Blogpost

Le FPGA pour une analyse Zero Trust des paquets réseaux, la fausse bonne idée.

Informieren Sie sich bei NANO Corp über die Grenzen von FPGAs in Bezug auf die Sicherheit von Netzwerken und tauchen Sie ein in die Zukunft der Cybersicherheit im Zeitalter der Cloud.

Florian Thebault
November 10, 2022
Teilen Sie
LinkedIn LogoX-Logo

Zahlreiche Anbieter von Netzsondierungen, die an die Grenzen ihrer logischen Lösungen gestoßen sind, haben im letzten Jahrzehnt auf FPGA umgeschwenkt. Mit diesem Ansatz sollte es möglich sein, ihre Unfähigkeit, der zunehmenden Komplexität der Netze zu folgen, zu überwinden.

FPGA (Field Programmable Gate Array) ist eine Technologie, deren Leistungen und Qualität anerkannt sind. Unsere Erfahrungen haben jedoch gezeigt, dass diese Technologie im Rahmen der Analyse von Netzwerken zu Zwecken der Cybersicherheit nicht zwingend den Anforderungen eines Zero-Trust-Kerns entspricht, d. h. einer umfassenden Analyse jedes einzelnen Pakets auf jeder Oberfläche, was umso wichtiger ist, als die Sicherheit eine fortschreitende Auslagerung in die Cloud berücksichtigen muss.

Insbesondere müssen die Grenzen von FPGA im Rahmen der Netzanalyse im Zusammenhang mit neuen Problemen wie der zunehmenden Virtualisierung oder dem Tunneling, die den Lösungen die Beherrschung der tiefen Schichten auferlegen, überwunden werden. Zu diesem Problem gesellen sich sowohl komplexe protokollarische Anwendungen als auch die ständige Weiterentwicklung der Netze, da immer wieder neue Protokolle auftauchen, obwohl es bereits eine Vielzahl davon gibt!

Unsere Argumente für die Unzulänglichkeit eines ausschließlichen Einsatzes von FPGA für die Überwachung und den Schutz von Netzwerken sind sowohl technischer als auch kommerzieller Natur.

Argumentationstechniken

Zum Vergleich: Ein FPGA ist eine Schaltung, die aus Arrays besteht, die nach der Herstellung umprogrammiert werden können (was bei einer CPU nicht der Fall ist). Es ist daher möglich, diese Arrays zu konfigurieren und für einen bestimmten Zweck die Zusammenschaltungen zu definieren. Während eine CPU je nach Anforderung mehrere Millionen Anweisungen ausführt, kann ein FPGA in nur wenigen Zyklen zum gleichen Ergebnis kommen.

In der Automobil-, Finanz- oder Netzwerkbranche (LUA-Chip) ist die Verwendung eines FPGAs zwar ideal, aber auch komplizierter, wenn die Probleme, die man lösen möchte, in einer komplexen Verflechtung von Datenverarbeitungsprozessen zu suchen sind.

Unsere Erfahrung zeigt, dass der FPGA nicht mehr die gewünschte Leistung erbringt, wenn es notwendig ist, Verarbeitungsprozesse zu entwickeln, die auf parallelen Abläufen beruhen (z. B. Algorithmen auf der Grundlage komplexer und kalkulierbarer Entscheidungsprozesse).

Le FPGA est très performant lorsqu'il faut tester un ensemble de conditions simultanément. Dies macht ihn zu einem ausgezeichneten Hilfsmittel bei der Verarbeitung von Signalnetzwerken (z.B. Couche 1 des OSI-Modells) oder bei der Frage der Parallelisierung von Prozessen.

Wenn die Anzahl und Vielfalt der zu klassifizierenden Protokolle jedoch sehr komplex ist (Multiplex-Protokolle, komplexe Protokollverkettungen usw.), neigen FPGA-basierte Lösungen dazu, die Protokolle, die nicht angezeigt werden, nicht zu klassifizieren. Dies hat zur Folge, dass sich die Ungenauigkeit erhöht und die Sichtbarkeit sinkt.

Unter den Gründen, die uns daran erinnern, dass FPGA zahlreiche technische Beschränkungen im Bereich der Sichtbarkeit von Netzwerken aufweist, möchten wir Ihnen einige nennen, die wir als besonders auffällig oder einschränkend erachtet haben:

  • Das FPGA ist nicht besonders leistungsfähig, wenn es um die parallele Erstellung von dynamischen, konditionierten Paketen geht, was zur Folge hat, dass es sich ausschließlich auf die Verwaltung bestimmter tiefer Bereiche konzentriert. Diese kündigen die nachfolgenden Protokolle korrekt an (und je mehr die Protokolle dynamisch und unvorhersehbar eingesetzt werden, desto weniger ist das FPGA relevant). Ab dem Punkt 4 ist es dem FPGA nur noch selten möglich, die Netzprotokolle korrekt zu klassifizieren. Aus dem gleichen Grund sind die Umgebungen, die auf der Basis von virtualisierten Protokollen aufgebaut sind, wenn sie bearbeitet werden, nur für eine bestimmte Anzahl von Einzelvorgängen geeignet. Daher ist der Einsatz solcher Lösungen in einem Rechenzentrum weniger relevant.
  • Durch die Beschränkung auf die oberen Bereiche und die sich nicht ankündigenden Protokolle ist es schwierig, bestimmte komplexe Filter mit einem FPGA zu erstellen. Viele Lösungen begnügen sich damit, nur einige wenige Protokolle in den unteren Bereichen und nur unter bestimmten Bedingungen zu verarbeiten (MPLS, wenn es sich um das entsprechende IP-Protokoll handelt, oder VxLAN, aber nur für die Ports).
  • Die Netze sind inzwischen sehr dynamisch, und es ist nicht selten, dass es bei der Nutzung von (virtuellen oder physischen) Netzen, vor allem in hybriden Umgebungen, zu Fehlern kommt. Da das FPGA quasi zustandslos ist, ist es außerdem schwierig, die Protokolle korrekt zu klassifizieren, wenn es notwendig ist, mehrere Paquets zu verwalten, vor allem, wenn der Preis hoch und der Speicher der Karte begrenzt ist.
  • Für FPGA ist es besonders schwierig, eine Folge von Tunnel- und Multiplexprotokollen zu erstellen.
  • FPGAs sind nicht agil. Die Netzprotokolle sind nicht unveränderlich. Sie ändern sich ständig und es ist nicht selten, dass sie sich weiterentwickeln oder dass neue Protokolle auftauchen. Die Zeit bis zur Aktualisierung mit einem FPGA ist höher und es besteht die Gefahr, dass unvorhergesehene Fehler auftreten.
  • Eine für ein FPGA "kompilierte" Lösung funktioniert nicht auf der gleichen FPGA-Karte.
  • In einer Zeit, in der ein großer Teil der Anwendungen in die Cloud migriert, ist es immer noch unmöglich, FPGAs zu virtualisieren, was FPGAs definitiv inkompatibel mit einem der Hauptvorteile der Cloud macht, nämlich der Skalierbarkeit in der Architektur ihrer Lösungen.

