intel LOGOעיצוב עזר מאיץ קריטי
פונקציות רשת ואבטחה
מדריך למשתמש

Intel® NetSec Accelerator Reference Design הוא מתווה למסחר של כרטיס תוספת PCIe מבוסס ארכיטקטורה של Intel לתמיכה בעומסי עבודה עתירי מעבד. הכרטיס כולל את כל הפונקציונליות של שרת עם יכולת לתמוך ביכולות תזמור וניהול מלאות והוא אידיאלי לעומסי עבודה אבטחה כגון IPsec, SSL/TLS, חומת אש, SASE, ניתוח והסקת מסקנות. עיצוב התייחסות זה יכול לסייע בשיפור הביצועים, קנה המידה והיעילות עבור לקוחות מקצה לענן.

intel Reference Design מאיץ פונקציות קריטיות ברשת ואבטחה - סמל ככל שהטרנספורמציה לכיוון ענן נמשכת, מגמות בתחום מחשוב הקצה והגידול במספר העובדים העובדים מהבית/כל מקום הופכים את הסביבות הארגוניות למפוזרות יותר מאי פעם. מודלים מסורתיים של אבטחה ממוקדים היקפיים ומודלי פריסה קבועים אינם חלים עוד. יישומים מונוליטיים הוחלפו בשרשרות של מיקרו-שירותי מכולות שחוצים תשתיות מקומיות וענן, מנותקות מהחומרה הבסיסית; יש לפרוס עומסי עבודה היכן שהם נדרשים. סביבות דינמיות אלו המוגדרות תוכנה דורשות גישות חדשות ליישום פונקציות אבטחה ברמת עומס עבודה, משתמש ולכל מכשיר.

מודל ה-Security Access Service Edge (SASE) עונה על דרישות האבטחה המבוזרות החדשות הללו על ידי התכנסות של פונקציות אבטחה מוגדרות תוכנה ורשתות רחבות (WAN) לתוך מערך שירותים המסופקים בענן. השירותים הווירטואליים או המכוללים משפרים את היעילות עם תזמור מרוכז ומפחיתים את עלויות הציוד על ידי שימוש בתשתית ענן המבוססת על שרתי מדף מסחריים (COTS) במקום חומרה מדור קודם, חד-תכליתית.

רוב פתרונות SASE הם ערימות משולבות במלואן של פונקציות רשת ואבטחה, עם מודלים של רישוי המבוססים על רכיבים ספציפיים. ספקי SASE מבצעים השקעות מסיביות כדי להעריך, להשיג ולשלב אותם. פונקציות תוכנת SASE דורשות ביצועים ויציבות בשרת שחולק עומסי עבודה עתירי מחשוב מרובים ומספר דיירים. שילוב פתרון ביצועי של WAN (SD-WAN) המוגדר בתוכנה יחד עם מחסנית אבטחה הכוללת NGFW, ZTNA, CASB, SWG, DLP ועוד הוא מאתגר במיוחד.

Intel NetSec Accelerator Reference Design מציע גישה חלופית לבידוד פונקציות SASE שיכולה להפחית באופן דרמטי את טביעת הרגל של התשתית עבור עומסי עבודה ברשת ואבטחה. הוא מספק למשתמשים את הפונקציונליות המלאה של שרת בכרטיס PCIe, כולל מעבד Intel Atom®, מתאם רשת Intel Ethernet E810 וזיכרון DDR4 מובנה.

קיצור פתרון | עיצוב עזר מאיץ פונקציות קריטיות ברשת ואבטחה

intel Reference Design מאיץ פונקציות קריטיות ברשת ואבטחה - איוראיור 1. עיצוב עזר של Intel® NetSec Accelerator Reference.

כוח סוס עיבוד מורחבת עבור
עומסי עבודה אבטחה
Intel NetSec Accelerator Reference Design יכול להתמודד עם קיבולת המחשוב של מכשירי רשת ואבטחה, ולספק סביבת ביצוע פיזית נפרדת אחת או יותר. המאיץ משלים את המעבד הראשי של השרת עם חומרת האצה ייעודית לפונקציות רשת ואבטחה.
תאימות מערכי הוראות וארכיטקטורת מנהל התקן משותפת בין ה-CPU הראשי למעבד המאיץ עוזרת להפוך את הפתרון הכולל לחלק באמצעות ארכיטקטורת אינטל מבוססת תקנים. העקביות של דגמי התכנות מאפשרת פלטפורמה משותפת בין מעבד Intel Atom® במאיץ לבין מעבדי Intel® Xeon® Scalable או מעבדי Intel® Xeon® D במחשב המארח.

