Ja, Virginia, NFV-services kunnen testbaar, schaalbaar en voorspelbaar zijn

Een van de coolste demonstraties op de RSA-conferentie in San Francisco was van een netwerkfuncties-virtualisatie (NFV) -gebaseerde firewall en Deep Content Inspection-engine ingebed in het softwaregedefinieerde netwerk (SDN) -besturingsvlak van een zwaar beladen netwerk. De firewall / DCI-engine filterde inhoud en blokkeerde SQL-injectie-aanvallen in realtime, zonder het gesimuleerde netwerk te vertragen. 

Het op OpenStack gebaseerde testbed is gemaakt en wordt beheerd door Spirent, een bedrijf uit Zuid-Californië dat bekend staat om zijn netwerktestplatform. Het beveiligingsbedrijf met de firewall en DCI-engine was Wedge Networks, een Canadees bedrijf dat zich richt op de cloud.

Het testbed bevestigde de mogelijkheid van WedgeOS - de gevirtualiseerde firewall en Deep Content Inspector van Wedge - om geïdentificeerde inhoud in de op OpenStack gebaseerde virtuele omgeving te blokkeren.

De testbelasting kwam van Spirent's Avalanche, die gesimuleerd Layer 4-7-webclient- en serververkeer genereerde. De tests zijn georkestreerd door Velocity, het geïntegreerde laboratoriumbeheersysteem van Spirent voor virtuele en fysieke omgevingen. In de test blokkeerde WedgeOS schadelijke inhoud op basis van geconfigureerd beleid, zonder de doorvoer te beïnvloeden, zelfs wanneer het netwerk werd overspoeld met verkeer.

Een van de tests blokkeerde de inhoud en filterde al het verkeer dat specifieke zoekwoorden bevatte. Een andere test detecteerde en filterde malware, waaronder virusaanvallen en XSS (Cross Site Scripting) en SQL Injection-aanvallen. Beide simulaties waren realistisch, omdat beide soorten aanvallen kunnen plaatsvinden op fysieke en cloudgebaseerde netwerken.

De naam van Wedge voor zijn ingebedde beveiligingsplatform is NFV-S of Network Functions Virtualization for Security. Volgens Wedge bouwt NFV-S voort op NFV om schaalbare, elastische beveiliging te bieden die als voorspelbare service kan worden ingebed in een SDN-gebaseerd netwerk. Ik denk dat Wedge hoopt dat NFV-S een algemeen aanvaarde specificatie wordt, maar voor zover ik weet, is het op dit moment specifiek voor de eigen producten van Wedge.

Hoewel deze test aantoonde dat op NFV gebaseerde beveiligingsfuncties goed werken in een gesimuleerd SDN-netwerk, ging het om voorspelbaarheid. Als het gaat om gevirtualiseerde netwerken, zijn er ongelooflijk veel variabelen. Vanwege het aantal geneste abstractielagen is het moeilijk om te weten op welk type hardware die NFV-services zullen draaien en hoeveel van die hardware beschikbaar zal zijn voor die functie. Dit is NFV:

  • Wat is de processor en het geheugen? Je zult het nooit weten.
  • Wat is de werkelijke bandbreedte en doorvoer? Je zult het nooit weten.
  • Wat draait er nog meer?? Je zult het nooit weten.
  • Zullen de NFV-functies werken? Ja.
  • Zullen de NFV-functies snel werken?? Kan zijn. Misschien niet.
  • Kunnen de NFV-functies pieken in het verkeer aan? Moeilijk te zeggen, maar waarschijnlijk wel.
  • Welke impact hebben andere NFV-functies die op die hardware worden uitgevoerd, op de prestaties? Het is onmogelijk om met zekerheid te zeggen, maar tests en simulaties kunnen u een redelijk goed idee geven.

Dat is waar de test op de RSA-conferentie binnenkwam, wat aantoonde dat de tools van Spirent real-world verkeer op het virtuele netwerk kunnen nabootsen, en WedgeOS behandelde die werklast op een voorspelbare manier om er vrijwel zeker van te zijn dat gegarandeerde serviceniveaus worden bereikt onder stressvolle omstandigheden.

Deze test is trouwens een update van een test die deze twee bedrijven in april 2014 hebben uitgevoerd. De oude test van 2014 was echter meer gericht op het presenteren van de SDN-testbedfaciliteiten van Spirent, met het Wedge-beveiligingssysteem als een proof-of-concept-applicatie op dat testbed. De nieuwe test uit 2015 toonde aan dat de beveiligingssoftware inhoud filterde en aanvallen blokkeerde, en dat dit kon op een zwaar verhandeld gesimuleerd netwerk.

Een jaar is lang in deze branche en het is geweldig dat NFV-software die is ingebed in een softwaregedefinieerd netwerk is overgegaan van "by golly, it works!" proof-of-concept voor een harde test die betrouwbare prestaties onder belasting laat zien. Nu meer organisaties netwerkverkeer naar SDN-gebaseerde netwerken willen verplaatsen, hebben we embedded beveiliging nodig, we hebben NFV nodig en we hebben voorspelbaarheid nodig.

Immers, als we de prestaties van onze virtuele netwerken niet kunnen voorspellen, wat heeft het dan voor zin??

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.