Blogpost

FPGA neu denken: Herausforderungen bei der Zero-Trust-Netzpaketanalyse

Entdecken Sie die Erkenntnisse der NANO Corp. über FPGA-Einschränkungen bei der Netzwerksicherheit und tauchen Sie ein in die Zukunft der Cybersicherheit in einer Cloud-getriebenen Ära.

Florian Thebault
November 10, 2022
Teilen Sie
LinkedIn LogoX-Logo

Analyse von Netzwerkpaketen mit einem FPGA.

Viele Anbieter von Netzwerksonden haben sich im letzten Jahrzehnt FPGAs zugewandt, nachdem ihre Softwarelösungen an die Grenzen der Hardware stießen. Dieser Ansatz sollte ihnen helfen, die zunehmende Komplexität von Netzwerken und deren Unfähigkeit, mit der Bandbreite Schritt zu halten, zu bewältigen.

Wir wollen FPGAs nicht verunglimpfen, denn diese Technologie hat sich in Bezug auf Leistung und Qualität bewährt. Unsere Erfahrung hat jedoch gezeigt, dass diese Technologie in Anwendungsfällen wie der Analyse von Netzwerkpaketen für Cybersicherheitszwecke nicht unbedingt die Anforderungen eines Zero-Trust-Frameworks erfüllt. Dies setzt eine vollständige Verarbeitung und Analyse jedes einzelnen Pakets auf jeder Ebene voraus. Eine dringend benötigte Anforderung, wenn die Sicherheit eine fortschreitende Verlagerung in die Cloud berücksichtigen muss.

Im Falle der Netzwerkanalyse sollten die FPGA-Beschränkungen in ihren eigenen Kontext gestellt werden, nämlich in den Kontext neuer Herausforderungen wie der zunehmenden Verwendung von Virtualisierungs- oder Tunneling-Protokollen, die es erforderlich machen, dass Netzwerküberwachungslösungen alle unteren Protokollschichten entkapseln. Hinzu kommt das Problem der komplexen Protokollstapelung und der ständigen Weiterentwicklung der Netze, da regelmäßig neue Protokolle auftauchen, während es bereits eine Vielzahl von ihnen gibt!

Unsere Argumente dafür, dass FPGAs für die Überwachung von Netzwerken und die Cybersicherheit unzureichend sind, sind sowohl technischer als auch wirtschaftlicher Natur.

Technische Argumente

Zur Erinnerung: Ein FPGA (FPGA steht für Field Programmable Gate Arrays) ist im Grunde ein Chipsatz, der aus einer Vielzahl von Arrays besteht, die nach der Herstellung umprogrammiert werden können (was bei einer CPU nicht der Fall ist). Daher ist es möglich, diese Arrays zu konfigurieren und ihre Verbindungspunkte zu definieren, um einem bestimmten Zweck gerecht zu werden. Während eine CPU in der Lage ist, Milliarden von Befehlen in Tausenden von Zyklen auszuführen, je nachdem, was von ihr verlangt wird, kann ein FPGA das gleiche Ergebnis in viel weniger Zyklen erzielen. Vereinfacht ausgedrückt ist ein FPGA wie eine CPU, die man beliebig oft anpassen kann, um eine bestimmte Aufgabe zu erfüllen. Er kann diese Aufgabe vielleicht viel besser erledigen als eine CPU. Aber er wird nur diese eine Aufgabe erfüllen. Ein FPGA ist nicht polyvalent, es ist eine Technologie, die nur einen Trick beherrscht. Sie hat ihre Vorteile, aber auch viele Nachteile.

Ideal in der Automobilindustrie, im Finanzwesen oder in Netzwerkumgebungen (LUA-Chips), wird es schwieriger, FPGAs zu verwenden, wenn die Probleme, die Sie angehen wollen, Lösungen haben, die nur mit komplexen Verflechtungen der bedingten Datenverarbeitung umgesetzt werden können.

In diesen Fällen zeigt unsere Erfahrung, dass FPGA nicht mehr in der Lage ist, die erwartete Leistung zu erbringen. Insbesondere dann, wenn wir spezifische Prozesse entwickeln mussten, die auf Sequenzen parallelisierter bedingter Verschachtelung aufbauen (z. B. Algorithmen, die auf komplexen und rekursiven Entscheidungsbäumen basieren).

