BLOG

Im NIC der Zeit

Bart Salaets Miniaturbild
Bart Salaets
Veröffentlicht am 08. Oktober 2020

Wenn Sie in den 1990er-Jahren das Gehäuse Ihres Desktop-Computers entfernten, war eines der ersten Dinge, die Sie sahen, eine Netzwerkschnittstellenkarte (NIC) – die Komponente, die zum Anschließen Ihres Geräts an ein Ethernet-Kabel verwendet wird.

So unwahrscheinlich es auch klingen mag, die einfache Netzwerkkarte soll der Telekommunikationsbranche und ihren Kunden nun dabei helfen, einen enormen weltweiten Anstieg von Distributed-Denial-of-Service-Angriffen (DDoS) zu bekämpfen. Unter anderem.

Moderne Netzwerkkarten können viel mehr als nur den Datenverkehr leiten. Diese spezielle Hardware, die jetzt als SmartNICs bekannt ist, kann dazu beitragen, eine der größten Herausforderungen für Telekommunikationsunternehmen zu lösen: die Umstellung auf eine virtualisierte Architektur, die auf Industriestandardservern basiert, die von CPUs (Central Processing Units) gesteuert werden. Diese virtuellen Maschinen wurden entwickelt, um Netzwerkfunktionen in der Cloud zu unterstützen, sind jedoch häufig nicht in der Lage, mit größeren DDoS-Angriffen fertig zu werden, bei denen eine große Anzahl von Geräten gleichzeitig Netzwerkressourcen anfordern. Die CPUs wären schnell überlastet.

Gerade jetzt benötigen diese CPUs mehr Schutz denn je. Einer aktuellen Analyse der SIRT-Daten (Security Incident Report) durch F5 Labs zufolge waren DDoS-Angriffe im Januar für lediglich ein Zehntel aller gemeldeten Kundenvorfälle verantwortlich. Bis März war ihre Zahl auf das Dreifache aller Vorfälle angestiegen. Darüber hinaus wurde festgestellt, dass 4,2 % der DDoS-Angriffe, die dem F5 SIRT im letzten Jahr gemeldet wurden, auf Webanwendungen abzielten. Dieser Anteil hat sich im Jahr 2020 versechsfacht und liegt nun bei 26 %. Es gibt zahlreiche andere Studien, die diese Tendenzen bestätigen und die Gründe dafür sind kein Geheimnis. Durch die Arbeit von zu Hause und die Tatsache, dass die Menschen mehr Zeit online verbringen, sind sowohl die Risiken als auch die verfügbaren Angriffsflächen deutlich gestiegen.

Eine Möglichkeit zum Schutz besteht darin, dem virtuellen Netzwerk ein spezielles Kit vorzuschalten, das speziell für die Erkennung und Abwehr von DDoS-Angriffen entwickelt wurde. Dies ist zwar immer noch eine praktikable Option, schmälert jedoch einige der Kostenvorteile, die ein vollständig virtuelles Netzwerk mit sich bringt. Die dedizierten Geräte würden außerdem wertvollen Platz in den kompakten Edge-Computing-Zentren beanspruchen, die derzeit von den Telekommunikationsunternehmen eingeführt werden, um die Netzwerklatenz zu reduzieren.

Hardware hilft mit

Bei F5 haben wir erkannt, dass die Portierung volumetrischer DDoS-Minderungsfunktionen auf eine SmartNIC mit spezialisierten Prozessoren – auch bekannt als Field Programmable Gate Arrays (FPGA) – in einer stärker virtualisierten und Cloud-zentrierten Welt einen großen Unterschied machen kann. Entscheidend ist, dass die spezialisierten Prozessoren einen Großteil der Arbeit bewältigen und den eingehenden Datenverkehr viel schneller filtern können als eine herkömmliche Softwareimplementierung, die auf CPUs läuft.

Diese Erkenntnis veranlasste uns dazu, als erstes Softwareunternehmen eine Anwendung speziell für die programmierbare FPGA-Beschleunigungskarte (N3000 SmartNIC) von Intel zu entwickeln . Es wurde von einigen der weltweit führenden Dienstanbieter validiert und getestet.

Um unsere Vision in die Tat umzusetzen, haben wir die Intel SmartNIC FPGAs auf die gleiche Weise programmiert, wie wir FPGAs in unserer eigenen Hardware programmieren, um die BIG-IP Advanced Firewall Manager (AFM) Virtual Edition-Lösung zu unterstützen, die darauf ausgelegt ist, eingehende DDoS-Angriffe in Cloud-Umgebungen mithilfe von Hardwarebeschleunigung effizient zu blockieren.

