Por Matt Pley | 29 de agosto de 2018
Las organizaciones se están moviendo a las infraestructuras de nube pública para hacer negocios más rápido con más clientes. Con el aumento en el tráfico, sin embargo, surge la necesidad de una mayor capacidad de inspección que podría desacelerar las cosas en nombre de la seguridad de los datos. Dado que el rendimiento es un requisito básico para competir en el mercado digital, la seguridad no puede ser un cuello de botella.
Pero, ¿cómo se puede escalar el rendimiento de seguridad para cumplir con las crecientes demandas de rendimiento de los entornos de nube actuales? Puede pensar que su solución de seguridad no tiene importancia cuando se ejecuta en infraestructuras idénticas basadas en la nube, pero lo hace. Esto es lo que debe tener en cuenta para maximizar el rendimiento en la nube mientras mantiene sus datos seguros.
Hay dos opciones para abordar el problema de cumplir con el rendimiento elástico: ampliar y ampliar.
Escalar
“Escalar” se refiere a aumentar el rendimiento ajustando el número de instancias separadas de una solución. El escalado permite a los usuarios de la nube implementar automáticamente más capacidad de firewall a medida que cambian las cargas de tráfico. Las cargas de tráfico pueden cambiar drásticamente y la infraestructura de la nube se puede adaptar dinámicamente, por lo que los entornos en la nube son ideales. Algunas organizaciones que realizan muchas actividades estacionales o impulsadas por eventos incluso temporalmente colocan sus aplicaciones y servicios en un entorno de nube para cumplir con picos de demanda inusualmente altos y temporales, y luego los devuelven a sus servidores habituales más adelante. La seguridad debe ser capaz de escalar sin problemas junto con estos cambios.
La capacidad de ampliación no solo se trata de rendimiento, sino también del precio del rendimiento. Es fundamental que compare el rendimiento de las soluciones antes de construirlas en su infraestructura en la nube. La implementación de soluciones de mayor rendimiento significa que no tiene que comprar instancias adicionales de firewall en el mercado tan a menudo como lo haría con una solución más lenta.
Esto es crítico para administrar los gastos al mismo tiempo que cumple con los requisitos de capacidad, especialmente cuando se trata de tráfico altamente variable.
Ampliar
“Ampliación” se refiere a aumentar el rendimiento ajustando el tamaño de una sola instancia del hardware virtual. Una de las consideraciones más importantes para determinar qué tan grande es la máquina virtual que necesita para ejecutar de manera efectiva su solución de seguridad es el rendimiento por núcleo. Si necesita una VM de CPU grande y multinúcleo, ¿cuánto rendimiento obtiene realmente por cada núcleo que está pagando?
Examinar detenidamente la ampliación de la capacidad es un ejemplo perfecto de cómo las cosas pueden parecer iguales en la superficie, es decir, todos los proveedores pueden ejecutar sus soluciones en la misma máquina virtual, pero realmente pueden ser bastante diferentes en su aplicación práctica. La verdad es que las arquitecturas utilizadas por diferentes proveedores pueden variar ampliamente. Un ejemplo de esto es que muchos proveedores dedican un núcleo completo para administración, lo que significa que cuando compra un sistema de dos núcleos para ejecutar su servicio, solo la mitad de esos recursos están disponibles para procesar tráfico y datos. Este es realmente un problema arquitectónico. Otro ejemplo similar es cuando un proveedor fija una sola sesión (IKE SA) en un solo núcleo en lugar de poder distribuir el tráfico IPSec entre múltiples núcleos. Este enfoque de diseño arquitectónico también produce rendimientos decrecientes para cada núcleo adicional más allá de uno.
