La progettazione di riferimento accelera in modo critico
Funzioni di rete e sicurezza
Guida per l'utente
Il progetto di riferimento dell'acceleratore Intel® NetSec è un progetto per commercializzare una scheda aggiuntiva PCIe basata su architettura Intel per il supporto di carichi di lavoro a uso intensivo del processore. La scheda presenta tutte le funzionalità di un server con la capacità di supportare funzionalità complete di orchestrazione e gestione ed è ideale per carichi di lavoro di sicurezza come IPsec, SSL/TLS, firewall, SASE, analisi e inferenza. Questo progetto di riferimento può contribuire a migliorare le prestazioni, la scalabilità e l'efficienza per i clienti dall'edge al cloud.
Mentre la trasformazione verso la cloudificazione continua, le tendenze nell'edge computing e l'aumento dei dipendenti che lavorano da casa/ovunque stanno rendendo gli ambienti aziendali più distribuiti che mai. I tradizionali modelli di sicurezza incentrati sul perimetro ei modelli di distribuzione fissa non sono più applicabili. Le applicazioni monolitiche sono state sostituite da catene di microservizi containerizzati che attraversano infrastrutture on-premise e cloud, disaccoppiate dall'hardware sottostante; i carichi di lavoro devono essere distribuiti dove sono necessari. Questi ambienti dinamici definiti dal software richiedono nuovi approcci per applicare le funzioni di sicurezza a livello di carico di lavoro, utente e dispositivo.
Il modello SASE (Secure Access Service Edge) soddisfa questi nuovi requisiti di sicurezza distribuita facendo convergere la sicurezza definita dal software e le funzioni WAN (Wide-Area Network) in un insieme di servizi forniti dal cloud. I servizi virtualizzati o containerizzati migliorano l'efficienza con l'orchestrazione centralizzata e riducono i costi delle apparecchiature utilizzando un'infrastruttura cloud basata su server COTS (commercial off the shelf) al posto dell'hardware legacy monouso.
La maggior parte delle soluzioni SASE sono stack completamente integrati di funzioni di rete e di sicurezza, con modelli di licenza basati sull'abilitazione di componenti specifici. I fornitori SASE effettuano massicci investimenti per valutarli, ottenerli e integrarli. Le funzioni del software SASE richiedono prestazioni e stabilità in un server che condivide più carichi di lavoro ad alta intensità di calcolo e più tenant. L'integrazione di una soluzione performante di WAN definita dal software (SD-WAN) insieme a uno stack di sicurezza che include NGFW, ZTNA, CASB, SWG, DLP e altro è particolarmente impegnativa.
Il progetto di riferimento dell'acceleratore Intel NetSec offre un approccio alternativo all'isolamento delle funzioni SASE che può ridurre drasticamente l'ingombro dell'infrastruttura per i carichi di lavoro di rete e sicurezza. Fornisce agli utenti la piena funzionalità di un server su una scheda PCIe, incluso un processore Intel Atom®, un adattatore di rete Intel Ethernet E810 e una notevole memoria DDR4 integrata.
Breve soluzione | Il progetto di riferimento accelera le funzioni critiche di rete e sicurezza
Figura 1. Progetto di riferimento dell'acceleratore Intel® NetSec.
Potenza di elaborazione estesa per
Carichi di lavoro di sicurezza
Il progetto di riferimento dell'acceleratore Intel NetSec è in grado di gestire la capacità di calcolo delle appliance di rete e di sicurezza, fornendo uno o più ambienti di esecuzione fisici separati. L'acceleratore integra il processore principale del server con hardware di accelerazione dedicato per le funzioni di rete e di sicurezza.
La compatibilità del set di istruzioni e un'architettura di driver condivisa tra la CPU principale e la CPU dell'acceleratore contribuiscono a rendere la soluzione complessiva senza soluzione di continuità utilizzando l'architettura Intel basata su standard. La coerenza dei modelli di programmazione consente la condivisione della piattaforma tra il processore Intel Atom® sull'acceleratore e i processori scalabili Intel® Xeon® o i processori Intel® Xeon® D nel computer host.
Il processore Intel Atom al centro del progetto di riferimento dell'acceleratore Intel NetSec abilita l'IPsec in linea.
La risorsa di elaborazione autonoma isola i dati e le operazioni dal resto del sistema, aiutando gli architetti a superare le incompatibilità tra i componenti software di più fornitori. L'aggiunta di risorse hardware basate sul progetto di riferimento consente notevoli guadagni in termini di capacità e densità della soluzione. Fornisce inoltre capacità flessibile su richiesta per l'aggiornamento Day 2 delle soluzioni sul posto.
