Jednou z nejlepších demonstrací na konferenci RSA v San Franciscu byla brána firewall na bázi virtualizace síťových funkcí (NFV) a modul hloubkové inspekce obsahu zabudovaný do řídicí roviny softwaru definované sítě (SDN) silně naložené sítě. Firewall / DCI engine filtroval obsah a blokoval útoky SQL SQL v reálném čase, aniž by zpomalil simulovanou síť.
Testovací lože založené na OpenStack bylo vytvořeno a provozováno Spirentem, firmou v jižní Kalifornii, která je známá svou platformou pro testování sítě. Bezpečnostní firmou s firewallem a motorem DCI byla kanadská společnost Wedge Networks, která se zaměřila na cloud.
Testovací pracoviště potvrdilo schopnost WedgeOS - virtuálního firewallu WedgeOS a Deep Content Inspector - blokovat identifikovaný obsah ve virtuálním prostředí založeném na OpenStack..
Zkušební zátěž pocházela z laviny Spirent's Avalanche, která generovala simulovaný provoz webového klienta a serveru Layer 4-7. Testy byly organizovány pomocí integrovaného systému správy laboratoří Spirent pro virtuální a fyzická prostředí společnosti Velocity. V testu WedgeOS zablokoval škodlivý obsah na základě nakonfigurovaných zásad, aniž by to ovlivnilo propustnost, i když byla síť zaplavena provozem.
Jeden z testů provedl blokování obsahu a odfiltroval veškerý provoz, který obsahuje konkrétní klíčová slova. Další test detekoval a filtroval malware, včetně virových útoků a XSS (Cross Site Scripting) a útoků SQL Injection. Obě tyto simulace byly realistické, protože k oběma typům útoků může dojít ve fyzických i cloudových sítích.
Název společnosti Wedge pro integrovanou platformu zabezpečení je NFV-S nebo Virtualizace síťových funkcí pro zabezpečení. Podle Wedge NFV-S staví na NFV, aby poskytovalo škálovatelné, elastické zabezpečení, které lze začlenit do sítě založené na SDN jako předvídatelná služba. Myslím, že Wedge doufá, že se NFV-S stane široce přijímanou specifikací, ale podle mého nejlepšího vědomí, v tomto bodě je to specifické pro vlastní výrobky Wedge.
Zatímco tento test ukázal, že bezpečnostní funkce založené na NFV fungují dobře v simulované síti SDN, celý bod byl předvídatelnost. Pokud jde o virtualizované sítě, existuje neuvěřitelný počet proměnných. Vzhledem k počtu vnořených abstrakčních vrstev je těžké vědět, na jakém typu hardwaru budou tyto služby NFV běžet a kolik z tohoto hardwaru bude pro tuto funkci k dispozici. Toto je NFV:
- Co je procesor a paměť? To nikdy nevíš.
- Jaká je šířka pásma a propustnost v reálném světě? To nikdy nevíš.
- Co jiného tam běží? To nikdy nevíš.
- Spustí se funkce NFV? Ano.
- Budou funkce NFV fungovat rychle? Možná. Možná ne.
- Mohou funkce NFV zvládnout hroty v provozu? Těžko říct, ale pravděpodobně ano.
- Jaký dopad budou mít další funkce NFV spuštěné na tomto hardwaru na výkon? Nelze to říct s jistotou, ale testy a simulace vám mohou poskytnout rozumně dobrý nápad.
Tam přišel test na konferenci RSA, který ukázal, že nástroje Spirent dokáží napodobit provoz ve virtuální síti ve skutečném světě, a společnost WedgeOS tuto zátěž zvládla předvídatelným způsobem, aby prakticky zajistila splnění garantovaných úrovní služeb za stresujících podmínek..
Mimochodem, tento test je aktualizací testu, který tyto dvě společnosti proběhly v dubnu 2014. Starý test z roku 2014 se však více zaměřil na představení testovacích zařízení SDN Spirent s SDN, s bezpečnostním systémem Wedge jako důkazem koncepce na tomto testovacím stanovišti. Nový test v roce 2015 ukázal, že bezpečnostní software filtroval obsah a blokoval útoky, a mohl tak učinit v silně obchodované simulované síti.
Rok je v tomto oboru dlouhá doba a je skvělé, že software NFV zabudovaný do softwarově definované sítě se posunul z „skvěle, funguje!“. důkaz konceptu testu tvrdé jízdy, který ukazuje spolehlivý výkon při zatížení. Protože se více organizací snaží přesunout síťový provoz do sítí založených na SDN, budeme potřebovat zabudované zabezpečení, budeme potřebovat NFV a budeme potřebovat předvídatelnost.
Koneckonců, pokud nemůžeme předpovídat výkon našich virtuálních sítí, co má smysl?
Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.