FPGA ist in der Regel sehr effizient, wenn eine Reihe von Bedingungen gleichzeitig getestet werden muss. Dies macht es zu einem ausgezeichneten Werkzeug, zum Beispiel bei der Verarbeitung von Netzwerksignalen (Schicht 1 des OSI-Modells) oder bei der Parallelisierung bestimmter Prozesse.

Andererseits sind FPGA-basierte Lösungen im Allgemeinen nicht in der Lage, Protokolle zu klassifizieren, die sich nicht selbst ankündigen, wenn die Anzahl und Vielfalt der zu klassifizierenden Protokolle zu komplex wird (Multiplex-Protokolle, komplexe Protokollstapelung usw.) und der Anwendungsfall auf den Schichten 2 bis 7 beruht . Dies führt zu einer erhöhten Ungenauigkeit und einem Verlust an Transparenz.

Unter den Gründen, die uns zu der Erkenntnis brachten, dass FPGA zu viele technische Einschränkungen im Bereich der Netzwerkbeobachtung hat, sind hier die, die wir als die auffälligsten oder einschränkendsten erachteten:

  • FPGA hat bei der sequentiellen Parallelisierung der dynamischen bedingten Schleife nicht gut abgeschnitten, was dazu führte, dass man sich ausschließlich auf die Verarbeitung einiger weniger Protokollschichten auf niedriger Ebene konzentrierte. Netzwerkprotokolle, die die nachfolgenden Protokolle korrekt ankündigen (und je dynamischer und ungenauer die Protokollschichten gestapelt sind, desto weniger relevant wird FPGA). Jenseits von Layer 4 ist es für FPGA nicht möglich, Netzwerkprotokolle korrekt zu klassifizieren. Ebenso werden Netzwerkvirtualisierungsprotokolle (wie VLAN oder VxLAN), wenn sie überhaupt erkannt werden, nur für eine bestimmte Anzahl von Iterationen verarbeitet. Dies macht den Einsatz solcher Lösungen in Kernnetzen, wie dem eines Rechenzentrums, weit weniger relevant.
  • Seine Identifizierung ist bei hohen Protokollschichten und bei unangekündigten Protokollen sehr begrenzt. Es ist sehr schwierig, komplexe Filter mit FPGA zu erstellen. Viele Lösungen begnügen sich damit, nur einige wenige Netzwerkprotokolle der unteren Schichten und nur unter bestimmten Bedingungen zu verarbeiten (MPLS, wenn das IP-Protokoll darauf folgt, oder VxLAN, aber nur auf Ports).
  • Netze sind sehr dynamisch geworden, und es ist nicht ungewöhnlich, dass es zu Fehlern beim Stapeln von Netzen (virtuell oder physisch) kommt, insbesondere in hybriden Umgebungen. Da FPGA fast zustandslos ist, ist es schwierig, Protokolle korrekt zu identifizieren, wenn es notwendig ist, mehrere Pakete zu halten, insbesondere wenn der Durchsatz hoch und der Speicher der Netzwerkkarte begrenzt ist.
  • FPGA hat größere Schwierigkeiten mit der Entkapselung aufeinanderfolgender Stapel von Tunnel- und Multiplexprotokollen.
  • FPGAs sind nicht wendig. Netzprotokolle sind nicht unveränderlich. Sie ändern sich ständig und es ist nicht ungewöhnlich, dass sie sich weiterentwickeln oder dass neue Protokolle auftauchen. Da die Zeit bis zur Aktualisierung bei FPGAs höher ist als bei anderen Ansätzen, werden sie immer Schwierigkeiten haben, mit unbekannten Fehlern umzugehen.
  • Eine für** FPGA "kompilierte" Lösung funktioniert nicht außerhalb desselben FPGA NIC desselben Herstellers**r.
  • In einer Zeit, in der immer mehr Anwendungen in die Cloud verlagert werden, ist es immer noch nicht möglich, FPGAs zu virtualisieren, was einen der Hauptvorteile der Cloud, nämlich ihre Skalierbarkeit, mit jeder FPGA-basierten Lösung inkompatibel macht.

