Tăng tốc hiệu năng Suricata bằng Napatech SmartNIC với Napatech Link Capture Software
Mô tả giải pháp
Trong hệ thống phát hiện và ngăn xâm nhập IDS/IPS việc thiếu bất kì một thành phần nào trong lưu lượng data là điều không thể chấp nhận được, vì ngay khi chỉ một gói tin nhỏ không được kiểm soát bởi IDS/IPS nó có thể sẽ trở thành một điểm mù gây hại cho hệ thống.
Suricata phát hiện các mối đe dọa đã được định nghĩa, các vi phạm chính sách và hành vi độc hại. Tuy nhiên, Suricata sẽ chỉ hiệu quả nếu hệ thống triển khai phù hợp với thực tế. Lý do là việc kiểm tra mọi dữ liệu trong mọi gói tin đòi hỏi hiệu năng CPU rất lớn, đặc biệt với lưu lượng hàng Gigabit mỗi giây. Và đây chính là một điểm nghẽn về hiệu năng của Suricata vì khả năng giới hạn trên việc xử lý gói bởi CPU.
Các tính năng chính của giải pháp
- Thông lượng mạng ở tốc độ đầy đủ cho tất cả các kích cỡ gói tin
- Khả năng capture dữ liệu không mất mát trợ giúp hoàn hảo cho kiểm tra và phát hiên bất thường
- Bộ đệm gói packet buffer ngay trên bo mạch cho phép xử lý xung đột biết micro-burst hay nghẽn băng thông trên PCI Express
- Cơ chế quản lý bộ đệm độc quyền cho phép tăng tốc mạnh mẽ khả năng cache của CPU
- Phân loại gói, lọc gói, xử lý và chuyển tiếp trực tiếp không sao chép
- Phân phối tải thông minh và linh hoạt đến 64 hàng đợi cải thiện hiệu suất bộ nhớ cache CPU bằng cách luôn cung cấp cùng một luồng cho cùng một lõi
Khác biệt trong giải pháp của Napatech
Để giải quyết thách thức này, Napatech đã tạo ra một giải pháp tăng tốc phần cứng giúp giảm tải cho CPU và do đó làm tăng đáng hiệu suất Suricata.
Giải pháp này dựa trên Phần mềm Napatech Link Capture Software, một sự lựa chọn phù hợp duy nhất cho tăng tốc hệ thống Suricata. Nó giúp giảm tải xử lý và phân tích lưu lượng mạng từ phần mềm ứng dụng, đồng thời đảm bảo sử dụng tối ưu các tài nguyên của máy chủ tiêu chuẩn dẫn đến tăng tốc ứng dụng hiệu quả.
Được tối ưu hóa để capture tất cả lưu lượng mạng ở tốc độ thực tế, hầu như không có tải gây sức ép lên CPU trên máy chủ máy chủ (ở tất cả các kích thước frame), giải pháp này đã thể hiện ưu thế vượt trội so với các card mạng tiêu chuẩn trong việc tăng tốc hiệu năng Suricata:
- Tăng đáng kể hiệu suất hệ thống mà không làm mất gói tin
- Capture 100% lưu lượng mạng
- Thông lượng tối đa cao hơn 50%
- Cơ chế thông minh cho phép lọc lưu lượng theo yêu cầu ngay trên phần cứng
Biến những sự tăng tốc này thành giá trị thực tiễn, cho phép:
- Tối đa hóa hiệu suất máy chủ bằng cách cải thiện đáng kể việc sử dụng CPU
- Giảm thiểu TCO bằng cách giảm số lượng máy chủ, tối ưu hóa không gian lắp đặt, điện năng, năng lượng cho làm mát và chi phí vận hành
- Giảm thời gian giải quyết các vấn đề, do đó cho phép tăng hiệu quả đáng kể
Những kết quả nổi bật trong xử lý không mất mát dữ liệu
Sự tăng tốc này đã được chứng minh trên thực tế bằng cách so sánh hiệu suất Suricata chạy trên Dell PowerEdge R740 với một card mạng NIC 40G tiêu chuẩn và Napatech SmartNIC.
Sử dụng CPU 40 lõi trên 2 khe CPU, Napatech SmartNIC với Link™ Capture Software cung cấp thông lượng gói Suricata lossless lớn hơn nhiều lần so với NIC tiêu chuẩn khi chạy Suricata với bộ quy tắc 12,712-signature Emerging Threats.
Thông lượng tối đa
Khởi chạy Suricata trên tất cả 40 lõi, thông lượng hệ thống đạt đỉnh 34,8 Gbps với NIC tiêu chuẩn, trong khi Napatech SmartNIC cung cấp thông lượng tối đa cao hơn 50%.
