Ja, NFV-Dienste in Virginia können testbar, skalierbar und vorhersehbar sein

Eine der coolsten Demonstrationen auf der RSA-Konferenz in San Francisco war eine auf Netzwerkfunktionsvirtualisierung (NFV) basierende Firewall und eine Deep Content Inspection-Engine, die in die SDN-Steuerungsebene (Software Defined Networking) eines stark belasteten Netzwerks eingebettet sind. Die Firewall / DCI-Engine hat Inhalte gefiltert und SQL-Injection-Angriffe in Echtzeit blockiert, ohne das simulierte Netzwerk zu verlangsamen. 

Das OpenStack-basierte Testbed wurde von Spirent erstellt und betrieben, einem südkalifornischen Unternehmen, das für seine Netzwerktestplattform bekannt ist. Die Sicherheitsfirma mit der Firewall und der DCI-Engine war Wedge Networks, ein kanadisches Unternehmen, das sich auf die Cloud konzentriert.

Das Testbed bestätigte die Fähigkeit von WedgeOS - Wedges virtualisierter Firewall und Deep Content Inspector -, identifizierte Inhalte in der OpenStack-basierten virtuellen Umgebung zu blockieren.

Die Testlast stammte von Spirents Avalanche, die simulierten Layer 4-7-Webclient- und -Serververkehr erzeugte. Die Tests wurden von Velocity, dem integrierten Labormanagementsystem von Spirent für virtuelle und physische Umgebungen, koordiniert. Im Test blockierte WedgeOS schädliche Inhalte basierend auf konfigurierten Richtlinien, ohne den Durchsatz zu beeinträchtigen, selbst wenn das Netzwerk mit Datenverkehr überflutet war.

Bei einem der Tests wurde der Inhalt blockiert und der gesamte Datenverkehr herausgefiltert, der bestimmte Schlüsselwörter enthält. Ein weiterer Test erkannte und filterte Malware, einschließlich Virenangriffen und XSS- (Cross Site Scripting) und SQL Injection-Angriffen. Beide Simulationen waren insofern realistisch, als beide Arten von Angriffen auf physische und Cloud-basierte Netzwerke erfolgen können.

Wedges Name für seine eingebettete Sicherheitsplattform lautet NFV-S oder Network Functions Virtualization for Security. Laut Wedge baut NFV-S auf NFV auf, um skalierbare, elastische Sicherheit zu bieten, die als vorhersehbarer Dienst in ein SDN-basiertes Netzwerk eingebettet werden kann. Ich denke, dass Wedge hofft, dass NFV-S eine weit verbreitete Spezifikation wird, aber nach meinem besten Wissen ist es zu diesem Zeitpunkt spezifisch für Wedges eigene Produkte.

Während dieser Test zeigte, dass NFV-basierte Sicherheitsfunktionen in einem simulierten SDN-Netzwerk gut funktionieren, war der springende Punkt die Vorhersagbarkeit. Wenn es um virtualisierte Netzwerke geht, gibt es unglaublich viele Variablen. Aufgrund der Anzahl der verschachtelten Abstraktionsschichten ist es schwierig zu wissen, auf welcher Art von Hardware diese NFV-Dienste ausgeführt werden und wie viel dieser Hardware für diese Funktion verfügbar sein wird. Das ist NFV:

  • Was ist der Prozessor und Speicher? Du wirst es niemals erfahren.
  • Was ist die reale Bandbreite und der Durchsatz?? Du wirst es niemals erfahren.
  • Was läuft da noch?? Du wirst es niemals erfahren.
  • Werden die NFV-Funktionen ausgeführt?? Ja.
  • Laufen die NFV-Funktionen schnell?? Könnte sein. Vielleicht nicht.
  • Können die NFV-Funktionen Spitzen im Verkehr verarbeiten?? Schwer zu sagen, aber wahrscheinlich ja.
  • Welche Auswirkungen haben andere NFV-Funktionen, die auf dieser Hardware ausgeführt werden, auf die Leistung?? Unmöglich zu sagen, aber Tests und Simulationen könnten Ihnen eine einigermaßen gute Idee geben.

Hier kam der Test auf der RSA-Konferenz ins Spiel, der zeigte, dass die Tools von Spirent den realen Verkehr im virtuellen Netzwerk nachahmen können, und WedgeOS handhabte diese Arbeitslast auf vorhersehbare Weise, um virtuell sicherzustellen, dass garantierte Service-Levels unter stressigen Bedingungen eingehalten werden.

Übrigens ist dieser Test ein Update eines Tests, den diese beiden Unternehmen im April 2014 durchgeführt haben. Der alte Test von 2014 konzentrierte sich jedoch mehr auf die Präsentation der SDN-Testbed-Einrichtungen von Spirent mit dem Wedge-Sicherheitssystem als Proof-of-Concept-Anwendung auf diesem Prüfstand. Der neue Test von 2015 hat gezeigt, dass die Sicherheitssoftware Inhalte gefiltert und Angriffe blockiert hat und dies in einem stark frequentierten simulierten Netzwerk tun kann.

Ein Jahr ist eine lange Zeit in diesem Geschäft, und es ist großartig, dass NFV-Software, die in ein softwaredefiniertes Netzwerk eingebettet ist, von "by golly, it works!" Proof-of-Concept für einen harten Fahrversuch, der eine zuverlässige Leistung unter Last zeigt. Da immer mehr Unternehmen den Netzwerkverkehr in SDN-basierte Netzwerke verlagern möchten, benötigen wir eingebettete Sicherheit, NFV und Vorhersehbarkeit.

Wenn wir die Leistung unserer virtuellen Netzwerke nicht vorhersagen können, worum geht es dann??

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.