BLOG

En el tiempo de NIC

Miniatura de Bart Salaets
Bart Salaets
Publicado el 8 de octubre de 2020

Si quitabas la carcasa de tu computadora de escritorio en los años 90, una de las primeras cosas que veías era una tarjeta de interfaz de red (NIC), el componente utilizado para conectar tu máquina a un cable Ethernet.

Por improbable que parezca, la humilde NIC ahora está preparada para ayudar a la industria de las telecomunicaciones y a sus clientes a combatir un enorme aumento global de ataques distribuidos de denegación de servicio (DDoS). Entre otras cosas.

Las NIC modernas hacen mucho más que dirigir el tráfico. Ahora conocido como SmartNIC, este hardware especializado puede ayudar a resolver uno de los mayores desafíos de las empresas de telecomunicaciones: pasar a una arquitectura virtualizada que se basa en servidores estándar de la industria controlados por CPU (unidades centrales de procesamiento). Diseñadas para soportar funciones de red en la nube, estas máquinas virtuales a menudo están mal equipadas para hacer frente a grandes ataques DDoS donde grandes cantidades de dispositivos solicitan recursos de red al mismo tiempo. Las CPU se verían rápidamente sobrecargadas.

En este momento, estas CPU necesitan más protección que nunca. Según un análisis reciente de los datos del Informe de incidentes de seguridad (SIRT) realizado por F5 Labs , los ataques DDoS representaron solo una décima parte de todos los incidentes de clientes notificados en enero. En marzo, la cifra había aumentado hasta triplicarse respecto de todos los incidentes. Es más, el 4,2% de los ataques DDoS notificados al F5 SIRT el año pasado se identificaron como dirigidos contra aplicaciones web. En 2020, esta cifra se multiplicó por seis y alcanzó el 26%. Hay muchos otros estudios que se hacen eco de estas tendencias, y no es ningún misterio por qué sucede. El trabajo remoto y el paso de más tiempo en línea han aumentado significativamente los niveles de riesgo y las superficies de ataque disponibles.

Una forma de protegerse es colocar un equipo específico, diseñado específicamente para detectar y mitigar ataques DDoS, delante de la red virtual. Si bien esa sigue siendo una opción viable, reduce algunas de las ventajas de costo de optar por una red virtual completa. Los dispositivos dedicados también ocuparían un espacio valioso en los centros edge computing compactos que las empresas de telecomunicaciones están implementando para reducir la latencia de la red.

El hardware echa una mano

En F5, nos dimos cuenta de que trasladar las capacidades de mitigación de DDoS volumétricas a una SmartNIC equipada con procesadores especializados, también conocidos como matrices de puertas programables en campo (FPGA), puede marcar una gran diferencia en un mundo más virtualizado y centrado en la nube. Es fundamental que los procesadores especializados puedan manejar gran parte del trabajo pesado y filtrar el tráfico entrante mucho más rápido que una implementación de software tradicional que se ejecuta en CPU.

Fue una idea que nos impulsó a convertirnos en la primera empresa de software en crear una aplicação especialmente para la tarjeta de aceleración programable FPGA de Intel (N3000 SmartNIC). Ha sido validado y probado por algunos de los principales proveedores de servicios del mundo.

Para darle vida a nuestra visión, programamos los FPGA Intel SmartNIC de la misma manera que programamos los FPGA en nuestro propio hardware para soportar la solución BIG-IP Advanced Firewall Manager (AFM) Virtual Edition, que está diseñada para bloquear de manera eficiente los ataques DDoS entrantes en entornos de nube utilizando aceleración de hardware.

Al utilizar SmartNIC para gestionar inteligencia sobre amenazas de red, análisis basado en paquetes, listas blancas y otras medidas de mitigación de DDoS, la solución mantiene los ciclos de CPU libres para otras funciones. Esto permite que la red siga funcionando con normalidad. Mejor aún, las SmartNIC son extremadamente rápidas. La inspección y eliminación de paquetes maliciosos dentro de SmartNIC ocurre a velocidad de línea, lo que significa que tanto la latencia como la experiencia del usuario no se ven afectadas. De hecho, trasladar funciones específicas a una SmartNIC, como las contramedidas DDoS, puede mejorar el rendimiento y reducir la latencia tanto en el núcleo como en el borde de la red.

Tampoco se trata de lograr ganancias incrementales, y los beneficios de aprovechar las SmartNIC son potencialmente enormes. Por ejemplo, la solución F5 BIG-IP VE puede manejar ataques DDoS hasta 300 veces más grandes que las implementaciones basadas solo en software, al mismo tiempo que reduce el costo total de propiedad en aproximadamente un 47%.

Al mantener una red de nivel de operador segura y fácilmente disponible, una solución basada en SmartNIC significa que los operadores pueden cumplir con exigentes acuerdos de nivel de servicio y brindar conexiones de latencia ultrabaja sin recurrir a hardware personalizado costoso y de alto rendimiento. 

Al mismo tiempo, un FPGA se puede reprogramar para adaptarse, lo que brinda a las empresas de telecomunicaciones una mayor flexibilidad y agilidad arquitectónica, al tiempo que permite que los servidores estándar se concentren exclusivamente en la tarea principal de manejar las funciones de red nativas de la nube.

Defendiendo con ventaja

Dado que la industria de las telecomunicaciones se adapta rápidamente a las demandas cada vez más complejas de las empresas y los consumidores, SmartNIC de Intel parece haber llegado justo a tiempo. 

En una red de telecomunicaciones tradicional, es posible que haya algunos grandes centros de datos con todo centralizado. Podrías colocar un par de cajas grandes frente a estos para protegerlos de ataques DDoS. Eso fue entonces. 

Hoy en día, los dispositivos físicos diseñados específicamente para este fin se están volviendo obsoletos a medida que la computación se distribuye más ampliamente en la red. Esto incluye a las empresas de telecomunicaciones que implementan centros de datos en el borde de su infraestructura para que las aplicaciones y servicios exigentes, como los juegos en línea y la realidad virtual, respondan mejor. 

Las SmartNIC desempeñarán un papel especialmente importante a medida que la edge computing se generalice, sirviendo como una de las principales líneas de defensa en una red distribuida. Y, en F5, ya estamos hablando con varios operadores importantes sobre la migración de sus sistemas de mitigación de DDoS desde hardware dedicado a esta tecnología.

El futuro ciertamente parece brillante para las SmartNIC, que claramente ofrecen una forma innovadora y rentable de reforzar la seguridad y el rendimiento de una red nativa de la nube. La innovadora implementación de DDoS por parte de F5 es una prueba contundente de ello, y es probable que se sumen muchos otros casos de uso.

¡Aún hay mucha vida en esas viejas y confiables tarjetas de interfaz de red! De hecho, gracias a sus nuevas y más inteligentes encarnaciones, sus mejores días (y más productivos) aún están por venir. Mire este espacio.

¿Quieres saber más? Vea nuestro seminario web a pedido (Mitigación de DDoS en infraestructuras virtualizadas utilizando Intel SmartNIC ).