Использование аппаратного ускорения в NGFW фактически стало отраслевым стандартом. Крупные мировые вендоры – Cisco, Check Point, Fortinet, Palo Alto Networks – широко применяют ускорители на базе FPGA и ASIC, поскольку они обеспечивают существенно более высокое соотношение производительности и стоимости по сравнению с универсальными CPU. Что же с этим в России?
Автор: Кирилл Прямов, менеджер по развитию NGFW в компании UserGate
Резоны аппаратного ускорения понятны – низкие задержки и высокая пропускная способность, которые становятся критичными для телекома, финансового сектора и дата-центров, обрабатывающих ИИ-нагрузки.
Отдельного внимания заслуживает обработка Elephant Flows – длительных высокообъемных сессий, характерных для трафика ЦОД. Архитектура универсальных CPU предполагает обработку отдельных сессий в рамках отдельных ядер, что при высоких скоростях быстро приводит к исчерпанию ресурсов и снижению глубины анализа. Аппаратные ускорители на базе ASIC и FPGA позволяют выполнять такую обработку на лету, без перегрузки памяти, шин и кэша.
Важным фактором остается энергоэффективность. Специализированные ASIC и FPGA потребляют кратно меньше энергии в расчете на гигабит трафика, что напрямую снижает эксплуатационные затраты на питание и охлаждение ЦОД.
В последние годы развивается направление DPU (Data Processing Unit). Ряд вендоров, включая Check Point, использует решения nVidia на базе ASIC BlueField, приобретенной вместе с Mellanox в 2020 г.; аналогичные платформы предлагают и другие производители, например Marvell. DPU представляют собой программируемые SoC (система на чипе), объединяющие ARM-ядра, специализированные аппаратные блоки и сетевые контроллеры, и рассматриваются как следующий этап эволюции аппаратного ускорения – от сопроцессора к автономной вычислительной платформе.
Параллельно применяется и подход с разработкой собственных специализированных ASIC. Так, Fortinet использует отдельные процессоры для сетевых, контентных и защитных функций, что позволяет достигать высокой производительности при умеренной стоимости за счет серийного производства.
Тренды развития в России
На российском рынке NGFW сегодня доминируют два подхода к наращиванию производительности. Первый, наиболее популярный, – программное ускорение на базе x86 с использованием DPDK и серверных процессоров Intel Xeon 4–5 поколений. Он позволяет быстрее выводить продукты на рынок, но в долгосрочной перспективе упирается в архитектурные ограничения: слабое масштабирование в пределах одного устройства, высокое энергопотребление и ограниченную предсказуемость производительности под высокой нагрузкой.
Второй подход – использование аппаратных ускорителей на базе FPGA. Этого подхода придерживаемся, кажется, только мы, в основном он ориентирован на сегмент ЦОД. В серийных платформах такого класса FPGA берет на себя обработку ресурсоемких сетевых функций, разгружая CPU. На практике это позволяет в форм-факторе 1U достигать порядка 85 Гбит/с на трафике EMIX в режиме FW L4 и около 25 Гбит/с в режиме FW L4 + IPS при использовании FPGA емкостью около 500 тыс. LUT (Look-Up Table, элементарная программируемая логическая ячейка FPGA). За счет оптимизации взаимодействия CPU и ускорителя в среднесрочной перспективе такие показатели могут быть увеличены до 200 Гбит/с и 40 Гбит/с, соответственно.
В среднесрочном горизонте развитие аппаратного ускорения связано с переходом к более мощным FPGA и энергоэффективным CPU на архитектуре ARM. В перспективных платформах это позволяет рассчитывать на производительность до 800 Гбит/с в режиме FW L4 при сохранении компактности и приемлемого энергопотребления.
Отдельное направление – встраиваемые аппаратные ускорители в формате PCI-E. Примером является модуль "Катунь-2" на базе FPGA, предназначенный для ускорения функций IPS и в перспективе S2S VPN. Такой подход позволит получить прирост производительности в десятки гигабит в секунду без замены существующих ПАК и продлить их жизненный цикл.
Возможные барьеры в России
В настоящее время в России отсутствует собственное производство FPGA, способное предложить экономически обоснованные решения, соответствующие запросам отрасли. В результате вендоры вынуждены использовать зарубежные компоненты, одновременно выстраивая процессы, направленные на сохранение конфиденциальности и обеспечение санкционной устойчивости цепочек поставок.
Дополнительным ограничением являются высокие первоначальные инвестиции в разработку платформ с аппаратным ускорением. Такие проекты требуют значительного времени и привлечения узкопрофильных специалистов с редкой и дорогостоящей экспертизой. Вместе с тем FPGA обладают важным преимуществом – возможностью перенастройки, что позволяет поэтапно наращивать функциональность и развивать компетенции без изменения аппаратной части. В мировой практике FPGA часто используются для отработки архитектуры с последующим переходом к серийному производству ASIC. Российский рынок, однако, не располагает сопоставимыми масштабами выпуска и доступом к таким производственным цепочкам, в том числе из-за санкционных ограничений.
В совокупности эти факторы сдерживают развитие аппаратного ускорения в сегменте NGFW. Для большинства российских вендоров программные подходы на базе универсальных CPU остаются более доступными и менее рискованными. Попытки реализовать полноценные аппаратно-ускоренные решения предпринимались и ранее, однако часть таких проектов была закрыта из-за высокой сложности, стоимости и ограниченной окупаемости, несмотря на значительные ресурсы, задействованные в их разработке.