Durch die Nutzung des SmartNIC zur Verarbeitung von Netzwerkbedrohungsinformationen, paketbasierten Analysen, Whitelists und anderen DDoS-Minderungsmaßnahmen hält die Lösung die CPU-Zyklen für andere Funktionen frei. Dadurch kann das Netzwerk wie gewohnt weiterlaufen. Noch besser: SmartNICs sind extrem schnell. Die Überprüfung und Entfernung schädlicher Pakete innerhalb des SmartNIC erfolgt mit Leitungsgeschwindigkeit, sodass weder die Latenz noch das Benutzererlebnis beeinträchtigt werden. Tatsächlich kann die Verlagerung bestimmter Funktionen auf eine SmartNIC, wie etwa DDoS-Gegenmaßnahmen, die Leistung steigern und die Latenz sowohl im Kern als auch am Netzwerkrand verringern.

Dabei geht es nicht darum, inkrementelle Gewinne zu erzielen, und die Vorteile, die sich aus der Nutzung von SmartNICs ergeben, sind potenziell enorm. Beispielsweise kann die F5 BIG-IP VE-Lösung bis zu 300-mal größere DDoS-Angriffe bewältigen als reine Softwareimplementierungen und reduziert dabei die Gesamtbetriebskosten um etwa 47 %.

Indem ein Carrier-Netzwerk sicher und jederzeit verfügbar gehalten wird, können Betreiber mit einer SmartNIC-basierten Lösung anspruchsvolle Service Level Agreements einhalten und Verbindungen mit extrem geringer Latenz bereitstellen, ohne auf kostspielige, kundenspezifische Hochleistungshardware zurückgreifen zu müssen. 

Gleichzeitig lässt sich ein FPGA entsprechend neu programmieren, was den Telekommunikationsunternehmen eine größere architektonische Flexibilität und Agilität bietet, während sich Standardserver gleichzeitig ausschließlich auf ihre Kernaufgabe, die Handhabung Cloud-nativer Netzwerkfunktionen, konzentrieren können.

Mit Vorteil verteidigen

Da sich die Telekommunikationsbranche schnell an die immer komplexeren Anforderungen von Unternehmen und Verbrauchern anpasst, scheint Intels SmartNIC gerade zur rechten Zeit gekommen zu sein. 

In einem herkömmlichen Telekommunikationsnetzwerk gab es möglicherweise einige große Rechenzentren, in denen alles zentralisiert war. Sie könnten davor ein paar große Boxen aufstellen, um sie vor DDoS-Angriffen zu schützen. Das war damals. 

Heutzutage werden physische, speziell angefertigte Geräte obsolet, da die Computernutzung im Netzwerk immer weiter verteilt wird. Dazu gehört, dass Telekommunikationsunternehmen Rechenzentren am Rand ihrer Infrastruktur einrichten, um die Reaktionsfähigkeit anspruchsvoller Apps und Dienste wie Online-Gaming und Virtual Reality zu verbessern. 

SmartNICs werden mit der zunehmenden Verbreitung des Edge Computing eine besonders wichtige Rolle spielen und als eine der wichtigsten Verteidigungslinien in einem verteilten Netzwerk dienen. Und bei F5 sprechen wir bereits mit mehreren großen Betreibern über die Migration ihrer DDoS-Minderungssysteme von dedizierter Hardware auf die Technologie.

Die Zukunft sieht für SmartNICs sicherlich rosig aus, da sie eindeutig eine innovative und kosteneffiziente Möglichkeit bieten, die Sicherheit und Leistung eines Cloud-nativen Netzwerks zu verbessern. Die bahnbrechende DDoS-Implementierung von F5 ist ein deutlicher Beweis hierfür und es werden wahrscheinlich viele weitere Anwendungsfälle folgen.

Die guten alten Netzwerkschnittstellenkarten haben noch eine lange Lebensdauer! Tatsächlich stehen ihnen ihre besten (und produktivsten) Tage dank ihrer neuen und intelligenteren Inkarnationen noch bevor. Bleiben Sie dran.

Möchten Sie mehr erfahren? Schauen Sie sich unser On-Demand-Webinar an (DDoS-Minderung in virtualisierten Infrastrukturen mit Intel SmartNIC ).