常に新たな脅威が出現
ザイリンクスの適応性の高いセキュリティで対応
ネットワーク セキュリティ
エッジ、アクセス、メトロ、コアなど、すべてのネットワークには高いセキュリティが求められます。リンク層からアプリケーション自体までのすべての部分に暗号化/復号化を組み込み、常に進化するさまざまなプロトコルにも対応していかなければなりません。広範なザイリンクス ソリューションは、既知の脅威だけでなく、未知の脅威からもユーザーを保護します。プログラマブル ロジックにセキュリティ機能を直接実装できるため、規格の進化に伴い新たな脅威が出現してもロジックを再構成して対応できます。
ザイリンクスのセキュリティ ソリューションは、100M ~ 400G のラインレート、暗号プロトコル、多様なパケット処理、ルックアップ要件、さらには機械学習アルゴリズムを活用した予測的なマルウェア検出にも対応します。つまり、現在だけでなく将来的にもシステムに求められるセキュリティ機能を備えることができます。
リンク セキュリティ
ザイリンクス ソリューションでは、スイッチやルーターなどに適用する 100Mbps ~ 400Gbps の LinkSec/MACSec の実装が実現します。データパスにセキュリティ機能を直接統合することで、ラインレートで動作する効率的な実装が可能になります。
光ネットワーク向けのレイヤー 1 暗号化
UltraScale+™ FPGA では、メトロ/コアの光ノードおよびスイッチで使用されるプロトコルに対して、バルク暗号化を適用することでペイロードの最大 nx1G-nx100G フレームを暗号化できます。Versal™ ACAP では、高速暗号化 (HSC) ブロックを使用して AES-GCM-128/256 暗号化/復号化機能を統合し、消費電力削減、配置/配線時間短縮、さらにブロックあたり最大 400G のスループットを達成できます。
イーサネット スイッチ向けのレイヤー 2 暗号化
現在、1M ~ 400G までのスループットに対応する IP を提供しており、チャネライゼーションでよりこれをさらに柔軟に使用できます。Versal の HSC ブロックは、nx100G に基づく最大 400G までの MACSec 機能を統合でき、最大 4k+ のセキュリティ アソシエーション (SA) を提供します。サポートされる暗号スイートは、AES-GCM-128/256 と AES-GCM-XPN-128/256 で、機密保持 (暗号化) オフセットを指定できます。
提供中
バルク暗号化および MACSec のソフト IP
1G-100G AES-GCM-128/256
128+ セキュリティ アソシエーション
OTN、MACSec、IPSec、および上位層での暗号化で使用可能
近日発表
AES-GCM 128/256 を使用する 400G バルク暗号化
4x100G、2x200G、または 1x400G
100G あたり最大 128 SA
OTN、MACSec、IPSec、および上位層での暗号化で使用可能
セキュアな配線および VPN
ザイリンクスの FPGA および ACAP ソリューションは、高性能なインライン方式の高速 IPsec 処理を提供します。ザイリンクス アーキテクチャでは、CPU に負担をかけることなく最小限のレイテンシでラインレートのスループットを実現できます。
IPSec (レイヤー 3) セキュリティ コンポーネント
ザイリンクス ソリューションは、IPSec データ プレーンを実装し、IP レイヤーと IPSec レイヤーのパケット処理を管理します。異なるスループットでレイヤー 2 とレイヤー 3 のフィールドを抽出するためのパケット処理機能は、ザイリンクスの FPGA や ACAP デバイスを使用してすぐに実装できます。確定的レイテンシで 1Gb/s ~ 400Gb/s を実現する IP ソリューションが提供されています。ザイリンクスの CAM (Content Addressable Memory) IP と HBM (High Bandwidth Memory) FPGA を利用して、セキュリティ アソシエーション (SA) およびセキュリティ ポリシー (SP) のルックアップを簡単に実装し、数百から数万まで対応します。
IPSec 暗号化機能とその他の機能