Cơ chế xử lý Stateful flow
Bằng việc ứng dụng cơ chế stateful flow trên Napatech SmartNIC, các ứng dụng sử dụng nhiều tài nguyên CPU như Suricata có thể phân tích lưu lượng mạng trên cơ sở mỗi luồng flow cho hàng triệu luồng để xác định yêu cầu phần cứng cần thiết cho quá trình xử lý.
Theo cơ chế được lập trình sẵn của Suricata, thông qua các API tiêu chuẩn giữa Suricata và SmartNIC dựa trên luồng độc lập, các hành động cho các luồng riêng lẻ có thể được cập nhật theo thời gian thực để lọc hoặc chuyển tiếp dữ liệu ngay trong phần cứng. Giải pháp này sẽ giảm tải đáng kể cho ứng dụng trên phần cứng hữu hạn cách giảm lượng dữ liệu cần phải xử lý trên những luồng cụ thể hay những giao thức cụ thể mà không cần phải kiểm soát hay theo dõi và đơn thuần chuyển tiếp những dữ liệu này từ cổng sang cổng port-to-port hay chặn ngay trên phần cứng.
Sự khác biệt lớn về hiệu năng
Bằng việc sử dụng Napatech SmartNICs, Suricata đã thể hiện hiệu suất tăng lên đáng kể trên tất cả các kích cỡ gói tin. Ngược lại, NICs tiêu chuẩn hiển thị sự khác nhau đáng kể về hiệu suất trên một tập hợp các phép đo với khối lượng xử lý giống hệt nhau. Hành vi này được thể hiện trong biểu đồ ở trên, trong đó hiệu suất Suricata sử dụng Napatech SmartNIC xuất hiện dưới dạng một đường sắc nét duy nhất cho thấy không có sự thay đổi. Đối với NIC tiêu chuẩn, đường nét dày đại diện cho giá trị thông lượng trung bình và hình ảnh khu vực màu xanh lam xung quanh cho thấy sự thay đổi trên các thử nghiệm khác nhau. Nói một cách đơn giản, Napatech SmartNIC cung cấp hiệu suất ứng dụng được đảm bảo trong khi hiệu suất NIC tiêu chuẩn thay đổi tới 50% trong các lần chạy thử nghiệm với cùng tải được cung cấp.
Cấu hình hệ thống test
The test configuration was based on a dual-socket Dell R740 with the 2x40G SmartNIC NT200. Traffic was generated by PCAP replay of an actual network traffic capture comprising more than 125K flows with an average packet size of 486 bytes.
Cấu hình thử nghiệm được xây dựng trên máy chủ thông thường 2 CPU Dell R740 với SmartNIC NT200 2x40G. Lưu lượng dữ liệu được tạo ra bởi quá trình phát lại dữ liệu PCAP thu được từ một nguồn dữ liệu trên mạng thực tế với trên 125 nghìn luồng khác nhau và kích thước gói tin trung bình ở mức 486 byte.
Phần mềm Napatech Link Capture
Kết quả ấn tượng ở thử nghiệm trên đạt được nhờ việc Suricata đã sử dụng năng lực phần cứng mạnh mẽ từ Napatech’s Reconfigurable Computing Platform là sự kết hợp giữa Phần mềm Napatech Link Capture và phần cứng FPGA SmartNICs.
Napatech’s Reconfigurable Computing Platform cung cấp khả năng linh hoạt trong việc giảm tải trên phần cứng, tăng tốc, chuẩn hóa, hiệu năng cao và chi phí cạnh tranh ngay trên các máy chủ thông thường, cho phép hệ thống có thể đạt được hiệu năng cao hơn nhiều trong các ứng dụng về mạng, viễn thông hay an ninh mạng.
Suricata
Suricata là một ví dụ lý tưởng về ứng dụng bảo mật doanh nghiệp và nó có thể đạt được hiệu suất tốt hơn nhiều thông qua tăng tốc phần cứng. Đây là một ứng dụng phát hiện xâm nhập nguồn mở và hoàn toàn miễn phí cung cấp khả năng của một IDS thời gian thực, IPS và khả năng giám sát an ninh mạng hiệu quả. Suricata được thiết kế với các tính năng đặc biệt cho hiệu suất và khả năng mở rộng và hỗ trợ hoàn toàn phần cứng Napatech:
Thiết kế đa luồng cho phép một instance Suricata đơn lẻ có thể tận dụng tài nguyên trên nhiều CPU khác nhau
Hỗ trợ (native) các loại card capture dữ liệu và các thiết bị tăng tốc phần cứng như Napatech. Quá trình cài đặt và tích hợp được giới thiệu chi tiết tại suricata.readthedocs.io hay trên website Napatech Suricata Installation Guide.