Sì, i servizi Virginia, NFV possono essere testabili, scalabili e prevedibili

Una delle dimostrazioni più interessanti alla Conferenza RSA di San Francisco è stata quella di un firewall basato sulla virtualizzazione delle funzioni di rete (NFV) e un motore di ispezione dei contenuti profondi incorporato nel piano di controllo di rete definito dal software (SDN) di una rete pesantemente carica. Il motore firewall / DCI ha filtrato il contenuto e bloccato gli attacchi SQL injection in tempo reale, senza rallentare la rete simulata. 

Il banco di prova basato su OpenStack è stato creato e gestito da Spirent, una società della California meridionale nota per la sua piattaforma di test della rete. La società di sicurezza con firewall e motore DCI era Wedge Networks, una società canadese focalizzata sul cloud.

Il banco di prova ha convalidato la capacità di WedgeOS - il firewall virtualizzato di Wedge e Deep Content Inspector - di bloccare il contenuto identificato nell'ambiente virtuale basato su OpenStack.

Il carico di prova proveniva dalla valanga di Spirent, che generava traffico client e server Web Layer 4-7 simulato. I test sono stati orchestrati da Velocity, il sistema di gestione del laboratorio integrato di Spirent per ambienti virtuali e fisici. Nel test, WedgeOS ha bloccato i contenuti dannosi in base a criteri configurati, senza influire sulla velocità effettiva, anche quando la rete era inondata di traffico.

Uno dei test ha bloccato i contenuti, filtrando tutto il traffico che contiene parole chiave specifiche. Un altro test ha rilevato e filtrato malware, inclusi attacchi di virus e XSS (Cross Site Scripting) e attacchi SQL Injection. Entrambe queste simulazioni erano realistiche, in quanto entrambi i tipi di attacchi possono verificarsi su reti fisiche e basate su cloud.

Il nome di Wedge per la sua piattaforma di sicurezza integrata è NFV-S, o Network Functions Virtualization for Security. Secondo Wedge, NFV-S si basa su NFV per fornire una sicurezza scalabile ed elastica che può essere integrata in una rete basata su SDN come servizio prevedibile. Penso che Wedge speri che NFV-S diventi una specifica ampiamente adottata, ma per quanto ne so, a questo punto è specifico per i prodotti di Wedge.

Mentre questo test ha dimostrato che le funzioni di sicurezza basate su NFV funzionano bene in una rete SDN simulata, l'intero punto era la prevedibilità. Quando si tratta di reti virtualizzate, ci sono un numero incredibile di variabili. A causa del numero di livelli di astrazione nidificati, è difficile sapere su quale tipo di hardware verranno eseguiti quei servizi NFV e quanta parte di tale hardware sarà disponibile per quella funzione. Questo è NFV:

  • Qual è il processore e la memoria? Non saprai mai.
  • Qual è la larghezza di banda e la velocità effettiva del mondo reale? Non saprai mai.
  • Cos'altro sta funzionando lì? Non saprai mai.
  • Funzioneranno le funzioni NFV? sì.
  • Le funzioni NFV saranno veloci?? Può essere. Forse no.
  • Le funzioni NFV possono gestire picchi di traffico?? Difficile a dirsi, ma probabilmente sì.
  • Quale impatto avranno le altre funzioni NFV in esecuzione su quell'hardware sulle prestazioni? Impossibile dirlo con certezza, ma test e simulazioni potrebbero darti un'idea abbastanza buona.

È qui che è arrivato il test alla conferenza RSA, che mostra che gli strumenti di Spirent possono imitare il traffico del mondo reale sulla rete virtuale e WedgeOS ha gestito il carico di lavoro in modo prevedibile per garantire virtualmente che i livelli di servizio garantiti siano soddisfatti in condizioni di stress.

A proposito, questo test è un aggiornamento di un test che queste due società hanno svolto nell'aprile 2014. Tuttavia, il vecchio test del 2014 era focalizzato maggiormente sulla presentazione delle strutture testbed SDN di Spirent, con il sistema di sicurezza Wedge come applicazione di prova del concetto su quel banco di prova. Il nuovo test del 2015 ha dimostrato che il software di sicurezza ha filtrato il contenuto e bloccato gli attacchi e potrebbe farlo su una rete simulata pesantemente trafficata.

Un anno è molto tempo in questo settore, ed è bello che il software NFV incorporato in una rete definita da software sia passato da "da goloso, funziona!" prova di concetto per un test di guida difficile che mostra prestazioni affidabili sotto carico. Poiché più organizzazioni cercano di spostare il traffico di rete su reti basate su SDN, avremo bisogno di sicurezza integrata, avremo bisogno di NFV e avremo bisogno di prevedibilità.

Dopo tutto, se non possiamo prevedere le prestazioni delle nostre reti virtuali, qual è il punto?

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.