FBI에 따르면 2020년 한 해 동안 미국 국민이 사이버 범죄로 입은 피해액이 40억 달러를 넘어서는 것으로 보고됐습니다.
새로운 위협들에 선제적으로 대응하기 위해 사이버 보안 업계의 글로벌 리더인 팔로알토 네트웍스(Palo Alto Networks)는 NVIDIA의 BlueField 데이터 처리 장치(DPU)로 가속하도록 설계된 가상 ‘차세대 방화벽(NGFW)’을 최초로 개발했습니다.
NVIDIA BlueField DPU는 호스트 프로세서의 트래픽을 서버 CPU와는 별개의 전용 하드웨어에 오프로드하여 패킷의 필터링과 전달을 가속합니다. 이 솔루션은 팔로알토 네트웍스 가상 NGFW의 진일보한 보안과 침입 방지 기능을 서버 일체에 제공하면서도 네트워크 성능은 손상 없이 유지합니다. 또한 기존에는 검사가 불가능했거나 실용적이지 못했던 네트워크 플로우(network flow)에서 유의미한 부분을 지능적으로 가려내고 나머지는 DPU에 오프로드합니다.
하드웨어 가속 소프트웨어인 NGFW는 시장에 소개된 최초의 DPU 가속 시스템입니다. 소프트웨어 방화벽의 성능을 개선하고 데이터센터의 보안 범위와 효율성을 극대화하는 혁신을 이룩했죠.
최근에 발표된 DPU 기반 팔로알토 네트웍스 가상 머신 시리즈 NGFW(Palo Alto Networks VM-Series NGFW)는 네트워크 보안 원칙으로 제로 트러스트를 채택합니다. DPU가 지능형 네트워크 필터로 작용하여 ReCPU가 야기하는 오버헤드(overhead) 없이 트래픽 플로우를 분석, 분류, 조종합니다. 이에 힘입어 NGFW는 대표적인 활용 사례에서 100Gb/s에 가까운 처리량을 지원합니다. 해당 VM 시리즈 방화벽을 CPU 단독으로 구동할 때에 비해 5배나 향상된 성능을 보여주는 셈인데요. 설비투자 비용 또한 기존 하드웨어 대비 150%까지 절감할 수 있습니다.
팔로알토 네트웍스의 무닌더 싱 삼비(Muninder Singh Sambi) 수석 부사장은 “클라우드식 데이터 센터를 구축하는 기업과 통신사들은 시스템의 성능을 저해하지 않으면서 클라우드의 민첩성과 자동화를 확보해야 합니다. NVIDIA와 함께 우리는 VM 시리즈 가상 머신 러닝 NGFW의 성능을 큰 폭으로 강화하고 있습니다”라고 설명합니다. “업계를 선도하는 NVIDIA의 BlueField DPU는 클라우드와 유사한 환경에서 운영되는 사이버 보안 솔루션에 이상적입니다.”
시장에 첫 선을 보이는 BlueField 기반 NGFW인 팔로알토 네트웍스 VM 시리즈는 애플리케이션 인식 세그멘테이션(segmentation)을 지원하고 악성 소프트웨어를 차단하며, 새로운 위협을 감지하고 데이터 유출을 막습니다. 또한 BlueField DPU로 호스트 프로세서를 오프로드하여 패킷 필터링과 전달 기능을 가속합니다.
지능형 트래픽 오프로드 서비스
특정 고객의 환경에 따라서는 트래픽의 대부분을 굳이 검사할 필요가 없거나(예를 들어 동영상, 게이밍, 화상 회의 등의 스트리밍 트래픽) 또는 검사 자체가 불가능한 경우(암호화된 트래픽의 암호 해독 정책을 고객이 방화벽에 지정할 수 없을 때)가 있습니다. 이러한 환경에서 지능형 트래픽 오프로드(Intelligent Traffic Offload)는 방화벽 리소스를 최적으로 활용하여 보안 검사가 긍정적 영향을 미치는 플로우만을 검사할 수 있게 해줍니다.
데이터센터의 미디어와 암호화된 데이터 등 네트워크 트래픽의 최대 80%는 방화벽을 활용한 검사가 불필요하거나 불가능합니다. 이 문제의 해결을 위해 NVIDIA와 팔로알토 네트웍스가 공동 개발한 솔루션인 지능형 트래픽 오프로드(ITO) 서비스는 네트워크 트래픽을 검토하여 각각의 세션에 보안 검사가 유용한지 여부를 판별합니다.
ITO 서비스는 트래픽의 세션 일체를 검토하여 보안 검사의 유용성 여부를 판단합니다. 보안 검사가 세션에 도움이 되지 않을 것으로 판단되면, ITO는 BlueField-2 DPU가 세션의 후속 패킷 전체를 방화벽에 보내는 절차를 생략하고 목적지에 곧장 전달하도록 지시합니다(하단 도표 참조).
보안 검사가 긍정적 효과를 낼 수 있는 플로우만 검사하고 나머지는 DPU에 오프로드하면, 방화벽과 호스트 CPU의 전반적인 로드(load)는 줄이면서 성능을 강화하고 보안의 약화를 막을 수 있습니다.
ITO는 기업과 통신사, 클라우드 운영자가 제로 트러스트 환경의 모든 호스트에서 실행이 가능한 NGFW로 사용자를 보호하도록 지원하여 고객의 디지털 전환을 가속하는 동시에 다수의 사이버 위협을 제거합니다.
NVIDIA DOCA SDK로 확장하는 개발자 생태계
팔로알토 네트웍스가 새롭게 개발에 돌입한 BlueField DPU 기반 NGFW는 CNCF(Cloud Native Computing Foundation)의 프로젝트인 gRPC 오픈 소스 원격 절차 호출(remote procedure call) 프레임워크와 오픈 소스 중심 하드웨어 가속화 프레임워크인 NVIDIA ASAP2를 활용합니다.
BlueField와 ASAP2의 gRPC 인터페이스가 이제 NVIDIA DOCA SDK와 통합됩니다. DOCA SDK는 데이터센터 인프라온칩(infrastructure-on-a-chip) 아키텍처로 BlueField DPU 기반 소프트웨어 정의형 하드웨어 가속 네트워킹, 스토리지, 보안과 관리 애플리케이션을 구축하기 위한 개방형 플랫폼을 제공합니다.
DOCA는 NVIDIA GPU와 BlueField DPU 기반 데이터센터 인프라 애플리케이션과 서비스의 혁신을 추구하는 개발자 커뮤니티를 더욱 확장하려는 NVIDIA의 노력을 보여줍니다.