找準邊界,吃定安全 | 高性能硬件防御問題難解?硬件加速引擎閃亮登場


山石網科 A7600 智能下一代防火墻
高性能、高可靠、輕量化、更便捷
軟件靈活性和硬件高效性的統一

【找準邊界,吃定安全】往期文章:

從訪問控制談起,再看零信任模型

威脅情報加持,泛邊界下的全局主動防御體系如何著手?

流量劇增?看山石網科如何打破傳統限制

 

 

1、ABC 時代的阿喀琉斯之踵

隨著以 A(I) B(igdata) C(loud) 為代表的新業務日益普及,物聯網應用日趨成熟,5G 時代日漸到來,這些都進一步激發了互聯網的流量持續高速增長。此外,Google 的一篇論文也提到,數據中心的流量每 9 個月就會翻一倍,每 5 年將增長 100 倍。

在此背景下,IT 基礎設施的硬件和軟件產生以下變化:

? 大數據和機器學習等數據密集型的計算越來越多,提高了分布式計算環境下對低時延、高帶寬的需求,通過傳統的軟硬件體系架構很難滿足。

? CPU 性能瓶頸逐漸顯現,摩爾定律近似失效,雖然出現多核技術,但其承載的工作負載數量和單個工作負載 CPU 資源消耗仍在增加,硬件加速勢在必行。

? 云計算是各種復雜場景的疊加,如何把其承載的多業務場景優化融匯到一套平臺化方案里,既滿足靈活性的要求,又滿足性能加速的要求,有很大的挑戰。

? 軟硬件之間的鴻溝越來越大。CPU 性能低下,定制 ASIC 難以大規模復制且周期長;軟件迭代速度變快,而硬件迭代卻在變慢;芯片研發工藝趨于復雜,周期長,風險高,投入高,這些問題都制約著軟件的發展。

? 數據中心網絡容量持續升級,服務器網卡從 25Gbps 升級到 100Gbps,網絡交換機從100Gbps 升級到 200G/400Gbps。網絡設備面臨三高一低的需求(高性能、高可用、高并發、低時延),因此,流量處理需要硬件加速。


圖注:帶寬性能增速比 (RBP) 失調,

引自《專用數據處理器 (DPU) 技術白皮書》

2、軟硬件融合的解決之道

為了應對上述挑戰,業界提出了全新的設計理念和方法——軟硬件融合。軟硬件融合,本質上是快慢融合,互聯網軟件需要足夠靈活,能夠快速迭代和優化;底層硬件需要有足夠的性能和運行效率。軟件具有靈活性,性能雖“慢”,卻“快”速迭代;硬件具有很高的執行效率,性能雖“快”,開發卻“慢”。軟硬件融合即是要將硬件的性能和軟件的靈活性通過多種硬件平臺進行有效組合,達到軟件靈活性和硬件高效性的統一。

注:任務在 CPU 運行,則定義為軟件運行 ; 任務在協處理器、GPU、FPGA 或 ASIC 運行,則定義為硬件加速運行。


圖注:各種硬件平臺的對比

(指令復雜度、運行頻率、并行度)
軟硬件融合的意義在于:

? 采用 CPU + 協處理器 + GPU + FPGA + ASIC 等超異構混合硬件平臺計算處理復雜多變的業務,都是每種應用負載和流量在軟硬件解耦和均衡基礎上的再協同和再優化

? 兼顧軟件靈活性和硬件高性能,既要極致性能,又要靈活性,讓硬件更加靈活、彈性、可擴展,彌補硬件和軟件之間的鴻溝

? 應對云計算、大數據及人工智能等復雜應用挑戰

? 降低芯片一次性成本過高和周期過長導致的設計風險


圖注:不同類型的處理器的特征和應用場景
引自《專用數據處理器 (DPU) 技術白皮書》

3、業界前沿的應用情況

2017 年 10 月,AWS 和阿里云分別發布了 Nitro 和“神龍”架構服務器,這兩個為了解決虛擬化問題而相繼問世的軟硬件融合和異構計算創新產品,被業界視作迄今最成功的兩款 DPU(以數據為中心構建的專用處理器)。

AWS 的 Nitro 系統是基于 Arm 架構的 AL72400 芯片,做成將網絡和存儲 offload 的 Nitro VPC 卡和 Nitro EBS 卡,以及本地存儲的 Instance Storage 卡。Nitro 架構改變了服務器硬件的主從關系,當所有的 Dom0 全部 Offload 到網卡之后,主處理邏輯全部在智能網卡,主從的關系也需要發生逆轉。因此,智能網卡變成了主管理節點,而服務器上的其他部件變成了從服務節點。

現在,這個硬件可以讓虛擬化引擎以最小化的體積運行,因為它不需要去處理網絡和存儲的數據處理任務。至此,AWS 的數據中心問題解決了,但性能只有 3M PPS,之后推出的基于 16c Arm A72 架構的 100G Nitro 網卡進一步實現了更低時延、更高可靠性以及 3 倍 PPS 性能的提升,性能的問題也基本上得到了解決。

阿里云“神龍”基于 CPU+FPGA 方案,從支持裸金屬的虛擬化,做到性能超越物理機的裸金屬服務器;再到第二代神龍做到了“一套軟硬件,三種服務(裸金屬服務器 + 虛擬機服務 + 容器)”,解決了虛擬機和裸金屬分池的問題,性能層面也實現了“虛擬機性能接近裸金屬”;之后的第三代、第四代做到了 24M、50M 的 PPS 能力,在解決了數據中心稅的同時,實現了性能的大幅飛躍。