柔軟にメモリやパケット処理を実現できるザイリンクスのセキュリティ IP は、シングル ベンダーでサーバー、ルーター、アクセス ルーターに対応できる唯一のソリューションです。固定ソリューションでは、さまざまな L3 VPN をサポートできない上に、ザイリンクス FPGA や ACAP で可能な検索性能を実現することが困難です。ザイリンクス ソリューションでサポートされる暗号化プロトコルは次のとおでです。
暗号プロトコル
- AES-128/192/256 (ECB、CBC、CTR)
ハッシュ関数プロトコル
- SHA-1、SHA-224/256/384/512 (HMAC を使用)
- GHASH
- AES-XCBC-MAC-128/192/256
組み合わせプロトコル
- AES-GCM/AES-GMAC (128/192/256)
- AES-CCM (128/192/256)
その他
- 暗号化/パケット処理用のカスタム プロトコル
- トランスポート モードとトンネル モード
- すべてのパケット サイズでの IPv4 および IPv6 をサポート
- リプレイ防止ウィンドウ サイズを指定可能
提供中
1G-100G インライン IPSec
SA のルックアップとストレージ用 URAM
最大 100G のインライン処理
すべてのプロトコルおよび IPSec モードをサポート
ルックアップ用のザイリンクス CAM IP
提供中
1G-200G インライン IPSec
パケット バッファーとルックアップ用の HBM
10,000+ のセキュリティ アソシエーションとポリシー
ルックアップ用のザイリンクス HBM BCAM IP
ネットワーク コネクティビティ用の 58G SerDes
リプレイ防止ウィンドウ サイズを指定可能
トンネル モードとトランスポート モードによる複数プロトコル サポート
近日発表
400G IPSec
112G SerDes
Nx400 高速暗号化 (HSC)
ハード化された Gen5 PCIe コア
ハード化されたパケット処理
AI を活用するアプリケーション セキュリティ
エンドツーエンドのオフロード機能とアクセラレーション機能によって、ユーザー/アプリケーション間、クライアント/サーバー間のセキュリティ レベルを落とすことなく貴重なリソースを解放できます。ザイリンクスは、既存のプロトコルから最先端の機械学習まで、マルウェア検出のためのさまざまなソリューションを提供します。
ファイアウォールや CPU アクセラレーションのためのステートフルなセキュリティ
セキュリティ アクセラレーション/オフロードにより、CPU と比較して性能が 10 ~ 30 倍向上する。
- セッションの分類とストレージ
- タプル単位のフローによる、ラインレートでのパケット分類
- FPGA 内部/外部メモリを使用するステートフルな TCP オフロード
- FPGA ですべて管理されるセキュアな SSL セッション
- ステートフル TCP プロセッシング、バルク暗号化/復号化、非対称暗号化 (PKI) のパートナー IP
DDoS、DPI、IPS、IDS の正規表現処理
正規表現の並列処理に使用した場合、性能は 20 ~ 30 倍向上する。
- 高スループットでのトラフィック シグネチャ マッチング
- ルール マッチング機能をオフロードして、性能は 10 倍以上向上 (ソフトウェアと比較)
- PCRE/POSIX 互換の正規表現エンジン
- オンチップ HBM または外部 DRAM を使用して、多数のルールをサポート
- CPU への高速データ転送、CAM/TCAM を使用するフロー分類、パケット処理のザイリンクス IP
- DPI SW (SNORT、SURICATA) を使用する正規表現処理のパートナー IP
機械学習モデルを使用したファイアウォールでのステートフルな処理とマルウェア検出
AI で学習し、新しい脅威を特定できる高性能なマルウェア対策システム。人間が予想できない脅威も特定できる。
- 機械学習 (ML) 推論モデルを使用した TLS トラフィックのマルウェア検出
- P4 と RTL を使用した 200Gbps での TLS フロー処理
- フロー分類および ML パラメーターのルックアップにザイリンクスの P4 コンパイラと TCAM IP を使用
- オンチップ DSP コアを使用して実装された TLS フロー予測のための ML モデル
- フロー処理と予測したフローに対して 200Gbps で実行される統計収集
主なビデオ
主な資料
開発を始めるにあたって
