Artículo destacado

Resultados de rendimiento de SSL: F5 BIG-IP iSeries frente a. Citrix y A10

Realizamos las pruebas y los resultados están aquí: la nueva plataforma de entrega de aplicação F5 BIG-IP iSeries realiza TPS SSL ECC cinco veces más rápido que los dispositivos comparables de nuestros competidores.

A medida que el mundo avanza hacia un conjunto más amplio de suites de cifrado, F5 está en una posición única para mantener su liderazgo en SSL/TLS. Los ADC con aceleradores de hardware SSL de generaciones anteriores compensan esas deficiencias procesando las conexiones cifradas en el software. Esto supone una carga adicional para el sistema, lo que puede ralentizar el rendimiento de la aplicación y limitar la capacidad. El nuevo iSeries de F5 incluye la última generación de hardware de aceleración criptográfica para descargar la criptografía de curva elíptica Diffie-Hellman (ECDHE), lo que permite la rápida adopción de suites de cifrado ECC y ECDHE, incluso en entornos TLS de alta carga.

Para determinar cómo se compara el rendimiento de iSeries con el de otros dispositivos del mercado, realizamos rigurosas pruebas de rendimiento en la plataforma utilizando el cifrado SSL ECDH-ECDSA-AES128-SHA256, junto con dispositivos comparables de A10 Networks y Citrix.

En nuestra prueba, el cliente se conectó a un servidor virtual con SSL del lado del cliente, que admitía el cifrado SSL ECDH-ECDSA-AES128-SHA256. Una vez establecida esa conexión, el cliente envió una única solicitud de un archivo; el servidor respondió con el archivo y un 200 OK. Luego la conexión fue enviada en cuatro direcciones desde el cliente. La reutilización se deshabilitó en todas las pruebas.

Como puede ver en los números a continuación, los dispositivos Citrix y A10 Networks que probamos (que usaban silicio comercial para descargar SSL) no pudieron igualar el rendimiento proporcionado por el hardware de descarga de cifrado iSeries de F5.

Transacciones por segundo

 

 

 

 

 Tamaño del archivo

128B

5 KB

16 KB

512 KB

 F5 BIG-IP i7800

27243

27077

26573

5251

 Citrix NetScaler 14080

5103

5087

5060

2156

 Redes A10 4440S

3976

3910

3891

2135
         

Rendimiento en Mbps

        

 Tamaño del archivo

128B

5 KB

16 KB

512 KB

 F5 BIG-IP i7800

105

1185

3558

22034

 Citrix NetScaler 14080

19

222

677

9047

 Redes A10 4440S

15

171

521

8955

Proceso y entorno de prueba

Cada uno de los productos pasó por el mismo proceso de pruebas multifase que F5 ha utilizado en informes anteriores. Este proceso consta de las siguientes fases:

  1. Pruebas preliminares: Cree y valide la configuración para cada dispositivo bajo prueba (DUT) para que todos los DUT administren el tráfico de red de la misma manera.
  2. Pruebas exploratorias: Esto determina la mejor configuración de prueba para cada dispositivo y revela qué tan bien funciona en cada tipo de prueba. La configuración de los DUT se finaliza durante esta fase. 

  3. Prueba final: Cada tipo de prueba se ejecuta varias veces. La prueba se repite hasta que haya al menos tres ejecuciones buenas que produzcan consistentemente los mejores resultados. Pueden necesitarse muchas ejecuciones de una prueba para alcanzar este nivel de consistencia.
  4. Determinar los mejores resultados: Se examinan en detalle las tres mejores pruebas realizadas para cada tipo de prueba para identificar cuál produjo el mejor rendimiento general. Los resultados de esa mejor ejecución para cada tipo de prueba son los que se utilizan en este informe. 


En total, se realizaron más de 50 pruebas para obtener estos resultados.

