BLOG

Dans le NIC du Temps

Miniature de Bart Salaets
Bart Salaets
Publié le 08 octobre 2020

Si vous retiriez le boîtier de votre ordinateur de bureau dans les années 1990, l’une des premières choses que vous verriez était une carte d’interface réseau (NIC), le composant utilisé pour brancher votre machine à un câble Ethernet.

Aussi improbable que cela puisse paraître, le modeste NIC est désormais prêt à aider l'industrie des télécommunications et ses clients à lutter contre une énorme augmentation mondiale des attaques par déni de service distribué (DDoS). Entre autres choses.

Les cartes réseau modernes font bien plus que diriger le trafic. Désormais connu sous le nom de SmartNIC, ce matériel spécialisé peut aider à résoudre l’un des plus grands défis des opérateurs de télécommunications : passer à une architecture virtualisée qui s’appuie sur des serveurs standard de l’industrie contrôlés par des CPU (unités centrales de traitement). Conçues pour prendre en charge les fonctions réseau dans le cloud, ces machines virtuelles sont souvent mal équipées pour faire face aux attaques DDoS majeures où un grand nombre d'appareils demandent des ressources réseau en même temps. Les processeurs seraient rapidement débordés.

À l’heure actuelle, ces processeurs ont besoin de plus de protection que jamais. Selon une analyse récente des données du Security Incident Report (SIRT) réalisée par F5 Labs , les attaques DDoS ne représentaient qu'un dixième de tous les incidents clients signalés en janvier. En mars, leur nombre avait triplé par rapport à l’ensemble des incidents. De plus, 4,2 % des attaques DDoS signalées au F5 SIRT l’année dernière ont été identifiées comme ciblant des applications Web. Ce chiffre a été multiplié par six en 2020, pour atteindre 26 %. Il existe de nombreuses autres études faisant écho à ces tendances, et les raisons pour lesquelles cela se produit ne sont pas un mystère. Le travail à distance et le temps accru passé en ligne ont considérablement augmenté les niveaux de risque et les surfaces d’attaque disponibles.

Une façon de vous protéger est de placer un équipement dédié, spécialement conçu pour détecter et atténuer les attaques DDoS, devant le réseau virtuel. Bien que cela reste une option viable, cela réduit certains des avantages financiers liés à l’utilisation d’un réseau entièrement virtuel. Les appareils dédiés occuperaient également un espace précieux dans les centres de calcul compacts actuellement déployés par les opérateurs de télécommunications pour réduire la latence du réseau.

Le matériel donne un coup de main

Chez F5, nous avons réalisé que le portage des capacités d'atténuation volumétrique des attaques DDoS vers une SmartNIC équipée de processeurs spécialisés, également appelés FPGA (Field Programmable Gate Array), peut faire une grande différence dans un monde plus virtualisé et centré sur le cloud. Il est essentiel de noter que les processeurs spécialisés sont capables de gérer une grande partie des tâches lourdes et de filtrer le trafic entrant beaucoup plus rapidement qu’une implémentation logicielle traditionnelle exécutée sur des processeurs.

C'est cette idée qui nous a poussé à devenir la première société de logiciels à créer une application spécialement pour la carte d'accélération programmable FPGA d'Intel (N3000 SmartNIC). Il a été validé et testé par certains des plus grands fournisseurs de services mondiaux.

Pour donner vie à notre vision, nous avons programmé les FPGA Intel SmartNIC de la même manière que nous programmons les FPGA dans notre propre matériel pour prendre en charge la solution BIG-IP Advanced Firewall Manager (AFM) Virtual Edition, conçue pour bloquer efficacement les attaques DDoS entrantes dans les environnements cloud à l'aide de l'accélération matérielle.

En utilisant SmartNIC pour gérer les renseignements sur les menaces réseau, l'analyse par paquets, la liste blanche et d'autres mesures d'atténuation DDoS, la solution garde les cycles CPU libres pour d'autres fonctions. Cela permet au réseau de continuer à fonctionner normalement. Mieux encore, les SmartNIC sont extrêmement rapides. L'inspection et la suppression des paquets malveillants dans le SmartNIC s'effectuent à un débit de ligne, ce qui signifie que la latence et l'expérience utilisateur ne sont pas affectées. En effet, déplacer des fonctions spécifiques vers une SmartNIC, telles que les contre-mesures DDoS, peut améliorer les performances et réduire la latence à la fois au cœur et à la périphérie du réseau.

Il ne s’agit pas non plus de réaliser des gains progressifs, et les avantages liés à l’exploitation des SmartNIC sont potentiellement énormes. Par exemple, la solution F5 BIG-IP VE peut gérer des attaques DDoS jusqu'à 300 fois plus importantes que les implémentations uniquement logicielles, tout en réduisant le coût total de possession d'environ 47 %.

En gardant un réseau de qualité opérateur sécurisé et facilement disponible, une solution basée sur SmartNIC signifie que les opérateurs peuvent respecter des accords de niveau de service exigeants et fournir des connexions à très faible latence sans recourir à du matériel personnalisé coûteux et hautes performances. 

Dans le même temps, un FPGA peut être reprogrammé pour s'adapter, offrant aux opérateurs de télécommunications une plus grande flexibilité et agilité architecturale, tout en permettant aux serveurs standard de se concentrer uniquement sur la tâche principale de gestion des fonctions réseau natives du cloud.

Se défendre avec un avantage

Alors que le secteur des télécommunications s’adapte rapidement aux demandes de plus en plus complexes des entreprises et des consommateurs, la SmartNIC d’Intel semble être arrivée à point nommé. 

Dans un réseau de télécommunications traditionnel, il pouvait y avoir quelques grands centres de données où tout était centralisé. Vous pouvez déployer quelques grandes boîtes devant celles-ci pour les protéger des attaques DDoS. C'était alors. 

De nos jours, les appareils physiques spécialement conçus deviennent obsolètes à mesure que l'informatique est de plus en plus distribuée sur le réseau. Cela inclut les opérateurs de télécommunications qui déploient des centres de données à la périphérie de leur infrastructure pour que les applications et services exigeants, tels que les jeux en ligne et la réalité virtuelle, répondent mieux. 

Les SmartNIC joueront un rôle particulièrement important à mesure que l’informatique de pointe se généralisera, servant d’une des principales lignes de défense dans un réseau distribué. Et, chez F5, nous discutons déjà avec plusieurs opérateurs majeurs de la migration de leurs systèmes d'atténuation DDoS du matériel dédié vers cette technologie.

L’avenir s’annonce prometteur pour les SmartNIC, qui offrent clairement un moyen innovant et rentable de renforcer la sécurité et les performances d’un réseau cloud natif. L’implémentation révolutionnaire de DDoS par F5 en est la preuve irréfutable, et de nombreux autres cas d’utilisation sont susceptibles de suivre.

Ces vieilles cartes d’interface réseau ont encore beaucoup de vie ! En fait, grâce à leurs nouvelles incarnations plus intelligentes, leurs meilleurs jours (et les plus productifs) sont encore à venir. Surveillez cet espace.

Vous souhaitez en savoir plus ? Consultez notre webinaire à la demande (atténuation des attaques DDoS dans les infrastructures virtualisées à l'aide d'Intel SmartNIC ).