FGPAs können zwar einige eng definierte Sichtbarkeitsprobleme lösen, ihr Ansatz ist jedoch nicht "Zero Trust", da er den Verzicht auf Beobachtbarkeit zugunsten der Verarbeitung größerer Datenmengen in Kauf nimmt.

Geschäftliche Argumente

Unsere Lösung, die Zero-Trust-Verkehrsanalyse, befasst sich mit all den oben genannten technischen Problemen. Sie spiegelt diese Probleme wider und ermöglicht es uns außerdem, einen soliden Business Case um die folgenden technischen Gegebenheiten herum aufzubauen:

  • FPGA ist sowohl "Vendor Locked" als auch "Technology Locked" (es ist unmöglich, Ihre Protokollanalyselösung auf einen anderen Remote-Server zu übertragen, wenn dieser nicht über denselben FPGA-Chipsatz oder genau gleichwertige Hardwareeigenschaften verfügt)
  • FPGA verbietet jede Form der Skalierbarkeit, außer durch den Kauf zusätzlicher Hardware (wenn Sie den Durchsatz erhöhen oder Schnittstellen hinzufügen wollen, müssen Sie erneut bezahlen).
  • Halbleiterknappheit hat noch stärkere Auswirkungen auf spezialisierte Chips wie FPGA
  • Eine FPGA-Lösung generiert eine höhere TCO (Total Cost Ownership): ein leistungsfähiger, teurer Server und mehrere FPGA-Chipsätze sind für Umgebungen mit hoher Dichte (Data Centers) unerlässlich. Das steht im Gegensatz zu Umgebungen, in denen der Overhead verbannt werden soll
  • Die Orchestrierung von Netzwerkanalyselösungen, die für CSP/Data Center-Architekturen entwickelt wurden, ist unmöglich.

Wir hoffen, dass wir Sie nach der Lektüre dieser Argumente überzeugt oder zumindest Ihre Meinung geändert haben. Unsere Worte mögen aufrührerisch erscheinen. Aber das sind sie nicht. FPGA ist immer noch ein großartiges Werkzeug für viele Anwendungsfälle.

Wir sind jedoch der Meinung, dass FPGA für die Analyse von Netzwerkprotokollen im Bereich der Cybersicherheit nicht gut geeignet ist, da ihre Verwendung restriktiv ist und ihr Einsatz auf proprietäre Infrastrukturen beschränkt ist. Außerdem werden die Netzwerke immer komplexer (neue Anwendungen) und die Infrastrukturen immer hybrider (Verlagerung in die Cloud). In diesem Zusammenhang ist der einzige sinnvolle Ansatz, sehr hohe Anpassungs- und Integrationsfähigkeiten zu fördern.

Derselbe Ansatz, den die NANO Corp.

Florian Thebault
November 10, 2022
Teilen Sie
LinkedIn LogoX-Logo

Sind Sie bereit, die vollständige Netzwerktransparenz von
freizuschalten?

Sprechen Sie mit unsBuchen Sie eine Demo ->

Weitere Blogbeiträge

Zum Blog gehen

EDR: Jenseits des Hypes

27. September 2022
Lesen Sie mehr ->

Kompromisslose Überwachung über 100 Gbit/s-Flüsse

Juni 17, 2021
Lesen Sie mehr ->

NANO Corp. tritt dem DeepTech Club bei

März 24, 2022
Lesen Sie mehr ->
Sie haben sich erfolgreich für den Newsletter angemeldet.
Ups! Etwas ist schief gelaufen, bitte versuchen Sie es erneut.
Wenn Sie den Newsletter abonnieren, erklären Sie sich damit einverstanden, die neuesten Unternehmensnachrichten von NANO Corp. zu erhalten. Lesen Sie die Datenschutzrichtlinie.
Plattform
Deep Network BeobachtungKI-gesteuerter intelligenter AlarmLive-ForensikIntegrationenSIEM/SOAR-RationalisierungIDS-ErsatzErkennung von OT-BedrohungenVollständige NetzwerktransparenzAutomatisierte Paketerfassung
Ressourcen
BlogDokumentationRechner für die Kosten von AusfallzeitenTechnische BlätterDatenschutzbestimmungenBedingungen der Dienstleistung
Unternehmen
ÜberKarriereKontaktVeranstaltungenPresse
LinkedIn LogoX-LogoYoutube-Logo
Urheberrecht © 2024 NANO Corp.