10.20.30:320とその変換済みアドレス192.168.100.15:545は、複数の宛先IPアドレスポートに対して永続的です。
結論
ITOの機能強化を活用することで、VM-SeriesNGFWをvWireモードまたはレイヤー3モードで展開するオプションが広がりました。ITOでVM-Series上のNAT機能を継続してシームレスに使用できます。これらの機能はNVIDIA BlueField-3 DPUでも利用可能で、さらに高いスループットと最低5倍のセキュリティ パフォーマンス向上が可能になります。
NVIDIA BlueField-3 DPUは、NVIDIAが開発したデータ処理ユニット(DPU)です。主な特徴は以下の通りです。
アームベースのCPUコア、高性能ネットワーク機能、セキュリティエンジンなどを1つのチップに集積した高性能な専用プロセッサ
5G/6GネットワーキングやエッジAIなどのワークロードの高速化とオフロードを可能にする
ネットワーク機能の仮想化(NFV)や、ネットワーク/セキュリティタスクへの専用化を実現
BlueField-2の後継機で、より高いスループット、拡張されたオフロード機能、セキュリティ強化などを実現
DPUとしてホストCPUからさまざまなデータプレーン処理をオフロードし、ホストの負荷を軽減
5GコアやプライベートLTE/5Gネットワーク、エッジセキュリティなどの用途で活用が見込まれる
要するに、NVIDIAのDPUは通信ネットワーキングやセキュリティなどの特定タスクの高速処理を専門に行うアクセラレータチップで、BlueField-3はその最新世代の製品となります。
July 12, 2021 by Ash Bhalgatより
NVIDIA and Palo Alto Networks Boost Cyber Defenses with DPU Acceleration
サイバー犯罪によるアメリカ国民の損失
サイバー犯罪によるアメリカ国民の2020年の損失額は、FBIによると40億ドル以上に上ります。
仮想次世代ファイアウォール(NGFW)
新たな脅威に先手を打つため、グローバルなサイバーセキュリティリーダーであるPalo Alto Networksは、NVIDIAのBlueFieldデータ処理ユニット(DPU)による高速化を目的とした、初の仮想次世代ファイアウォール(NGFW)を開発しました。
DPUはホストプロセッサからトラフィックをオフロードし、サーバーCPUとは別の専用ハードウェアでパケットのフィルタリングと転送を高速化します。このソリューションにより、ネットワークパフォーマンスを犠牲にすることなく、Palo Alto NetworksのNGFWの高度なセキュリティ機能をすべてのサーバーに提供できます。また、フローの関連部分を賢明にスクリーニングし、残りをDPUにオフロードすることで、以前は不可能または非実用的だったネットワークフローの検査も可能になります。
このハードウェア高速化ソフトウェアNGFWは、DPUで初めて高速化されることで、ソフトウェアファイアウォールのパフォーマンス向上とデータセンターのセキュリティカバレッジ/効率の最大化を実現する画期的な製品です。
先日発表されたDPU対応Palo Alto Networks VM-SeriesNGFWは、ゼロトラストネットワークセキュリティの原則を採用しています。DPUは賢明なネットワークフィルターとして機能し、ReCPUオーバーヘッドゼロでトラフィックフローを解析、分類、制御することで、一般的なユースケースで約100Gb/sのスループットをNGFWがサポートできるようになります。これは、CPUのみで稼働するVM-Seriesファイアウォールと比べて5倍のパフォーマンス向上であり、従来のハードウェアと比べて最大150%のキャペックス削減が可能です。
Palo Alto NetworksのProducts担当シニアバイスプレジデントであるMuninder Singh Sambiは次のように述べています。「企業やテレコムがクラウドのようなデータセンターを構築する際、パフォーマンスを妥協することなく、クラウドのアジリティと自動化が必要です。NVIDIAとともに、当社の仮想ML対応NGFWであるVM-Seriesをターボチャージしています。業界をリードするNVIDIA BlueField DPUは、クラウドのような環境で動作するサイバーセキュリティソリューションに最適です。」
市場初のBlueField対応NGFWであるVM-Seriesは、BlueField DPUがホストプロセッサをオフロードしてパケットフィルタリングと転送機能を高速化することで、アプリケーション認識型のセグメンテーション、マルウェア防止、新たな脅威の検出、データ漏えいの防止を実現します。
what is Intelligent Traffic Offload Service?