מעבד Intel Atom בלב עיצוב העזר של Intel NetSec Accelerator Reference מאפשר IPsec מובנה.intel Reference Design מאיץ פונקציות קריטיות ברשת ואבטחה - איור 1

משאב המחשוב האוטונומי מבודד נתונים ופעולות משאר המערכת, ועוזר לאדריכלים להתגבר על חוסר תאימות בין רכיבי תוכנה של ספקים מרובים. התוספת של משאבי חומרה המבוססים על עיצוב הייחוס מאפשרת רווחים דרמטיים ביכולת ובצפיפות הפתרון. זה גם מספק קיבולת גמישה לפי דרישה לשדרוג יום 2 של פתרונות במקום.
יצרני ציוד מקורי (OEM) ויצרני עיצוב מקורי (ODMs), העובדים עם ספקי פתרונות רשת ואבטחה, יכולים להתקדםtage של עיצוב הייחוס כדי להביא מאיצי אבטחת רשת לשוק מהר יותר. אינטל עובדת עם מספר שותפים לפיתוח מוצרים, תוך מתן בחירה בין ספקי טכנולוגיה לזמינה לספקי מערכות, לאינטגרציית פתרונות וללקוחות קצה.

עיין במפרטי חומרת עיצוב
עיצוב ההתייחסות כולל שתי וריאציות, המובדלות על ידי מעבד (וספירת הליבות), כמו גם משאבי קלט/פלט ומשאבי רשת.

עיצוב רפרנס 8 ליבות עיצוב רפרנס 16 ליבות
מעבד מעבד Intel Atom® P5721 מעבד Intel Atom® P5742
גורם צורה גובה מלא, חצי אורך
יציאות חיצוניות 2x 25GbE SFP28 1x 100GbE QSFP28
צריכת חשמל ~50 עד 90 וואט 70 עד 115 וואט
קיבולת זיכרון עד 32 GB @ 2933 MT/s
ממשק מארח x8 PCIe Gen4 x16 PCIe Gen4
קיבולת אחסון עד 256 GB eMMC
יעד תפוקה (האצה דו-כיוונית) 25 Gbps 50 Gbps
יעד תפוקה (האצה חד-כיוונית) 50 Gbps 100 Gbps
תוֹכֶן לְהַסתִיר
1 מקרה שימוש בהאצת SASE
2 מַסְקָנָה
3 מסמכים / משאבים
3.1 הפניות
4 פוסטים קשורים

מקרה שימוש בהאצת SASE

ארגונים משתמשים בשירותי WAN ובשירותי אבטחה באמצעות נקודות נוכחות של SASE (POPs) המפוזרות גיאוגרפית כדי להיות בקרבה יחסית לנקודות קצה של משתמשים ולשירותים מקומיים, קצה וענן. POPs פועלים כשערי גישה העומדים ביעדי רמת השירות עבור חביון ותפוקה בצורה מאובטחת. אספקה ​​מבוזרת של שירותי אבטחה מקוריים בענן מונעת את הצורך להעביר תעבורת WAN למקומות מרכזיים כדי להחיל מדיניות אבטחה.
השינוי הבסיסי הזה בטופולוגיה מספק חיסכון משמעותי בעלויות ברוחב הפס, תוך שיפור חווית המשתמש על ידי קיצוץ זמן ההעברה הקשור ל-backhaul. אשכול של שרתי POP מארח כל אחד או את כל רכיבי ה-SASE הראשיים בזמן אמת, עבור כל תעבורת הרשת של המשתמש:

