Журнал "Information Security/ Информационная безопасность" #6, 2025

Резоны аппаратного ускорения понят- ны – низкие задержки и высокая про- пускная способность, которые становятся критичными для телекома, финансового сектора и дата-центров, обрабатываю- щих ИИ-нагрузки. Отдельного внимания заслуживает обработка Elephant Flows – длительных высокообъемных сессий, характерных для трафика ЦОД. Архитектура универ- сальных CPU предполагает обработку отдельных сессий в рамках отдельных ядер, что при высоких скоростях быстро приводит к исчерпанию ресурсов и сни- жению глубины анализа. Аппаратные ускорители на базе ASIC и FPGA позво- ляют выполнять такую обработку на лету, без перегрузки памяти, шин и кэша. Важным фактором остается энергоэф- фективность. Специализированные ASIC и FPGA потребляют кратно меньше энер- гии в расчете на гигабит трафика, что напрямую снижает эксплуатационные затраты на питание и охлаждение ЦОД. В последние годы развивается направ- ление DPU (Data Processing Unit). Ряд вендоров, включая Check Point, исполь- зует решения nVidia на базе ASIC Blue- Field, приобретенной вместе с Mellanox в 2020 г.; аналогичные платформы пред- лагают и другие производители, напри- мер Marvell. DPU представляют собой программируемые SoC (система на чипе), объединяющие ARM-ядра, специализи- рованные аппаратные блоки и сетевые контроллеры, и рассматриваются как следующий этап эволюции аппаратного ускорения – от сопроцессора к автоном- ной вычислительной платформе. Параллельно применяется и подход с разработкой собственных специали- зированных ASIC. Так, Fortinet исполь- зует отдельные процессоры для сетевых, контентных и защитных функций, что позволяет достигать высокой произво- дительности при умеренной стоимости за счет серийного производства. Тренды развития в России На российском рынке NGFW сегодня доминируют два подхода к наращиванию производительности. Первый, наиболее популярный, – программное ускорение на базе x86 с использованием DPDK и серверных процессоров Intel Xeon 4–5 поколений. Он позволяет быстрее выво- дить продукты на рынок, но в долго- срочной перспективе упирается в архи- тектурные ограничения: слабое масшта- бирование в пределах одного устрой- ства, высокое энергопотребление и ограниченную предсказуемость произво- дительности под высокой нагрузкой. Второй подход – использование аппа- ратных ускорителей на базе FPGA. Этого подхода придерживаемся, кажется, толь- ко мы, в основном он ориентирован на сегмент ЦОД. В серийных платформах такого класса FPGA берет на себя обра- ботку ресурсоемких сетевых функций, разгружая CPU. На практике это позво- ляет в форм-факторе 1U достигать порядка 85 Гбит/с на трафике EMIX в режиме FW L4 и около 25 Гбит/с в режиме FW L4 + IPS при использовании FPGA емкостью около 500 тыс. LUT (Look-Up Table, элементарная програм- мируемая логическая ячейка FPGA). За счет оптимизации взаимодействия CPU и ускорителя в среднесрочной перспек- тиве такие показатели могут быть уве- личены до 200 Гбит/с и 40 Гбит/с, соот- ветственно. В среднесрочном горизонте развитие аппаратного ускорения связано с пере- ходом к более мощным FPGA и энер- гоэффективным CPU на архитектуре ARM. В перспективных платформах это позволяет рассчитывать на производи- тельность до 800 Гбит/с в режиме FW L4 при сохранении компактности и при- емлемого энергопотребления. Отдельное направление – встраивае- мые аппаратные ускорители в формате PCI-E. Примером является модуль "Катунь-2" на базе FPGA, предназна- ченный для ускорения функций IPS и в перспективе S2S VPN. Такой подход позволит получить прирост производи- тельности в десятки гигабит в секунду без замены существующих ПАК и про- длить их жизненный цикл. Возможные барьеры в России В настоящее время в России отсут- ствует собственное производство FPGA, способное предложить экономически обоснованные решения, соответствую- щие запросам отрасли. В результате вендоры вынуждены использовать зару- бежные компоненты, одновременно выстраивая процессы, направленные на сохранение конфиденциальности и обес- печение санкционной устойчивости цепо- чек поставок. Дополнительным ограничением являются высокие первоначальные инве- стиции в разработку платформ с аппа- ратным ускорением. Такие проекты тре- буют значительного времени и при- влечения узкопрофильных специалистов с редкой и дорогостоящей экспертизой. Вместе с тем FPGA обладают важным преимуществом – возможностью пере- настройки, что позволяет поэтапно нара- щивать функциональность и развивать компетенции без изменения аппаратной части. В мировой практике FPGA часто используются для отработки архитектуры с последующим переходом к серийному производству ASIC. Российский рынок, однако, не располагает сопоставимыми масштабами выпуска и доступом к таким производственным цепочкам, в том числе из-за санкционных ограничений. В совокупности эти факторы сдержи- вают развитие аппаратного ускорения в сегменте NGFW. Для большинства рос- сийских вендоров программные подходы на базе универсальных CPU остаются более доступными и менее рискованны- ми. Попытки реализовать полноценные аппаратно-ускоренные решения пред- принимались и ранее, однако часть таких проектов была закрыта из-за высо- кой сложности, стоимости и ограничен- ной окупаемости, несмотря на значи- тельные ресурсы, задействованные в их разработке. l 50 • СПЕЦПРОЕКТ Роль аппаратных ускорителей в современных NGFW спользование аппаратного ускорения в NGFW фактически стало отраслевым стандартом. Крупные мировые вендоры – Cisco, Check Point, Fortinet, Palo Alto Networks – широко применяют ускорители на базе FPGA и ASIC, поскольку они обеспечивают существенно более высокое соотношение про- изводительности и стоимости по сравнению с универсальными CPU. Что же с этим в России? И Кирилл Прямов, менеджер по развитию NGFW в компании UserGate Фото: UserGate