大多數標準網路安全解決方案依賴於在商用伺服器上執行特製的軟體來處理網路和電腦數據,以實現安全問題檢測、告警和回應。但對於大型企業和 CSP 所使用的網路安全方案,通常需要提供更多的運算處理能力。對於高性能網路安全解決方案,FPGA 技術變得越來越重要。FPGA 也稱為「現場可程式化邏輯閘陣列」,其處理能力呈指數級增長,這是採用伺服器的解決方案所無法比擬的。採用基於 FPGA 技術所研發的網路安全解決方案,具備足夠廣泛的方式,來處理網路和電腦數據,是一個值得探索的作法。
處理器的歷史
CPU 和 GPU(處理器/記憶體計算架構)已經存在了幾十年,雖然它們在功能上與 FPGA 技術保持著一些相似之處,但還是有一些關鍵的根本區別。第一個明確的區別在於兩者的呈現方式:處理器是固定的,FPGA 是空白的。
處理器在處理之前從記憶體中讀取計算數據,並通過軟體(無論是購買的、開源的還是自行定義創建的)給出指令。它們被賦予一個或多個特定的指令集,並被指派執行固定功能或運算。CPU 這種方式具有很強的處理靈活性,因為您可以使用所有類型的功能來增強軟體功能。
處理器有各種價格和規格。這完全取決於 CPU 或 GPU 被賦予了什麼任務。
FPGA 的優勢:打破常規
認識 FPGA 最重要的事情之一,是瞭解它與大多數人習慣使用的 CPU 和 GPU 之間的關係。CPU 和 GPU 是基於指令集架構。指令集是通用的 — 這使得它們更容易通過基於軟體的方法進行攻擊。
然而,FPGA 是可重新配置的集成電路。兩者不同之處在於 CPU 和 GPU 等基於指令的硬件是通過軟體配置,而FPGA 是通過指定硬體電路來配置的。
這意味著資安維運或分析人員,不僅可以通過調整 FPGA 設計獲得對硬體更好的控制權,而且從駭客的角度來看,這也是一種更加困難利用或滲透的場景。這種可程式化重新配置的方式,不是在軟體中進行(指的是使用 CPU 處理器)— 而是在基於 FPGA 的加速器中執行它。這完全跳脫了處理器的思維。
此外,別忘了還有處理效能的重要性 — 沒有多少 CPU/GPU 處理器能夠跟上今日網路成長的速度和流量。因此,有些專家評論這是將是 FPGA 技術最引人注目之處 — 在網路流量高速 Scale 成長時,維持資安解決方案所需的處理能力。
更具前瞻性的安全方法
在安全性方面,這種方法提供了許多明顯的優勢,包括更難破解駭客所不認識的事物。與 CPU 和 GPU 為主的計算架構不同,FPGA 系統的最終設計不太可能是公開的。這意味著攻擊者基本上需要對系統本身進行逆向工程,而不是編寫一般通用型的惡意軟體。因為這樣做不僅難度很高,而且很少有人願意為此花費大量的精力,於是很容易就轉向其他的攻擊目標。
FPGA 也比同類產品更容易安全,因為系統設計人員永遠可以完全控制底層的運算架構。例如,現成的 CPU 產品,產品開發者完全沒有掌控定義指令集的能力。而採用 FPGA 技術,開發者根據需求,定義可行的配置與設計,然後就可以使用了,基本上按原樣處理。
然而,使用 FPGA 技術,硬體設計人員可以完全控制在 FPGA 中實作的所有邏輯控制。系統的完整控制權屬於產品開發者,而不是在購買了現成產品之前,技術供應鏈中的某人所做出的隨機決定。這使客戶有了另一種選擇,以抵禦可能面臨的特定威脅,而不是強迫採用傳統思維 "One Size Fits All" 的既有產品技術供應鏈,去應對當今資安的挑戰,而實際上這種方式也並不存在。這也就是 FPGA 技術,在大型 Data Center 中如此普及和大量採用的重要原因。
特定問題需要特定的解決方案
這並不是說 FPGA 是絕對完美的安全方法,因為它們確實存在某些缺點。例如,當在 CPU 上執行時,軟體本質上要靈活得多。這使得改良與修正更加容易,更容易適應的特定的應用領域。然而,任務導向型的 FPGA 設計,這種獨特性則需要特定的開發工具和專業的編程技能,而且其特殊任務的內涵,使它比其他具有常見漏洞的標準軟體更難破解。如果執行的任務,是需要絕對速度和增強的安全性,FPGA 是理想的選擇。
因此,雖然可以肯定地說,在現代時代確實沒有 "One Size Fits All" 的方法來確認最終的安全性,但 FPGA 提供了其他方法所缺乏的明顯優勢,這點也同樣是正確的。因此,如果您的任務場景是優先考慮安全性和速度與效能,那麼 FPGA 絕對是最佳選擇。
Source: https://netquestcorp.com/why-fpga-technology-proves-superior-for-security-solutions/ (Why FPGA Technology Proves Superior for Security Solutions)
Photo Credit: Photo by Taryn Elliott from Pexels