  • חומת האש של הדור הבא (NGFW) משלבת פונקציונליות חומת אש מסורתית עם שירותים משלימים כגון בדיקת מנות עמוקה, הגנת חדירה ומודיעין איומים.
  • WAN המוגדר בתוכנה (SD-WAN) מבצע אופטימיזציה דינמית עצמית כדי לחבר משתמשים ליישומים, מכוון מרכזי תעבורה על פני כל שילוב של שירותי תחבורה, כגון MPLS, 4G/5G ופס רחב בכבלים.
  • Zero Trust Network Access (ZTNA) מספק גישה חלקה מרחוק למשאבים ויישומים תוך הענקת הרשאות המינימליות האפשריות, לגבי כל הישויות כבלתי מהימנות לכל שאר המטרות.
  • מְאוּבטָח Web שער (SWG) מסנן תעבורה ביוזמת המשתמש כדי לזהות ולהסיר תוכנות זדוניות ותוכנות לא רצויות אחרות, ועוזרת לאכוף תקני אבטחה ארגוניים ולשמור על תאימות.
  • מניעת אובדן נתונים (DLP) עוקבת אחר תעבורת משתמשים יוצאת כדי לזהות מידע רגיש ולמנוע יציאה בלתי מורשית, בין אם זדונית ובין אם אחרת.
  • Cloud Access Security Broker (CASB) היא נקודת אכיפה בין משתמשים ושירותי ענן המיישמת מדיניות כגון אימות, הצפנה ורישום.

SASE מעוצב ובנוי היטב מבטיח אספקה ​​של שירותים אלה בנאמנות על פני מיקומים וסוגי נקודות קצה, כגון מחשבים ניידים לעובדים, חיישני IoT/מפעילים והתקנים ניידים. איכות השירות תלויה ביכולת לספק טווח POP נאות, כולל מספר המיקומים והיכולת של כל אחד מהם לספק שירותים. ספקי SASE מייעלים שרתי POP ליעילות העלות/קיבולת הגבוהה ביותר.

אספקת שרת SASE POP
בנוסף למעבדי Intel Xeon Scalable, מעבדי Intel Xeon D תוכננו במיוחד להקצאת מחשוב צפוף בקצה הרשת, מה שהופך אותם לבחירה פופולרית כבסיס לשרתי SASE POP. הפלטפורמה מספקת ביצועים חסכוניים באנרגיה, טכנולוגיות אבטחה והאצה מבוססות חומרה, וקישוריות משולבת משולבת של Intel Ethernet.
ארכיטקטי פתרונות יכולים להרחיב את קיבולת השירות של מעבדי Intel Xeon Scalable ושרתי POP מבוססי Intel Xeon D עם תוספת של מאיץ אחד או יותר המבוססים על עיצוב הייחוס. למשלample, שרת POP בעל שני שקעים המבוסס על מעבדי Intel Xeon D בעלי 20 ליבות יהיו בסך הכל 40 ליבות. פריסת שני כרטיסי מאיץ בעלי 16 ליבות במערכת הופכת 32 ליבות נוספות של מעבד Intel Atom לזמינות, לעלייה של 80 אחוז בספירת הליבות מבלי להגדיל את טביעת הרגל של השרת. כל מאיץ יכול להפעיל שירות SASE נפרד, עם מערך משלו של משאבי מחשוב, זיכרון ו-I/O; מתן הקבלה נוספת של עומס העבודה כדי לשפר ביצועים דטרמיניסטיים.intel Reference Design מאיץ פונקציות קריטיות ברשת ואבטחה - איור 2

טופולוגיה של חיבור מאיץ
כרטיס מאיץ המבוסס על Intel NetSec Accelerator Reference Design עשוי להיות מחובר ישירות לרשת הציבורית החיצונית, מה שמאפשר לבצע פונקציות מסוימות של SASE ללא תלות במעבד הראשי Intel Xeon Scalable או מעבד Intel Xeon D. קישוריות זו גם מאפשרת לכרטיס לספק יכולות מוטבעות הדוחפות באופן עצמאי נתונים נכנסים למשאב המחשוב המתאים, להגברת היעילות. שרשרת שירותים מבוססת Ethernet יכולה לחבר שירותים ישירות בין מאיצים, תוך שילוב של קיבולת או פונקציונליות, כמו בעברampהתצוגה של אספקת SD-WAN וערימת אבטחה ביחד כשירות יחיד משני מאיצים נפרדים. יכולת המיתוג המובנית של מעבד Intel Atom מאפשרת שיתוף משאבים כדי לשפר את היעילות, עם איזון עומסים בין יציאות ללא מעורבות מליבות אינטל הפועלות בפתרון Intel NetSec Accelerator Reference Design.
עבור יישומים מסוימים, ייתכן שמאיץ המבוסס על Intel NetSec Accelerator Reference Design לא יהיה מחובר לעולם החיצון. למשלampהיא עשויה להשתמש בשרשור שירותים כדי לספק שירותים דרך מאיץ אחר שנמצא ברשת הציבורית או לספק פונקציונליות כגון יישום ארגז חול לבדיקת מנות עמוקה שאינה דורשת קישוריות חיצונית.