Productos probados

Los productos que probamos tenían precios similares y consistían en:

  • Citrix 14080 ($113,069)
  • A10 4440S ($94,240)
  • F5 BIG-IP i7800 (85.000 dólares)

Pruebas de procesamiento SSL

El cifrado de capa de sockets seguros (SSL) se utiliza en todo el mundo para proteger las comunicaciones entre usuarios y aplicações. SSL es un protocolo de cifrado estándar disponible en los principales sistemas operativos, navegadores web, teléfonos inteligentes, etc. La tecnología SSL ayuda a que las compras en línea sean seguras, permite el acceso remoto seguro (SSL VPN) y mucho más: SSL es omnipresente en las soluciones de seguridad de redes comerciales y de consumo. SSL proporciona seguridad mediante una combinación de criptografía de clave pública para compartir las claves criptográficas y cifrado simétrico (comúnmente RC4, 3DES o AES) para cifrar el tráfico. Tanto el intercambio de claves como los diversos algoritmos de cifrado requieren un uso intensivo de recursos computacionales y de hardware especializado en el lado del servidor para lograr un rendimiento aceptable o a gran escala en casi todos los usos comerciales de SSL.

El rendimiento de las transacciones SSL por segundo (TPS) es principalmente una medida de la capacidad de intercambio de claves/apretón de manos de un dispositivo. Normalmente se mide con tamaños de archivos pequeños y mide las operaciones de protocolo de enlace que ocurren al inicio de cada nueva sesión SSL. Esta operación requiere un gran esfuerzo computacional y todos los principales proveedores de descarga de SSL utilizan hardware especializado para acelerar esta tarea. Para respuestas de servidor y tamaños de archivo más grandes, el costo computacional de la operación de protocolo de enlace es menos relevante. Dado que la operación solo se realiza una vez al comienzo de una sesión, la sobrecarga es mucho menor. Una métrica más equilibrada para comparar el rendimiento es el rendimiento del tráfico cifrado, también conocido como cifrado simétrico o cifrado masivo. La criptografía masiva es una medida de la cantidad de datos que se pueden cifrar y transferir en un segundo determinado.

Existen diferentes enfoques para gestionar el tráfico SSL. Algunos dispositivos utilizarán hardware especializado sólo para el protocolo de enlace SSL/intercambio de claves y luego usarán la CPU para el cifrado "masivo" continuo. Otros dispositivos tienen la ventaja de utilizar hardware especializado para ambas funciones. El F5 iSeries está diseñado exclusivamente para gestionar de forma óptima la configuración de la conexión SSL y el rendimiento masivo. Al aprovechar al máximo el hardware criptográfico avanzado, las plataformas F5 iSeries tienen un excelente rendimiento transaccional y, al mismo tiempo, ofrecen grandes cantidades de procesamiento masivo cifrado. Esto permite a los clientes y administradores de sistemas preservar los ciclos de CPU para obtener rendimiento o funcionalidad adicionales.

Como es habitual, se realizaron pruebas en una variedad de tamaños de archivos (128 B, 5 KB, 16 KB y 512 KB) para demostrar el rendimiento en una variedad de situaciones.

Las pruebas se ejecutaron utilizando tamaños de clave de 384 bits, que es el tamaño recomendado por todas las agencias de seguridad acreditadas, utilizando cifrados ECDH-ECDSA-AES128-SHA256, que es uno de los algoritmos de cifrado más comunes disponibles.

CONCLUSIÓN

La plataforma iSeries continúa el liderazgo de F5 en la entrega de soluciones SSL integrales para nuestros clientes, incluido el hecho de ser el primer ADC en soportar la descarga de hardware dedicada de ECDHE. A medida que más empresas migran a suites de cifrado ECC para lograr un secreto directo perfecto, la necesidad de soluciones que garanticen el rendimiento de las aplicaciones seguirá creciendo. Nuestras pruebas de rendimiento muestran que las plataformas iSeries de F5 mantienen los más altos niveles de rendimiento al tiempo que admiten la más amplia gama de suites de cifrado en el futuro.