Atributos do produto

Usando FPGAs como processadores de tráfego para segurança de rede

O tráfego de e para dispositivos de segurança (firewalls) é criptografado em vários níveis, e a criptografia/descriptografia L2 (MACSec) é processada nos nós da rede da camada de link (L2) (switches e roteadores).O processamento além do L2 (camada MAC) normalmente inclui análise mais profunda, descriptografia de túnel L3 (IPSec) e tráfego SSL criptografado com tráfego TCP/UDP.O processamento de pacotes envolve a análise e classificação de pacotes recebidos e o processamento de grandes volumes de tráfego (1-20M) com alto rendimento (25-400Gb/s).

Devido ao grande número de recursos de computação (núcleos) necessários, as NPUs podem ser usadas para processamento de pacotes com velocidade relativamente mais alta, mas o processamento de tráfego escalonável de baixo latência e alto desempenho não é possível porque o tráfego é processado usando núcleos MIPS/RISC e agendando tais núcleos. com base na sua disponibilidade é difícil.O uso de dispositivos de segurança baseados em FPGA pode eliminar efetivamente essas limitações das arquiteturas baseadas em CPU e NPU.

Processamento de segurança em nível de aplicativo em FPGAs

Os FPGAs são ideais para processamento de segurança em linha em firewalls de próxima geração porque atendem com sucesso à necessidade de maior desempenho, flexibilidade e operação de baixa latência.Além disso, os FPGAs também podem implementar funções de segurança em nível de aplicação, o que pode economizar ainda mais recursos de computação e melhorar o desempenho.

Exemplos comuns de processamento de segurança de aplicativos em FPGAs incluem

- Mecanismo de descarregamento TTCP

- Correspondência de expressões regulares

- Processamento de criptografia assimétrica (PKI)

- Processamento TLS

Tecnologias de segurança de última geração usando FPGAs

Vários algoritmos assimétricos existentes são vulneráveis ​​ao comprometimento por computadores quânticos.Algoritmos de segurança assimétricos como RSA-2K, RSA-4K, ECC-256, DH e ECCDH são os mais afetados pelas técnicas de computação quântica.Novas implementações de algoritmos assimétricos e padronização NIST estão sendo exploradas.

As propostas atuais para criptografia pós-quântica incluem o método Ring-on-Error Learning (R-LWE) para

- Criptografia de chave pública (PKC)

- Assinaturas digitais

- Criação de chave

A implementação proposta de criptografia de chave pública inclui certas operações matemáticas bem conhecidas (TRNG, amostrador de ruído gaussiano, adição polinomial, divisão de quantificador polinomial binário, multiplicação, etc.).O IP FPGA para muitos desses algoritmos está disponível ou pode ser implementado de forma eficiente usando blocos de construção FPGA, como DSP e motores AI (AIE) em dispositivos Xilinx existentes e de próxima geração.

Este white paper descreve a implementação de segurança L2-L7 usando uma arquitetura programável que pode ser implantada para aceleração de segurança em redes de borda/acesso e firewalls de próxima geração (NGFW) em redes corporativas.