Auch wenn die FGPA auf die begrenzten Sichtbarkeitsprobleme reagiert, ist ihr Ansatz nicht Zero Trust, denn sie nimmt in Kauf, die Beobachtbarkeit zugunsten einer höheren Datenmenge zu opfern.

Argument Commerciaux

Unsere Lösung, die Zero Trust Trafic Analysis, geht auf die oben genannten technischen Probleme ein. Sie ermöglicht es darüber hinaus, eine solide Handelsargumentation auf der Grundlage der folgenden technischen Realitäten zu entwickeln:

  • Le FPGA est dit "Vendor Locked" et "Machine locked" (Es ist nicht möglich, die Lösung für die Analyse von Protokollen auf einen anderen Rechner aus der Ferne zu übertragen, wenn dieser nicht den gleichen FPGA-Steckplatz und auch nicht die gleichen Hardware-Eigenschaften hat)
  • Le FPGA interdit toute forme de scalabilité hormis par l'achat de matériel supplémentaire (vous souhaitez augmenter le débit ou rajouter des interfaces, il faut repasser à la caisse).
  • Die Halbleiterkrise wirkt sich vor allem auf Spezialgeräte wie FPGA aus
  • Eine FPGA-Lösung führt zu höheren Gesamtbetriebskosten (TCO): Ein leistungsstarker, teurer Server und mehrere FPGA-Karten sind für Umgebungen mit hoher Dichte (Rechenzentren) unverzichtbar, da der Overhead zu hoch ist.
  • Die Orchestrierung von Lösungen, die für Architekturen wie CSP/Data Center entwickelt wurden, ist unmöglich.

A la lecture de ces arguments, nous espérons vous avoir convaincu ou tout du moins avoir ouvert le débat. Ces propos peuvent sembler incendiaires. Sie sind es aber nicht. Le FPGA reste un outil formidable. Aber wir sind der festen Überzeugung, dass es sich als zu kontraproduktiv erwiesen hat, es für die Netzanalyse einzusetzen.

Wir gehen davon aus, dass sich FPGA schlecht für eine Zero-Trust-Analyse von Protokollen eignet, da seine Nutzung restriktiv und seine Ausbringungskapazität auf eigene Infrastrukturen beschränkt ist. Oder der Netzkontext wird immer komplexer (neue Nutzungen) und die Infrastrukturen werden wechselseitig genutzt (Verlagerung in die Cloud). In diesem Kontext ist der einzige sinnvolle Ansatz derjenige, der eine sehr hohe Anpassungsfähigkeit und eine noch stärkere Integration ermöglicht. Der von der NANO Corp. gewählte Ansatz

Florian Thebault
November 10, 2022
Teilen Sie
LinkedIn LogoX-Logo

Möchten Sie
die vollständige Sichtbarkeit Ihres Netzwerks freigeben?

Kontaktieren Sie unsRéservez votre démo ->

Weitere Blogbeiträge

Zum Blog gehen

Im Rugby wie im Internet ist man gemeinsam stärker als je zuvor.

4. September 2023
Lesen Sie mehr ->

Überwachung: Die Stiftung für Cyber-Sicherheitsbeobachtung

15. Juni 2023
Lesen Sie mehr ->

Supervision des réseaux : quels choix d'équipement s'offrent à vous ?

13. Dezember 2022
Lesen Sie mehr ->
Sie haben sich erfolgreich für den Newsletter angemeldet.
Oups! Une erreur s'est produite, veuillez réessayer.
Wenn Sie sich für den Newsletter anmelden, erklären Sie sich damit einverstanden, die neuesten Nachrichten der NANO Corp. zu erhalten. Lire la Politique de confidentialité.
Plattform
Deep Network BeobachtungKI-gesteuerte intelligente AlarmeLive-ForensikIntégrationsRationalisierung SIEM/SOARErsetzung von IDSAbwehr von Bedrohungen OTVollständige Sichtbarkeit des NetzesAutomatisches Erfassen von Paquets
Ressourcen
BlogDokumentationCalculateur du coût des temps d'arrêtFiches-TechnikenPolitik der VertraulichkeitAllgemeine Benutzungsbedingungen
Das Unternehmen
À proposKarrierenWir nehmen Kontakt aufVeranstaltungenPresse
LinkedIn LogoX-LogoYoutube-Logo
Alle Rechte vorbehalten © 2024 NANO Corp.