Réseau : Nvidia commercialise ses premiers DPU pour analyser le trafic
La puce Bluefield-2 est un accélérateur d’analyse des flux de données à des fins de filtrage de sécurité et de routage. Elle prend tout son sens dans les firewalls virtuels, dont celui de Palo alto.
Top départ pour les composants DPU. Cet été, la puce Bluefield-2 de NVidia arrive dans les datacenters pour améliorer plus encore les performances des firewalls NGFW virtuels de Palo Alto. Dans le même temps, Intel lance la fabrication d’une nouvelle puce « de traitement d’infrastructure » qui doit permettre aux fournisseurs de clouds et aux opérateurs télécoms d’accélérer leurs opérations de routage et d’analyse des flux continus de données.
Les DPU (Data Processing Unit) sont des accélérateurs qui déchargent le processeur central de toutes les tâches de filtrage des données afin d’améliorer, notamment, la vitesse de communication sur le réseau, tout en libérant de la puissance de calcul plus utile à l’exécution des applications. Outre les réseaux, les DPU sont aussi censés servir à accélérer les accès vers les baies de stockage.
« Nvidia et Intel ne manqueront pas de concurrence sur le marché des DPU. Marvell Technology et même AWS sont déjà sur les rangs pour proposer bientôt leurs propres solutions », commente Dan Newman, analyste pour le bureau d’études Futurum Research. « Ces fournisseurs vont arriver sur le marché avec leurs propres caractéristiques, mais elles vont toutes permettre de délester le processeur des serveurs des fonctions de sécurité, de routage, de stockage. Et la demande est énorme, car les nouveaux usages en cloud hybride ont considérablement augmenté la quantité d’opérations périphériques que doit exécuter le CPU. »
D’abord pour les hébergeurs, puis pour les entreprises qui multiplient les containers
« Intel est le seul qui n’a pas encore dévoilé de feuille de route très claire sur les DPU. Mais on aurait tort de les considérer comme de simples suiveurs. La dynamique est insufflée par Pat Gelsinger, qui n’a pris le poste de PDG que tout récemment. Cela suffit à expliquer pourquoi ils ne sont pas encore prêts à détailler leur stratégie », ajoute-t-il en pronostiquant qu’Intel saura certainement se montrer très offensif.
« À l’inverse, l’accord signé à présent entre Nvidia et Palo Alto est très important, car il permet d’éduquer dès à présent le marché sur les avantages spécifiques des DPU », dit-il. « Accessoirement, cela va permettre à Palo Alto de focaliser l’attention sur ses produits. »
Nvidia imagine que les acteurs des télécommunications et les grands fournisseurs de cloud seront ceux qui feront décoller la carrière commerciale de sa puce DPU. Dans un second temps, le Bluefield-2 devrait séduire les entreprises qui multiplient les applications au format container. Celles-ci, à cause de leur forme désagrégée, submergent en effet de trafic les firewalls, ce qui est d’autant plus pénalisant lorsque ces firewalls s’exécutent depuis les serveurs applicatifs eux-mêmes.
Kevin DeierlingEn charge des infrastructures réseau, Nvidia
« L’évolution des technologies fait passer les entreprises d’une protection du périmètre de leur SI à un contexte où chaque serveur doit avoir son propre firewall. Bluefield sera adopté par les entreprises au fur et à mesure qu’elles opéreront cette transition technologique », estime Kevin Deierling, en charge des infrastructures réseau chez Nvidia.
Accélérer l’inspection des paquets, après les avoir triés
Les firewalls NGFW série VM de Palo Alto ici concernés, sont des machines virtuelles qui s’exécutent sur des serveurs physiques que l’entreprise cliente a achetés dans le but d’exécuter des applications. L’intérêt des firewalls NGFW – il s’agit d’une classe de firewalls, dits de « nouvelle génération » et non d’une marque – est qu’ils filtrent les communications au niveau applicatif, c’est-à-dire qu’ils détectent les intrusions malignes qui ne se contentent plus de chercher des failles parmi l’infrastructure réseau.
Palo Alto a décidé de proposer de tels firewalls au format VM afin qu’ils soient utilisables dans les clusters de machines virtuelles, dont la particularité est de pouvoir constituer des sous-réseaux de manière logique, sans aucune contrainte physique. Le problème est que ces firewalls virtuels, sans boîtier dédié, puisent dès lors dans les mêmes ressources que les applications. La solution proposée par Nvidia consiste à mettre une carte avec une puce Bluefield, dédiées aux fonctions NGFW de Palo Alto dans les serveurs physiques, de sorte à rendre toutes leurs ressources aux applications. Ce principe est désormais pris en charge par VMware, l’un des principaux fournisseurs de plateformes de virtualisation.
Selon Palo Alto, son firewall NGFW série VM, premier produit de ce genre à être compatible Bluefield, permet une segmentation des règles de sécurité par applications, protège contre les logiciels malveillants, détecte les nouvelles menaces et stoppe toute tentative d’exfiltration des données. Le NGFW série VM adhère aux principes du réseau Zero-trust.
Paradoxalement, le défi technique n’est pas tant d’analyser tout le trafic réseau d’un datacenter avec des règles de sécurité évoluées, mais plutôt de déterminer ce qui doit être analysé. Les responsables de Nvidia et de Palto Alto estiment en effet qu’environ 80 % du trafic réseau n’a pas besoin d’être inspecté en profondeur par un firewall. Ainsi, le firewall virtuel de Palo Alto se sert avant tout de la puce Bluefield-2 – via un algorithme baptisé Intelligent Traffic Offload (ITO) – pour comprendre le trafic réseau et déterminer quelles sessions méritent une inspection de sécurité. Celles qui n’en ont pas besoin sont directement routées par la puce Bluefield-2 vers leur destinataire, sans déclencher l’exécution des moteurs d’analyse.
Pour autant, le routage des sessions n’est qu’une partie minimale des fonctions de Bluefield-2. Une fois qu’il a trié les sessions, le DPU crée une infrastructure virtuelle de traitement et y exécute les fonctions d’analyse. A priori, le DPU n’est pas capable d’exécuter intégralement toutes ces fonctions : il demande au processeur de prendre en charge certains critères.