BLOGUE

Na NIC do Tempo

Miniatura de Bart Salaets
Bart Salaets
Publicado em 08 de outubro de 2020

Se você removesse o gabinete do seu computador de mesa na década de 1990, uma das primeiras coisas que veria seria uma placa de interface de rede (NIC), o componente usado para conectar sua máquina a um cabo Ethernet.

Por mais improvável que pareça, o humilde NIC agora está pronto para ajudar o setor de telecomunicações e seus clientes a combater um enorme aumento global de ataques de negação de serviço distribuído (DDoS). Entre outras coisas.

As NICs modernas fazem muito mais do que direcionar tráfego. Agora conhecido como SmartNICs, esse hardware especializado pode ajudar a resolver um dos maiores desafios das empresas de telecomunicações: migrar para uma arquitetura virtualizada que depende de servidores padrão da indústria controlados por CPUs (unidades centrais de processamento). Projetadas para oferecer suporte a funções de rede na nuvem, essas máquinas virtuais geralmente não estão equipadas para lidar com grandes ataques DDoS, nos quais um grande número de dispositivos solicita recursos de rede ao mesmo tempo. As CPUs seriam rapidamente sobrecarregadas.

No momento, essas CPUs precisam de mais proteção do que nunca. De acordo com uma análise recente dos dados do Relatório de Incidentes de Segurança (SIRT) do F5 Labs , os ataques DDoS foram responsáveis por apenas um décimo de todos os incidentes de clientes relatados em janeiro. Em março, o número de incidentes havia triplicado. Além disso, 4,2% dos ataques DDoS relatados ao F5 SIRT no ano passado foram identificados como tendo como alvo aplicativos da web. Esse número aumentou seis vezes em 2020, para 26%. Há vários outros estudos que ecoam essas tendências, e não é nenhum mistério o porquê disso estar acontecendo. O trabalho remoto e as pessoas passando mais tempo online aumentaram significativamente os níveis de risco e as superfícies de ataque disponíveis.

Uma maneira de se proteger é colocar um kit dedicado, projetado especificamente para detectar e mitigar ataques DDoS, na frente da rede virtual. Embora essa ainda seja uma opção viável, ela reduz algumas das vantagens de custo de se optar por uma rede virtual completa. Os dispositivos dedicados também ocupariam um espaço valioso nos centros compactos de computação de ponta que estão sendo implementados pelas empresas de telecomunicações para reduzir a latência da rede.

O hardware dá uma mãozinha

Na F5, percebemos que portar recursos volumétricos de mitigação de DDoS para um SmartNIC equipado com processadores especializados, também conhecidos como field programmable gate arrays (FPGA), pode fazer uma grande diferença em um mundo mais virtualizado e centrado na nuvem. Fundamentalmente, os processadores especializados são capazes de lidar com grande parte do trabalho pesado e filtrar o tráfego de entrada muito mais rápido do que uma implementação de software tradicional executada em CPUs.

Foi uma percepção que nos levou a nos tornar a primeira empresa de software a criar um aplicativo especialmente para a placa de aceleração programável FPGA da Intel (N3000 SmartNIC). Ele foi validado e testado por alguns dos principais provedores de serviços do mundo.

Para dar vida à nossa visão, programamos os FPGAs Intel SmartNIC da mesma forma que programamos FPGAs em nosso próprio hardware para dar suporte à solução BIG-IP Advanced Firewall Manager (AFM) Virtual Edition, que foi projetada para bloquear com eficiência ataques DDoS recebidos em ambientes de nuvem usando aceleração de hardware.

Ao usar o SmartNIC para lidar com inteligência de ameaças de rede, análise baseada em pacotes, lista de permissões e outras medidas de mitigação de DDoS, a solução mantém os ciclos da CPU livres para outras funções. Isso permite que a rede continue funcionando normalmente. Melhor ainda, os SmartNICs são extremamente rápidos. A inspeção e remoção de pacotes maliciosos dentro do SmartNIC ocorrem na taxa de linha, o que significa que tanto a latência quanto a experiência do usuário não são afetadas. De fato, mover funções específicas para um SmartNIC, como medidas de proteção contra DDoS, pode aumentar o desempenho e diminuir a latência tanto no núcleo quanto na borda da rede.

Não se trata de obter ganhos incrementais, e os benefícios de aproveitar os SmartNICs são potencialmente enormes. Por exemplo, a solução F5 BIG-IP VE pode lidar com ataques DDoS até 300 vezes maiores do que implementações somente de software, ao mesmo tempo em que reduz o custo total de propriedade em aproximadamente 47%.

Ao manter uma rede de nível de operadora segura e prontamente disponível, uma solução baseada em SmartNIC significa que as operadoras podem atender a acordos de nível de serviço exigentes e fornecer conexões de latência ultrabaixa sem recorrer a hardware personalizado caro e de alto desempenho. 

Ao mesmo tempo, um FPGA pode ser reprogramado para se adequar, dando às empresas de telecomunicações maior flexibilidade e agilidade arquitetônica, ao mesmo tempo em que permite que servidores padrão se concentrem exclusivamente na tarefa principal de lidar com funções de rede nativas da nuvem.

Defendendo com uma Vantagem

Com a indústria de telecomunicações se adaptando rapidamente às demandas cada vez mais complexas dos negócios e dos consumidores, o SmartNIC da Intel parece ter chegado na hora certa. 

Em uma rede de telecomunicações tradicional, pode haver alguns grandes data centers com tudo centralizado. Você pode instalar algumas caixas grandes na frente delas para protegê-las de ataques DDoS. Isso foi então. 

Hoje em dia, dispositivos físicos desenvolvidos especificamente estão se tornando obsoletos à medida que a computação se torna mais amplamente distribuída pela rede. Isso inclui empresas de telecomunicações implantando data centers na borda de sua infraestrutura para fazer com que aplicativos e serviços exigentes, como jogos online e realidade virtual, respondam melhor. 

Os SmartNICs desempenharão um papel particularmente importante à medida que a computação de ponta se torna mais difundida, servindo como uma das principais linhas de defesa em uma rede distribuída. E, na F5, já estamos conversando com várias grandes operadoras sobre a migração de seus sistemas de mitigação de DDoS de hardware dedicado para a tecnologia.

O futuro certamente parece brilhante para os SmartNICs, que claramente oferecem uma maneira inovadora e econômica de reforçar a segurança e o desempenho de uma rede nativa da nuvem. A implementação inovadora de DDoS da F5 é uma forte evidência disso, e muitos outros casos de uso provavelmente seguirão.

Ainda há muita vida útil nessas velhas e confiáveis placas de interface de rede! Na verdade, graças às suas novas e mais inteligentes encarnações, seus melhores (e mais produtivos) dias ainda estão por vir. Fique de olho neste espaço.

Quer saber mais? Confira nosso webinar sob demanda (Mitigação de DDoS em infraestruturas virtualizadas usando Intel SmartNIC ).