隨著當今企業網路流量不斷成長及爆炸,IT部門面臨更嚴苛的考驗並努力平衡每個節點的性能。可用性和安全性這兩個互相競爭及成長的關係,不斷影響著企業網路架構的建置。
具體來說 SSL / TLS 加密的流量已經占據了大多數網路流量,至 2020 年全球已經有90%的流量都是加密流量,並且隨著時間加密流量百分比會再逐漸增長。此時 IT 面臨的安全檢查設備,例如:網頁應用程式防火牆 WAF 、次世代防火牆(NGFW),入侵檢測和防禦系統(IDS / IPS)或其他相關設備,再檢查其內容時可能會面臨嚴重性能和可用性問題。
因為這些安全設備需要解密其流量,並且檢查其內容後重新加密並發送至服務端。此外在加密技術上和密鑰複雜性如ECDH等,也讓處理負載所需的計算資源方面節節攀升,讓安全設備能接受的流量逐漸降低甚至到低於客戶需求,更糟糕的是未經檢查的流量直接流進資料中心,這在處理機交易或敏性資料上都是不能接受的選擇。
儘管在邏輯上及技術上都是合理的,但下個問題就是對於性能真正的影響到底有多大,Array Network 尋求第三方的測試機構 The Tolly Group 協助,並提出數據明確指出對於性能和規模的影響有多大,還同時發現 AVX 網路功能平台系列,如何幫助企業無需使用昂貴的解決方案,即可以解決性能問題。
Tolly Group 在三個不同場景中使用AVX進行了測試。
第一種情況包括通過AVX上的虛擬設備運行的清晰未加密流量。
第二個測試了通過AVX上相同虛擬安全設備運行但未使用SSL / TLS卸載的加密流量,該功能可加速SSL / TLS流量的解密和重新加密。
第三種也是最後一種測試方案在啟用SSL / TLS卸載的情況下測量了AVX上跨VA的加密流量。
簡而言之,當被迫在沒有SSL卸載的情況下處理加密流量時,WAF和NGFW的性能都下降到了冰河速度–每秒只有117個事務,降幅高達90%。這可能會從根本上終止對應用程序的訪問,或者更糟的是使用旁路功能,該功能將允許未經檢查的潛在危險流量進入網絡核心。相比之下,在AVX9800平台上啟用SSL卸載後,WAF事務的增長比沒有此功能的增長了67倍。與沒有SSL卸載的情況相比,WAF數據吞吐量增加了46倍。NGFW流量也看到了類似的結果,每秒交易量比其他方法增加了五倍。
測試結果是在沒有SSL卸載的情形下處理加密流量時,相較於未加密流量安全設備都降低了90%的處理能力,相較使用了AVX 9800後啟用了SSL 卸載後,設備成長了50-67倍的處理能力。
結果證明了Array的SSL 卸載,解密SSL流量以允許第三方安全設備執行檢查,然後在將流量轉發到最終目的地前重新加密。AVX 集成了專用SSL / TLS,可與硬體SSL / TLS加速器配合使用,以減輕計算密集型SSL / TLS處理的負擔,從而使安全設備能夠以最高性能運行。
在SSL / TLS卸載過程中,Array設備扮演出入口節點的角色來攔截和解密SSL流量,並將檢查的流量轉發到服務端。當部署了兩個或更多安全設備時,Array設備將支持對安全設備的解密流量同時進行負載平衡。SSL卸載支持基於安全設備的分發模式,部署層和網絡拓撲的多種部署組合。
