Ja, Virginia, NFV-tjenester kan være testbare, skalerbare og forudsigelige

En af de sejeste demonstrationer på RSA-konferencen i San Francisco var af en netværksfunktioner virtualisering (NFV) -baseret firewall og Deep Content Inspection-motor indlejret i den softwaredefinerede netværk (SDN) kontrolplan i et stærkt belastet netværk. Firewall / DCI-motoren filtrerede indhold og blokerede SQL-injektionsangreb i realtid uden at bremse det simulerede netværk. 

Den OpenStack-baserede testbed blev oprettet og kørt af Spirent, et sydkalifornisk firma, der er kendt for sin netværkstestplatform. Sikkerhedsfirmaet med firewall og DCI-motoren var Wedge Networks, et canadisk firma, der har fokus på skyen.

Testbedet validerede muligheden for WedgeOS - Wedges virtualiserede firewall og Deep Content Inspector - til at blokere identificeret indhold i det OpenStack-baserede virtuelle miljø.

Testbelastningen kom fra Spirents Avalanche, der genererede simuleret lag 4-7 webklient og servertrafik. Testene blev orkestreret af Velocity, Spirents integrerede labadministrationssystem til virtuelle og fysiske miljøer. I testen blokerede WedgeOS ondsindet indhold baseret på konfigurerede politikker uden at påvirke produktionen, selv når netværket var oversvømmet af trafik.

En af testene gjorde indholdsblokering og filtrerede ud al trafik, der indeholder specifikke nøgleord. En anden test opdagede og filtrerede malware, herunder virusangreb og XSS (Cross Site Scripting) og SQL-injektionsangreb. Begge disse simuleringer var realistiske, idet begge typer angreb kan forekomme på fysiske og skybaserede netværk.

Wedges navn på sin indlejrede sikkerhedsplatform er NFV-S, eller netværksfunktioner virtualisering til sikkerhed. Ifølge Wedge bygger NFV-S på NFV for at give en skalerbar, elastisk sikkerhed, der kan integreres i et SDN-baseret netværk som en forudsigelig service. Jeg tror, ​​at Wedge håber, at NFV-S bliver en bredt vedtaget specifikation, men så vidt jeg ved, er det på dette tidspunkt specifikt for Wedges egne produkter.

Mens denne test viste, at NFV-baserede sikkerhedsfunktioner kører godt i et simuleret SDN-netværk, var hele punktet forudsigelighed. Når det kommer til virtualiserede netværk, er der utroligt mange variabler. På grund af antallet af indlejrede abstraktionslag er det svært at vide, hvilken type hardware disse NFV-tjenester vil køre på, og hvor meget af denne hardware der er tilgængelig for den funktion. Dette er NFV:

  • Hvad er processoren og hukommelsen? Man ved aldrig.
  • Hvad er den virkelige verden båndbredde og gennemstrømning? Man ved aldrig.
  • Hvad ellers kører der? Man ved aldrig.
  • Vil NFV-funktionerne køre? Ja.
  • Vil NFV-funktionerne køre hurtigt? Måske. Måske ikke.
  • Kan NFV-funktionerne håndtere pigge i trafikken? Svært at sige, men sandsynligvis ja.
  • Hvilken indflydelse har andre NFV-funktioner, der kører på den hardware, på ydelsen? Umuligt at sige med sikkerhed, men test og simuleringer kan give dig en rimelig god idé.

Det var her testen på RSA-konferencen kom ind, hvilket viser, at Spirents værktøjer kan efterligne trafik i den virkelige verden på det virtuelle netværk, og WedgeOS håndterede denne arbejdsbyrde på en forudsigelig måde for praktisk talt at sikre, at garanterede serviceniveau overholdes under stressende forhold.

I øvrigt er denne test en opdatering af en test, som disse to virksomheder gennemførte i april 2014. Den gamle test i 2014 var dog mere fokuseret på at fremvise Spirents SDN-testbed-faciliteter, med Wedge-sikkerhedssystemet som et proof-of-concept-program på den testbed. Den nye test i 2015 viste, at sikkerhedssoftwaren filtrerede indhold og blokerede angreb og kunne gøre det på et meget trafikeret simuleret netværk.

Et år er lang tid i denne forretning, og det er dejligt, at NFV-software, der er integreret i et softwaredefineret netværk, er flyttet fra "af golly, it works!" proof-of-concept til en hårdkørende test, der viser pålidelig ydelse under belastning. Da flere organisationer ser ud for at flytte netværkstrafik til SDN-baserede netværk, har vi brug for indbygget sikkerhed, vi får brug for NFV, og vi får brug for forudsigelighed.

Når alt kommer til alt, hvis vi ikke kan forudsige ydelsen på vores virtuelle netværk, hvad er da poenget?

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.