פוטנציאל להאצת SASE בפריסות בעולם האמיתי
מקרה השימוש בהאצת SASE מדגים כמה דפוסי שימוש מייצגים עבור מכשירים המבוססים על עיצוב הייחוס בשרתי SASE POP:

  • צפיפות מוגברת ויעילות תשתית מבוססת על פריסת קיבולת מחשוב נוספת עם מאיץ אחד או יותר עם מגוון מלא של משאבי שרת על כרטיס.
  • אינטגרציה מרובה ספקים, מופעלת על ידי שרת SASE POP המספק שירותים מאוחדים המבוססים על פתרונות שאחרת לא היו תואמים במערכת אחת.
  • בקרת תעבורה מתקדמת באמצעות מתג הרשת המשולב במעבד Intel Atom כדי לכוון נתונים נכנסים בצורה מתאימה, ללא תלות במעבד הראשי.
  • שרשור שירות ואספקת שירותי SASE מבוזרים תוך שימוש במספר מאיצים בשרת SASE POP אחד.

על ידי הרחבת החומרה והפיכתה ליכולת יותר, גורמים אלה מסייעים בהורדת עלות הפעולה על ידי הפחתת המספר הכולל של השרתים הנדרשים כדי להשיג יעד ביצועים נתון.

אבני בניין לרשת מואצת וביטחון
עיצוב ההתייחסות מספק צומת מחשוב עצמאי ופונקציונלי המספק ביצועים ואמינות ברמה של שרת בתוך מעטפת חשמל שמרנית. הוא מספק מיתוג Ethernet משולב והצפנה מוטבעת עבור IPsec, כמו גם תפעול מבט הצידה, המתאים לעומסי עבודה של הצפנה בתפזורת אסינכרונית.

מעבד Intel Atom - ביצועים גבוהים לוואט ו-Inline IPsec
הבסיס של Intel NetSec Accelerator Reference Design הוא מעבד Intel Atom, המספק תפוקה גבוהה לעומסי עבודה של אבטחה ורשת בצורת SoC חסכונית באנרגיה. המכשיר המשולב מאוד משלב את אינטל Ethernet, מתג רשת ומאיצי חומרה בחבילת ה-SoC, המספקת פעולה עם אחזור נמוך ומניעה קידום משמעותיtagזה בעלות ציוד מופחתת, דרישות שטח/שרת וצריכת אנרגיה.

  • Network Acceleration Complex (NAC) מספק ביצועים גבוהים של Ethernet I/O ומתג. מתג ה-Ethernet המשולב שמונה יציאות מספק את הבסיס לצינור עיבוד מנות מתוחכם של 100 GbE או 200 GbE שניתן לתכנות במלואו באמצעות ממשקי API שסופקו על ידי אינטל. יכולת המיתוג של המעבד מספקת ניהול תעבורה מתקדם באמצעות מסווגי מנות מובנים, עם איזון עומסים מלא בין יציאות.
  • טכנולוגיית Intel® QuickAssist המשולבת (Intel QAT) Gen3 מאיצה הצפנה סימטרית וא-סימטרית, ומניעה תפוקה של עד 100 Gbps. החומרה של Intel QAT מתקשרת ישירות עם בקר ה-Ethernet המובנה כדי להחליט אילו מנות לעבד ואילו להעביר למעבד, באמצעות המתג המשולב של הפלטפורמה. על ידי קיצור נתיב הנתונים, יכולת זו מאפשרת IPsec מוטבע.

intel Reference Design מאיץ פונקציות קריטיות ברשת ואבטחה - איור 3

מתאם רשת אינטל E810 - רשת מתקדמת עבור פונקציות אבטחה
עיצוב ההתייחסות כולל מתאם רשת אינטל Ethernet E810. המתאם מספק תפוקה של עד 100 ג'יגה-ביט לשנייה שמצריך קידוםtage של עיבוד מנות מתוחכם, עיצוב תעבורה והאצה חכמה לשיפור הביצועים. הוא משתמש באותם מנהלי התקנים באיכות גבוהה בקוד פתוח כמו מתאמי הרשת של המחשב המארח, ומסייע באינטגרציה חלקה של פתרונות. תכונות טכנולוגיה נוספות תומכות ברשת החכמה המובנית בעיצוב ההתייחסות:

