Atributos del producto

Uso de FPGA como procesadores de tráfico para la seguridad de la red

El tráfico hacia y desde dispositivos de seguridad (firewalls) se cifra en múltiples niveles, y el cifrado/descifrado L2 (MACSec) se procesa en los nodos de red de la capa de enlace (L2) (conmutadores y enrutadores).El procesamiento más allá de la L2 (capa MAC) generalmente incluye un análisis más profundo, descifrado de túnel L3 (IPSec) y tráfico SSL cifrado con tráfico TCP/UDP.El procesamiento de paquetes implica el análisis y la clasificación de paquetes entrantes y el procesamiento de grandes volúmenes de tráfico (1-20 M) con alto rendimiento (25-400 Gb/s).

Debido a la gran cantidad de recursos informáticos (núcleos) necesarios, las NPU se pueden utilizar para un procesamiento de paquetes de velocidad relativamente mayor, pero el procesamiento de tráfico escalable de alto rendimiento y baja latencia no es posible porque el tráfico se procesa utilizando núcleos MIPS/RISC y programando dichos núcleos. en función de su disponibilidad es difícil.El uso de dispositivos de seguridad basados ​​en FPGA puede eliminar eficazmente estas limitaciones de las arquitecturas basadas en CPU y NPU.

Procesamiento de seguridad a nivel de aplicación en FPGA

Los FPGA son ideales para el procesamiento de seguridad en línea en firewalls de próxima generación porque satisfacen con éxito la necesidad de un mayor rendimiento, flexibilidad y operación de baja latencia.Además, los FPGA también pueden implementar funciones de seguridad a nivel de aplicación, lo que puede ahorrar aún más recursos informáticos y mejorar el rendimiento.

Ejemplos comunes de procesamiento de seguridad de aplicaciones en FPGA incluyen

- Motor de descarga TTCP

- Coincidencia de expresiones regulares

- Procesamiento de cifrado asimétrico (PKI)

- Procesamiento TLS

Tecnologías de seguridad de próxima generación que utilizan FPGA

Numerosos algoritmos asimétricos existentes son vulnerables a verse comprometidos por las computadoras cuánticas.Los algoritmos de seguridad asimétricos como RSA-2K, RSA-4K, ECC-256, DH y ECCDH son los más afectados por las técnicas de computación cuántica.Se están explorando nuevas implementaciones de algoritmos asimétricos y estandarización del NIST.

Las propuestas actuales para el cifrado poscuántico incluyen el método Ring-on-Error Learning (R-LWE) para

- Criptografía de clave pública (PKC)

- Firmas digitales

- Creación de claves

La implementación propuesta de criptografía de clave pública incluye ciertas operaciones matemáticas bien conocidas (TRNG, muestreador de ruido gaussiano, suma polinómica, división de cuantificadores polinomiales binarios, multiplicación, etc.).FPGA IP para muchos de estos algoritmos está disponible o se puede implementar de manera eficiente utilizando bloques de construcción FPGA, como DSP y motores AI (AIE) en dispositivos Xilinx existentes y de próxima generación.

Este informe técnico describe la implementación de la seguridad L2-L7 utilizando una arquitectura programable que se puede implementar para la aceleración de la seguridad en redes de acceso/borde y firewalls de próxima generación (NGFW) en redes empresariales.