No todas las soluciones de seguridad en la nube son iguales
Al seleccionar un proveedor de seguridad para su entorno de nube o multi-nube, la parte difícil es asegurarse de que está comparando manzanas con manzanas. Además de una solución que puede funcionar sin problemas en diferentes entornos de nube, también debe ser capaz de evaluar el rendimiento real. Afortunadamente, los CSP (proveedores de servicios en la nube) tienen programas de evaluación en los que cualquier persona puede ejecutar pruebas de rendimiento contra cualquier entorno que pueda crear en sus nubes públicas. Tener esta base como guía le ahorrará tiempo y dinero.
Es fácil suponer que no hay ventaja de rendimiento entre los proveedores cuando se mueve a la nube, ya que todo se ejecuta en el mismo hardware. Pero el rendimiento es el resultado de mucho más que el hardware en el que se ejecuta una red. El rendimiento también depende de una serie de técnicas de ingeniería eficaces centradas en la optimización, la paralelización y la descarga de hardware.
Optimización: optimización completa de pila, no solo optimización de hardware. Algunos han argumentado que los proveedores de hardware pierden su ventaja de rendimiento en un entorno de nube. Pero la verdad es que los ingenieros tienen que optimizar drásticamente el software para lograr el rendimiento necesario en un chip. Ese tipo de optimización en la pila es algo que muchos proveedores de software nunca hacen. Sin embargo, el software optimizado puede diferenciar significativamente a un proveedor de otro en la nube porque puede afectar directamente el rendimiento.
Paralelisación: los sistemas operativos de seguridad cargados en un entorno de nube deben poder aprovechar toda una gama de recursos, incluidas las máquinas virtuales multinúcleo, para lograr el rendimiento necesario. Para maximizar el rendimiento potencial, los ingenieros utilizan una técnica conocida como paralelización. Básicamente, toda informática prefiere una arquitectura paralela construida alrededor de factores de dos (2, 4, 8, 16, 32). Esto permite la máxima eficiencia, y es una razón importante por la que un proveedor puede lograr un mayor rendimiento que otro en el mismo entorno de nube.
Sin embargo, debido a las limitaciones arquitectónicas del software, muchos proveedores deben dedicar 1 de cada 4 núcleos disponibles para controlar la administración del avión. Lo que significa que en una solución de 8 núcleos, sus datos solo se procesan en seis núcleos. Esto rompe el modelo de paralelismo y puede tener un impacto serio en la eficiencia y el rendimiento.
Este tipo de limitación arquitectónica también significa simplemente que hay menos núcleos disponibles para inspección y procesamiento. Si necesita (y paga) una solución de VM de 8 núcleos para su solución de firewall en la nube, pero solo tiene seis núcleos disponibles para la inspección de datos, ha afectado seriamente su capacidad para distribuir y procesar esos datos de manera eficiente. Por eso debe asegurarse de que su solución pueda paralelizar el rendimiento en todas las CPU o recursos disponibles.
Descarga de hardware: no todo el procesamiento puede ser manejado por las máquinas virtuales a las que están asignados. Para flujos de datos de gran ancho de banda, la virtualización de E / S de raíz única (SR-IOV) proporciona una red acelerada. SR-IOV pasa por alto el manejo del paquete kernel del hipervisor, la interfaz para-virtual (legacy) y utiliza la interfaz de función virtual (VF), asignando así la vNIC de la máquina virtual invitada directamente a la NIC física. Mientras esta opción esté disponible para todos los proveedores, la capacidad de aprovechar esta función, especialmente cuando se combina con la optimización y las eficiencias de paralelización, puede tener un impacto significativo en el rendimiento y la función de la solución de un proveedor en particular.
El rendimiento es una consideración fundamental al seleccionar cualquier solución de seguridad basada en la nube. La elección de soluciones de seguridad escalables y de alto rendimiento permite a las organizaciones cumplir con las crecientes demandas de rendimiento de los entornos de nube actuales. Además, las soluciones de mayor rendimiento también son más rentables. Pero no todas las soluciones de seguridad en la nube están construidas de la misma manera. Un análisis cuidadoso le permitirá seleccionar la solución que mejor se adapte al desempeño y los requisitos presupuestarios de su organización.