  • התאמה אישית של מכשיר דינמי (DDP) מאפשרת למנהלי מערכת להקים מספר מקצועניםfiles עבור סוגי תעבורה שונים, תוך ציון פרמטרים לטיפול במנות ואופטימיזציות עבור כל אחד מהם. ניתן להגדיר תעדוף תנועה המבוסס על DDP באופן דינמי בזמן ריצה כדי לשפר את הגמישות והזריזות.
  • תורי מכשירי יישומים (ADQ) מספקים את המנגנון עבור יישומים בודדים לשמור באופן יזום תור חומרה ייעודי של Ethernet אחד או מרובים. ADQ מסייעת להבטיח ביצועים דטרמיניסטיים עבור זרימות נתונים קריטיות.

מַסְקָנָה

Intel NetSec Accelerator Reference Design הוא תוכנית יעילה ביותר לאספקת כל הפונקציונליות של שרת עצמאי בפורמט PCIe לשילוב חריץ יעיל במכשירי אבטחה ופלטפורמות קצה. הוא מספק סביבת מחשוב פיזית נפרדת בתוך מארז השרת.
הוספת משאבים לרבות זיכרון מערכת בתכנון ההתייחסות מאפשרת להתקן המאיץ לפעול ללא תלות בפלטפורמת השרת הראשית. המאיץ מפעיל שירותי אבטחה באופן עצמאי כדי להרחיב את קיבולת השרת, כולל תמיכה בערימות תוכנה מרובות ספקים שאחרת לא היו תואמות למערכת אחת.
יכולת זו עשויה לעזור ללקוחות הקצה להפחית את ה-TCO על ידי תמיכה ביותר שירותים לכל מארח.
עיצוב ההתייחסות המאומת מראש מייעל את הפיתוח של מכשירי אבטחה חדשים על ידי יצרני OEM ו-ODM, בעבודה עם ספקי פתרונות רשת ואבטחה.
זה משפר את גמישות הפלטפורמה ומפחית את דרישות התכנון עבור אותם מפתחי פתרונות, ועוזר להם להביא מוצרי אבטחה חדשים לשוק במהירות ובעלות יעילה יותר.

למידע נוסף על מעבדי Intel Atom, עבור אל:
www.intel.com/atom
פתרון מסופק על ידי:

הביצועים משתנים לפי שימוש, תצורה וגורמים אחרים. למידע נוסף ב www.Intel.com/PerformanceIndex  תוצאות הביצועים מבוססות על בדיקות נכון לתאריכים המוצגים בתצורות וייתכן שלא ישקפו את כל העדכונים הזמינים לציבור. ראה גיבוי לפרטי תצורה. שום מוצר או רכיב לא יכולים להיות מאובטחים לחלוטין.
טכנולוגיות אינטל עשויות לדרוש הפעלת חומרה, תוכנה או שירות מופעלות.
שום מוצר או רכיב לא יכולים להיות מאובטחים לחלוטין.
העלויות והתוצאות שלך עשויות להשתנות.
שמות קוד משמשים את Intel לזיהוי מוצרים, טכנולוגיות או שירותים שנמצאים בפיתוח ואינם זמינים לציבור. אלו אינם שמות "מסחריים" ואינם מיועדים לתפקד כסימנים מסחריים.
כל תחזיות של מוצרים ושירותים הדרושים לפעילותה של אינטל ניתנות למטרות דיון בלבד. לאינטל לא תהיה כל אחריות לבצע רכישה כלשהי בקשר לתחזיות המתפרסמות במסמך זה.
© Intel Corporation. Intel, הלוגו של Intel וסימני Intel אחרים הם סימנים מסחריים של Intel Corporation או של חברות הבת שלה. ניתן לתבוע שמות ומותגים אחרים כרכושם של אחרים.

0522/HD/MESH/349364-001US

מסמכים / משאבים

intel Reference Design מאיץ פונקציות קריטיות ברשת ואבטחה [pdfמדריך למשתמש
עיצוב עזר מאיץ פונקציות רשת ואבטחה קריטיות, מאיץ פונקציות רשת ואבטחה קריטיות, פונקציות רשת ואבטחה קריטיות, פונקציות אבטחה

הפניות

פוסטים קשורים

השאר תגובה

כתובת האימייל שלך לא תפורסם. שדות חובה מסומנים *