I produttori di apparecchiature originali (OEM) e i produttori di design originale (ODM), che collaborano con i fornitori di soluzioni di rete e di sicurezza, possono trarre vantaggiotage del progetto di riferimento per portare gli acceleratori di sicurezza di rete sul mercato più rapidamente. Intel sta collaborando con una serie di partner per sviluppare prodotti, mettendo a disposizione di fornitori di sistemi, integratori di soluzioni e clienti finali una scelta di fornitori di tecnologia.
Specifiche hardware del progetto di riferimento
Il progetto di riferimento include due varianti, che si differenziano per processore (e numero di core), oltre che per I/O e risorse di rete.
| Progetto di riferimento a 8 core | Progetto di riferimento a 16 core | |
| processore | Processore Intel Atom® P5721 | Processore Intel Atom® P5742 |
| Fattore di forma | A tutta altezza, a mezza lunghezza | |
| Porte esterne | 2 SFP25 da 28 GbE | 1 QSFP100 da 28 GbE |
| Consumo energetico | Da ~50 a 90 watt | da 70 a 115 watt |
| Capacità di memoria | Fino a 32 GB a 2933 MT/s | |
| Interfaccia host | x8 PCIe Gen4 | x16 PCIe Gen4 |
| Capacità di archiviazione | Fino a 256 GB eMMC | |
| Obiettivo di throughput (accelerazione bidirezionale) | 25 Gbps | 50 Gbps |
| Obiettivo di throughput (accelerazione unidirezionale) | 50 Gbps | 100 Gbps |
Caso di utilizzo dell'accelerazione SASE
Le aziende utilizzano WAN e servizi di sicurezza tramite punti di presenza (POP) SASE geograficamente dispersi per essere relativamente vicini agli endpoint degli utenti e ai servizi on-prem, edge e cloud. I POP fungono da gateway di accesso che soddisfano gli obiettivi del livello di servizio per la latenza e il throughput in modo sicuro. La fornitura distribuita di servizi di sicurezza cloud-native evita la necessità di eseguire il backhaul del traffico WAN verso posizioni centralizzate per applicare le policy di sicurezza.
Questo cambiamento fondamentale nella topologia offre notevoli risparmi sui costi della larghezza di banda, migliorando al contempo l'esperienza dell'utente eliminando la latenza di trasferimento associata al backhaul. Un cluster di server POP ospita uno o tutti i componenti SASE primari in tempo reale, per tutto il traffico di rete degli utenti:
- Next-Generation Firewall (NGFW) combina la tradizionale funzionalità del firewall con servizi complementari come l'ispezione approfondita dei pacchetti, la protezione dalle intrusioni e l'intelligence sulle minacce.
- La Software-Defined WAN (SD-WAN) si ottimizza automaticamente per connettere gli utenti alle applicazioni, indirizzando centralmente il traffico attraverso qualsiasi combinazione di servizi di trasporto, come MPLS, 4G/5G e banda larga via cavo.
- Zero Trust Network Access (ZTNA) fornisce un accesso remoto senza soluzione di continuità a risorse e applicazioni, garantendo al contempo il minor privilegio possibile, considerando tutte le entità come non attendibili per tutti gli altri scopi.
- Sicuro Web Gateway (SWG) filtra il traffico avviato dall'utente per rilevare e rimuovere malware e altro software indesiderato, contribuendo a far rispettare gli standard di sicurezza aziendale e mantenere la conformità.
- Data Loss Prevention (DLP) monitora il traffico degli utenti in uscita per identificare le informazioni sensibili e prevenire l'uscita non autorizzata, sia dannosa che di altro tipo.
- Cloud Access Security Broker (CASB) è un punto di imposizione tra utenti e servizi cloud che applica criteri quali autenticazione, crittografia e registrazione.
Un SASE ben progettato e costruito garantisce la fornitura di questi servizi con fedeltà tra sedi e tipi di endpoint, come laptop dei dipendenti, sensori/attuatori IoT e dispositivi mobili. La qualità del servizio dipende dalla capacità di fornire un'adeguata copertura POP, incluso sia il numero di sedi che la capacità di ciascuna di fornire servizi. I fornitori SASE ottimizzano i server POP per la massima efficienza in termini di costi/capacità.
Provisioning del server SASE POP
Oltre ai processori scalabili Intel Xeon, i processori Intel Xeon D sono progettati specificamente per il provisioning di un'elaborazione densa all'edge della rete, rendendoli una scelta popolare come base per i server SASE POP. La piattaforma offre prestazioni a basso consumo energetico, tecnologie di sicurezza e accelerazione basate su hardware e connettività Intel Ethernet integrata avanzata.