在 7 月初剛結束的 2022 年阿里云峰會上,阿里云智能總裁張建鋒對外發布了一款云數據中心專用處理器 CIPU(Cloud infrastructure Processing Units),這是為新型云數據中心設計的專用處理器,未來將替代 CPU 成為云計算的管控和加速中心。CIPU 向下接入物理的計算、存儲、網絡資源,快速云化并進行硬件加速;向上接入飛天云操作系統,管控阿里云全球上百萬臺服務器。它被業內人士認為是一款定義下一代云計算標準的開創性產品。

微軟的 Azure 也在考慮了可編程性、性能和效率的權衡后,使用了基于 FPGA 的自定義 Azure SmartNICs,將主機網絡卸載到硬件的解決方案。

隨著 AWS Nitro、阿里云神龍架構的引領,京東、騰訊、字節等公司也采用了類似的架構構建自己的公共云計算服務,數據中心計算架構的中心開始向智能網卡和 DPU 傾斜。

在 SDN 領域,軟硬件融合理念的應用也越來越普及。SDN 之父 Nick 教授在創立 Openflow進行試水后改進了理念,只在數據平面做文章,推出了P4可編程語言,配合白盒交換機或SmartNICs/DPU,在 SDN 落地可行性、性能、功耗、成本等方面找到了平衡點。阿里云洛神Sailfish 云網關使用 Barefoot 公司的可編程 ASIC Tofino 芯片交換機,利用 P4 靈活的可編程特性,實現了高性能(吞吐量、包速率分別比 X86 網關提高 20 倍和 72 倍,而平均延時也比 X86 網關低95%),而 Barefoot 公司正是由 Nick 教授創立的,在 2019 年被 Intel 收購。

4、山石網科在網絡安全領域的軟硬件融合探索之路

防火墻系列作為山石網科的硬核產品,一直廣受業界認可,連續八年入選國際權威分析機構Gartner 的“網絡防火墻類魔力象限”,并在 2021 年實現了從“利基者”到“遠見者”的閃亮進階。


圖注:Gartner 網絡防火墻魔力象限(2021)
作為國內網絡安全領域的技術創新領導廠商,山石網科一直在探索網絡安全軟硬件融合解決方案。StoneOS是山石網科具有自主知識產權的網絡安全操作系統,建立在通用 OS 基礎之上的網絡安全系統平臺,經過 15 年以上的歷史積累,支持豐富的功能,可支持多核處理器及分布式多 CPU 系統,StoneOS類似于以下友商的網絡操作系統,如思科 IOS、VRP、華三 Comware 和 Juniper JUNOS。


圖注: StoneOS 的架構和軟件模塊示意圖
在承載 StoneOS 的硬件層面,山石網科防火墻經歷了從基于 MIPS 架構的 E 系列到融合構架的 A 系列產品線,通過敏銳的洞察力和對市場前沿技術異構計算在安全領域應用場景的理解,分析如下:

很多的安全產品如 UTM Firewall、IDPS、DPI、上網行為管理、AV、ZTNA SDP、抗 DDoS 設備等,在網絡流量持續增長時,很多設備都具有高新建、高并發、高吞吐等特點,是典型的 I/O 密集型應用場景,需要大量 CPU 資源來處理相應的業務邏輯,性能上的瓶頸非常明顯。通過異構計算架構對這些安全功能產品做硬件加速,已經是必然趨勢。隨著云計算和虛擬化技術的發展,上述的安全功能產品的實現方式轉為虛擬化或者 NFV 方式,并通過云平臺來部署統一管理。這些安全功能產品由于部署在數據中心流量的主要路徑上,轉發性能對整體網絡的吞吐量和時延具有重要的影響。

由于上述安全產品對應用報文處理的深度不同,有些只需要在四層以下處理,有些則需要在四至七層進行處理,所以在硬件加速平臺的卸載方式上也存在不同。如 UTM Firewall 和DDoS 等設備,可以通過流表卸載的方式,對流量進行攔截,來加速運行在主機系統中的安全服務應用。如IDPS、DPI 和上網行為管理設備,需要做深度包分析和檢測,這時需要硬件加速平臺的 CPU 具有較強的性能。

根據以上的分析,結合硬件平臺上豐富的自主研發經驗,山石網科探索出硬件和軟件場景下兩種不同的解決方案:


圖注:硬件方案 : 四層以下流量由 ASIC 芯片處理,

四層以上流量由 Hillstone Mars 硬件加速引擎處理


圖注:軟件方案:云環境 X86 服務器上

南北向安全流量卸載

5、山石網科重鎊發布基于 CPU+Hillstone Mars 硬件加速引擎的高性能防火墻


圖注:采用 Hillstone Mars 硬件

加速引擎的 A7600 智能下一代防火墻
通過深入客戶安全需求,走近客戶痛點場景,山石網科持續精進安全能力,不斷為用戶提供高性能、高可靠、輕量化、更便捷的安全服務,真正解決用戶實際問題。

山石網科推出智能下一代防火墻A7600,搭載 Hillstone Mars 硬件加速引擎,整機吞吐可達320Gbps,小包性能140Gbps,可滿足數據中心等對流量要求較高的場景需求。Hillstone Mars 硬件加速引擎專注于流量卸載,在較高流量場景下,也可輕松卸載 CPU 的壓力,使得 CPU 更加聚焦綜合安全業務處理能力,向客戶帶來更極致的安全防護體驗。

在 Hillstone Mars 硬件加速引擎的加持下,報文轉發延時可低至幾微秒,完全勝任對時延敏感的應用場景。同時,為應對當前越來越多的加密業務,避免提升安全性的同時損失轉發性能,山石網科 A 系列智能下一代防火墻具備硬件解密引擎,相比于純軟件解密,SSL 解密效率提升 2.5+ 倍,有力保障企業業務的高效開展。