Una de las mejores demostraciones en la Conferencia RSA en San Francisco fue sobre un firewall basado en virtualización de funciones de red (NFV) y un motor de inspección de contenido profundo integrado en el plano de control de redes definidas por software (SDN) de una red muy cargada. El motor de firewall / DCI filtró el contenido y bloqueó los ataques de inyección SQL en tiempo real, sin ralentizar la red simulada.
El banco de pruebas basado en OpenStack fue creado y administrado por Spirent, una firma del sur de California conocida por su plataforma de prueba de red. La empresa de seguridad con el firewall y el motor DCI fue Wedge Networks, una compañía canadiense que se enfoca en la nube.
El banco de pruebas validó la capacidad de WedgeOS, el firewall virtualizado de Wedge y el Inspector de contenido profundo, para bloquear el contenido identificado en el entorno virtual basado en OpenStack.
La carga de prueba provino de Avalancha de Spirent, que generó tráfico de servidor y cliente web de Capa 4-7 simulado. Las pruebas fueron orquestadas por Velocity, el sistema integrado de gestión de laboratorio de Spirent para entornos virtuales y físicos. En la prueba, WedgeOS bloqueó contenido malicioso basado en políticas configuradas, sin afectar el rendimiento, incluso cuando la red se inundó de tráfico.
Una de las pruebas hizo bloqueo de contenido, filtrando todo el tráfico que contiene palabras clave específicas. Otra prueba detectó y filtró malware, incluidos ataques de virus y XSS (Cross Site Scripting) y ataques de inyección SQL. Ambas simulaciones fueron realistas, ya que ambos tipos de ataques pueden ocurrir en redes físicas y basadas en la nube..
El nombre de Wedge para su plataforma de seguridad integrada es NFV-S, o Virtualización de funciones de red para seguridad. Según Wedge, NFV-S se basa en NFV para proporcionar seguridad escalable y elástica que puede integrarse en una red basada en SDN como un servicio predecible. Creo que Wedge espera que el NFV-S se convierta en una especificación ampliamente adoptada, pero que yo sepa, en este punto es específico de los productos de Wedge..
Si bien esta prueba mostró que las funciones de seguridad basadas en NFV funcionan bien en una red SDN simulada, todo el punto era la previsibilidad. Cuando se trata de redes virtualizadas, hay un número increíble de variables. Debido a la cantidad de capas de abstracción anidadas, es difícil saber en qué tipo de hardware se ejecutarán esos servicios NFV y qué cantidad de ese hardware estará disponible para esa función. Esto es NFV:
- ¿Cuál es el procesador y la memoria?? Nunca lo sabrás.
- ¿Cuál es el ancho de banda y el rendimiento del mundo real?? Nunca lo sabrás.
- ¿Qué más está corriendo allí?? Nunca lo sabrás.
- ¿Se ejecutarán las funciones NFV?? si.
- ¿Funcionarán las funciones NFV rápidamente?? Tal vez. Tal vez no.
- ¿Pueden las funciones NFV manejar picos en el tráfico?? Difícil de decir, pero probablemente sí.
- ¿Qué impacto tendrán otras funciones NFV que se ejecutan en ese hardware en el rendimiento?? Imposible decirlo con certeza, pero las pruebas y simulaciones pueden darle una idea razonablemente buena.
Ahí es donde entró la prueba en la Conferencia RSA, que muestra que las herramientas de Spirent pueden imitar el tráfico del mundo real en la red virtual, y WedgeOS manejó esa carga de trabajo de una manera predecible para garantizar virtualmente que se cumplan los niveles de servicio garantizados en condiciones estresantes..
Por cierto, esta prueba es una actualización de una prueba que estas dos compañías realizaron en abril de 2014. Sin embargo, la prueba anterior de 2014 se centró más en mostrar las instalaciones del banco de pruebas SDN de Spirent, con el sistema de seguridad Wedge como una aplicación de prueba de concepto en ese banco de pruebas. La nueva prueba de 2015 mostró que el software de seguridad filtraba el contenido y bloqueaba los ataques, y podía hacerlo en una red simulada con mucho tráfico.
Un año es mucho tiempo en este negocio, y es genial que el software NFV integrado en una red definida por software haya pasado de "¡por Dios, funciona!" prueba de concepto para una prueba de conducción dura que muestra un rendimiento confiable bajo carga. A medida que más organizaciones busquen mover el tráfico de red a redes basadas en SDN, necesitaremos seguridad integrada, necesitaremos NFV y necesitaremos previsibilidad..
Después de todo, si no podemos predecir el rendimiento de nuestras redes virtuales, ¿cuál es el punto??
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