Gli architetti di soluzioni possono espandere la capacità di servizio dei processori scalabili Intel Xeon e dei server POP basati su Intel Xeon D con l'aggiunta di uno o più acceleratori basati sul progetto di riferimento. Per esample, un server POP a due socket basato su processori Intel Xeon D a 20 core avrebbe un totale di 40 core. L'implementazione di due schede di accelerazione a 16 core nel sistema rende disponibili altri 32 core del processore Intel Atom, per un aumento dell'80% del numero di core senza aumentare l'ingombro del server. Ogni acceleratore può eseguire un servizio SASE separato, con il proprio set di risorse di calcolo, memoria e I/O; fornendo un'ulteriore parallelizzazione del carico di lavoro per migliorare le prestazioni deterministiche.
Topologia di connessione dell'acceleratore
Una scheda acceleratrice basata sul progetto di riferimento dell'acceleratore Intel NetSec può essere collegata direttamente alla rete pubblica esterna, consentendo l'esecuzione di determinate funzioni SASE indipendentemente dal processore scalabile Intel Xeon principale o dal processore Intel Xeon D. Questa connettività consente inoltre alla scheda di fornire funzionalità in linea che inviano in modo indipendente i dati in entrata alla risorsa di elaborazione appropriata, per una maggiore efficienza. Il concatenamento di servizi basato su Ethernet può interconnettere i servizi direttamente tra gli acceleratori, combinando capacità o funzionalità, come nell'example dimostrato di fornire SD-WAN e stack di sicurezza insieme come un unico servizio da due distinti acceleratori. La capacità di switching integrata del processore Intel Atom facilita la condivisione delle risorse per migliorare l'efficienza, con il bilanciamento del carico tra le porte senza il coinvolgimento dei core Intel in esecuzione sulla soluzione Intel NetSec Accelerator Reference Design.
Per alcune implementazioni, un acceleratore basato su Intel NetSec Accelerator Reference Design potrebbe non essere connesso al mondo esterno. Per esample, può utilizzare il concatenamento dei servizi per fornire servizi attraverso un altro acceleratore che si trova sulla rete pubblica o fornire funzionalità come un'applicazione sandboxing per l'ispezione approfondita dei pacchetti che non richiede connettività esterna.
Potenziale per l'accelerazione SASE nelle distribuzioni del mondo reale
Il caso d'uso dell'accelerazione SASE dimostra alcuni modelli di utilizzo rappresentativi per i dispositivi basati sul progetto di riferimento nei server SASE POP:
- Aumento della densità e dell'efficienza dell'infrastruttura basata sull'implementazione di capacità di elaborazione aggiuntiva con uno o più acceleratori con l'intera gamma di risorse server-on-a-card.
- Integrazione multi-vendor, istanziata dal server SASE POP che fornisce servizi unificati basati su soluzioni che altrimenti sarebbero incompatibili su un singolo sistema.
- Controllo avanzato del traffico utilizzando lo switch di rete integrato nel processore Intel Atom per indirizzare i dati in entrata in modo appropriato, indipendentemente dal processore principale.
- Concatenamento dei servizi e fornitura di servizi SASE distribuiti utilizzando più acceleratori in un singolo server SASE POP.
Espandendo l'hardware e rendendolo più capace, questi fattori aiutano a ridurre i costi operativi riducendo il numero totale di server necessari per raggiungere un determinato obiettivo di prestazioni.
Elementi costitutivi per reti accelerate e sicurezza
Il progetto di riferimento fornisce un nodo di calcolo indipendente e funzionale che offre prestazioni e affidabilità di classe server all'interno di un inviluppo energetico conservativo. Fornisce commutazione Ethernet integrata e crittografia in linea per IPsec, oltre a operazioni look-aside, appropriate per i carichi di lavoro di crittografia di massa asincrona.
Processore Intel Atom: prestazioni elevate per Watt e IPSec in linea
La base del progetto di riferimento dell'acceleratore Intel NetSec è il processore Intel Atom, che fornisce un throughput elevato per i carichi di lavoro di rete e sicurezza in un fattore di forma SoC ad alta efficienza energetica. Il dispositivo altamente integrato incorpora Intel Ethernet, uno switch di rete e acceleratori hardware nel pacchetto SoC, che fornisce un funzionamento a bassa latenza e offre vantaggi significativitages nella riduzione dei costi delle apparecchiature, dei requisiti di spazio/server e del consumo energetico.
- Network Acceleration Complex (NAC) fornisce I/O e switching Ethernet ad alte prestazioni. Lo switch Ethernet a otto porte integrato fornisce la base per una sofisticata pipeline di elaborazione dei pacchetti da 100 GbE o 200 GbE completamente programmabile tramite le API fornite da Intel. La capacità di commutazione del processore fornisce una gestione avanzata del traffico utilizzando classificatori di pacchetti integrati, con bilanciamento del carico completo tra le porte.