一部の顧客環境では、トラフィックの大部分が検査の必要がない(例えば、ビデオ、ゲーム、ビデオ会議などのストリーミングトラフィック)か、顧客がファイアウォールに対応する復号ポリシーを割り当てることができない暗号化トラフィックなどの検査ができないトラフィックです。このような環境では、インテリジェントトラフィックオフロードにより、継続的なセキュリティ検査から恩恵を受けるフローのみを検査するようファイアウォールリソースが最適化されます。
データセンター内のメディアデータと暗号化データを含むネットワークトラフィックの最大80%は、ファイアウォールで検査する必要がないか、検査できません。これに対処するため、NVIDIAとPalo Alto Networksの共同ソリューションには、インテリジェントトラフィックオフロード(ITO)サービスが含まれており、ネットワークトラフィックを検査して、各セッションがセキュリティ検査から恩恵を受けるかどうかを判断します。
ITOサービスは、トラフィックの全セッションを検査し、そのセッションがセキュリティ検査から恩恵を受けるかどうかを判断します。ファイアウォールがそのセッションがセキュリティ検査から恩恵を受けないと判断した場合、ITOはBlueField-2 DPUに指示してそのセッションの後続のパケットをすべてファイアウォールに送信せずに直接宛先に転送させます。
セキュリティ検査から恩恵を受けるフローのみを検査し、残りをDPUにオフロードすることで、ファイアウォールとホストCPUの全体的な負荷が軽減され、セキュリティを犠牲にすることなくパフォーマンスが向上します。
ITOにより、企業、テレコム、クラウドオペレーターは、ゼロトラスト環境のすべてのホストで実行できるNGFWを使ってエンドユーザーを保護し、デジタルトランスフォーメーションを促進しつつ、様々なサイバー脅威から安全を守ることができます。
結論
NVIDIAのDOCA SDKを中心とした開発者エコシステムの拡大
Palo Alto Networksは、オープンソースのリモートプロシージャコールフレームワークであるgRPC(Cloud Native Computing Foundationのプロジェクト)とNVIDIAのオープンソースハードウェア高速化フレームワークASAP2を使用して、BlueField DPU上でNGFWの開発を開始しました。
BlueFieldへのgRPCインターフェイスとASAP2は、現在NVIDIAのDOCA SDKに統合されています。DOCA SDKは、データセンターインフラストラクチャオンチップアーキテクチャで、開発者がBlueField DPUで実行されるソフトウェア定義のハードウェア高速化ネットワーキング、ストレージ、セキュリティ、管理アプリケーションを構築するためのオープンプラットフォームを提供します。
DOCAは、NVIDIAのGPUとBlueField DPUで動作するデータセンターインフラストラクチャアプリケーションおよびサービスを革新する幅広い開発者コミュニティを構築するというNVIDIAのコミットメントの一部です。
A Mighty Meeting: Generative AI, Cybersecurity Connect at RSA
「 RSAでの生成AIとサイバーセキュリティのよき出会い」
サイバーセキュリティの専門家たちは、RSAカンファレンスでの、生成AIの時代におけるセキュアな運用の方法を探し求めています。
最新のツールの多くがAIと高速コンピューティングを活用していることがわかるはずです。このようなセキュリティとAIの交わりは、NVIDIAとそのパートナー企業が本イベントで説明する協業を通じて、焦点が当てられています。
AIサイバーセキュリティの基盤
Foundations for AI Cybersecurity
NVIDIAは、大量のリアルタイムデータをフィルタリングおよび分類するサイバーセキュリティAIフレームワークのNVIDIA Morpheusを提供し、ユーザーを支援しています。NVIDIA AI Enterpriseスイートの一部であるMorpheusを使えば、開発者はスピアフィッシングや内部の脅威などを検出できるアプリケーションを構築できます。
ユーザーは、AIを素早くデプロイするためのNVIDIA API CatalogのマイクロサービスであるNVIDIA NIMとNeMo Retrieverと組み合わせてMorpheusを活用できます。この組み合わせにより、数日かかっていた一般的なソフトウェアの脆弱性やエクスポージャーの特定と解決を数秒で行えるなど、新しいユースケースが開かれます。これは多くのNVIDIA AIワークフローの1つです。
NVIDIA BlueField DPUとNVIDIA ConnectX NICをプログラミングするためのソフトウェアフレームワークであるNVIDIA DOCAの新リリースでは、ネットワークデータとストレージデータの暗号化機能が更新されており、AIセキュリティの別の基盤が提供されています。
To give users a leg up, NVIDIA provides NVIDIA Morpheus, a cybersecurity AI framework that filters and classifies large volumes of real-time data. Morpheus, part of the NVIDIA AI Enterprise software suite, lets developers build applications that can detect spear phishing, insider threats and more.
Users can employ Morpheus with NVIDIA NIM and NeMo Retriever, microservices from the NVIDIA API Catalog for rapidly deploying AI. The combination can unlock new use cases, such as reducing from days to seconds the time to find and resolve common software vulnerabilities and exposures, one of many NVIDIA AI workflows.
A new release of NVIDIA DOCA — the software framework for programming NVIDIA BlueField DPUs and NVIDIA ConnectX NICs — provides another foundation for AI security. It now sports updated encryption features for network and storage data.
□参考URL
Intelligent Traffic Offload with Enhanced AI-powered 5G Security for Enterprises
NVIDIA and Palo Alto Networks Boost Cyber Defenses with DPU Acceleration
A Mighty Meeting: Generative AI, Cybersecurity Connect at RSA
この記事が気に入ったらサポートをしてみませんか?