- La tecnologia integrata Intel® QuickAssist (Intel QAT) Gen3 accelera la crittografia simmetrica e asimmetrica, portando fino a 100 Gbps di throughput. L'hardware Intel QAT comunica direttamente con il controller Ethernet integrato per decidere quali pacchetti elaborare e quali passare al processore, utilizzando lo switch integrato della piattaforma. Accorciando il percorso dei dati, questa funzionalità abilita IPsec in linea.
Scheda di rete Ethernet Intel E810: rete avanzata per funzioni di sicurezza
Il progetto di riferimento include un adattatore di rete Ethernet Intel E810. L'adattatore fornisce un throughput fino a 100 Gbps che richiede advantage di sofisticata elaborazione dei pacchetti, traffic shaping e accelerazione intelligente per migliorare le prestazioni. Utilizza gli stessi driver opensource di alta qualità degli adattatori di rete della macchina host, favorendo un'integrazione fluida della soluzione. Funzionalità tecnologiche aggiuntive supportano la rete intelligente integrata nel progetto di riferimento:
- Dynamic Device Personalization (DDP) consente agli amministratori di stabilire più profiles per diversi tipi di traffico, specificando i parametri di gestione dei pacchetti e le ottimizzazioni per ciascuno. La prioritizzazione del traffico basata su DDP può essere configurata dinamicamente in fase di esecuzione per migliorare la flessibilità e l'agilità.
- Application Device Queues (ADQ) fornisce il meccanismo per le singole applicazioni per riservare in modo proattivo una o più code hardware Ethernet dedicate. ADQ aiuta a garantire prestazioni deterministiche per i flussi di dati critici.
Conclusione
Il progetto di riferimento dell'acceleratore Intel NetSec è un progetto altamente efficiente per fornire tutte le funzionalità di un server indipendente in un fattore di forma PCIe per un'efficace integrazione slot-in nelle appliance di sicurezza e nelle piattaforme edge. Fornisce un ambiente di calcolo fisico separato all'interno dello chassis del server.
L'aggiunta di risorse, inclusa la memoria di sistema, nel progetto di riferimento consente al dispositivo acceleratore di funzionare indipendentemente dalla piattaforma del server principale. L'acceleratore esegue i servizi di sicurezza in modo indipendente per espandere la capacità del server, incluso il supporto per stack software multi-vendor che altrimenti non sarebbero compatibili su un singolo sistema.
Questa capacità può aiutare i clienti finali a ridurre il TCO supportando più servizi per host.
Il progetto di riferimento pre-convalidato semplifica lo sviluppo di nuove appliance di sicurezza da parte di OEM e ODM, collaborando con fornitori di soluzioni di rete e di sicurezza.
Migliora la flessibilità della piattaforma e riduce i requisiti di progettazione per gli sviluppatori di soluzioni, aiutandoli a portare nuovi prodotti di sicurezza sul mercato in modo più rapido ed economico.
Per ulteriori informazioni sui processori Intel Atom, visitare:
www.intel.com/atom
Soluzione fornita da:
Le prestazioni variano in base all'uso, alla configurazione e ad altri fattori. Ulteriori informazioni su www.Intel.com/PerformanceIndex I risultati delle prestazioni si basano sui test eseguiti nelle date indicate nelle configurazioni e potrebbero non riflettere tutti gli aggiornamenti disponibili pubblicamente. Vedere backup per i dettagli di configurazione. Nessun prodotto o componente può essere assolutamente sicuro.
Le tecnologie Intel potrebbero richiedere l'attivazione di hardware, software o servizi abilitati.
Nessun prodotto o componente può essere assolutamente sicuro.
I tuoi costi e risultati possono variare.
I nomi in codice vengono utilizzati da Intel per identificare prodotti, tecnologie o servizi in fase di sviluppo e non disponibili al pubblico. Questi non sono nomi "commerciali" e non sono destinati a funzionare come marchi di fabbrica.
Eventuali previsioni di beni e servizi necessari per le operazioni di Intel vengono fornite solo a scopo di discussione. Intel non avrà alcuna responsabilità per effettuare acquisti in relazione alle previsioni pubblicate in questo documento.
© Intel Corporation. Intel, il logo Intel e altri marchi Intel sono marchi di Intel Corporation o delle sue consociate. Altri nomi e marchi possono essere rivendicati come proprietà di terzi.
0522/HD/MESH/349364-001US
Documenti / Risorse
 |
Il progetto di riferimento intel accelera le funzioni critiche di rete e sicurezza [pdf] Guida utente Il progetto di riferimento accelera le funzioni critiche di rete e sicurezza, accelera le funzioni critiche di rete e sicurezza, le funzioni critiche di rete e sicurezza, le funzioni di sicurezza |
