Artigo em destaque

Resultados de desempenho do SSL: Comparação entre F5 BIG-IP iSeries e F5 BIG-IP iSeries Citrix e A10

Fizemos os testes e os resultados estão aqui: a nova plataforma de entrega de aplicativos F5 BIG-IP iSeries executa SSL ECC TPS cinco vezes mais rápido do que dispositivos comparáveis de nossos concorrentes.

À medida que o mundo avança em direção a um conjunto mais amplo de conjuntos de cifras, a F5 está posicionada de forma única para manter sua liderança em SSL/TLS. Os ADCs com aceleradores de hardware SSL de geração mais antiga compensam essas deficiências processando as conexões criptografadas no software. Isso coloca uma carga adicional no sistema, o que pode diminuir o desempenho do aplicativo e limitar a capacidade. O novo iSeries da F5 inclui a última geração de hardware de aceleração criptográfica para descarregar a criptografia de curva elíptica Diffie-Hellman (ECDHE), permitindo a rápida adoção de conjuntos de cifras ECC e ECDHE, mesmo em ambientes TLS de alta carga.

Para determinar como o desempenho do iSeries se compara ao de outros dispositivos no mercado, executamos testes rigorosos de desempenho na plataforma usando a cifra SSL ECDH-ECDSA-AES128-SHA256, juntamente com dispositivos comparáveis da A10 Networks e Citrix.

Em nosso teste, o cliente se conectou a um servidor virtual com SSL do lado do cliente, que suportava a cifra SSL ECDH-ECDSA-AES128-SHA256. Uma vez estabelecida a conexão, o cliente enviou uma única solicitação de arquivo; o servidor respondeu com o arquivo e um 200 OK. A conexão foi então enviada para um fechamento de quatro vias pelo cliente. A reutilização foi desabilitada em todos os testes.

Como você pode ver nos números abaixo, os dispositivos Citrix e A10 Networks que testamos — ambos usando silício comercial para descarregar SSL — não foram capazes de igualar o desempenho fornecido pelo hardware de descarregamento de criptografia iSeries da F5.

Transações por segundo

 

 

 

 

 Tamanho do arquivo

128B

5 KB de espaço

16 KB de espaço livre

512 KB

 F5 BIG-IP i7800

27243

27077

26573

5251

 Citrix NetScaler 14080

5103

5087

5060

2156

 Redes A10 4440S

3976

3910

3891

2135
         

Taxa de transferência em Mbps

        

 Tamanho do arquivo

128B

5 KB de espaço

16 KB de espaço livre

512 KB

 F5 BIG-IP i7800

105

1185

3558

22034

 Citrix NetScaler 14080

19

222

677

9047

 Redes A10 4440S

15

171

521

8955

Processo e ambiente de teste

Cada um dos produtos passou pelo mesmo processo de testes multifásicos que a F5 usou em relatórios anteriores. Este processo consiste nas seguintes fases:

  1. Testes preliminares: Crie e valide a configuração para cada Dispositivo em Teste (DUT) para que todos os DUTs gerenciem o tráfego de rede da mesma maneira.
  2. Testes exploratórios: Isso determina as melhores configurações de teste para cada dispositivo e revela seu desempenho em cada tipo de teste. A configuração dos DUTs é finalizada durante esta fase. 

  3. Teste final: Cada tipo de teste é executado várias vezes. Os testes são repetidos até que haja pelo menos três boas execuções que consistentemente produziram os melhores resultados. Podem ser necessárias muitas execuções de um teste para atingir esse padrão de consistência.
  4. Determine os melhores resultados: As três melhores execuções de teste para cada tipo de teste são examinadas em detalhes para identificar qual delas produziu o melhor desempenho geral. Os resultados dessa melhor execução para cada tipo de teste são os que são usados neste relatório. 


No total, mais de 50 testes foram realizados para produzir esses resultados.

Produtos testados

Os produtos que testamos estavam em faixas de preço semelhantes e consistiam em:

  • Citrix 14080 (US$ 113.069)
  • A10 4440S (US$ 94.240)
  • F5 BIG-IP i7800 (US$ 85.000)

Testes de processamento SSL

A criptografia Secure Sockets Layer (SSL) é usada em todo o mundo para proteger as comunicações entre usuários e aplicativos. SSL é um protocolo de criptografia padrão disponível em todos os principais sistemas operacionais, navegadores da web, smartphones e assim por diante. A tecnologia SSL ajuda a tornar as compras on-line seguras, permite acesso remoto seguro (SSL VPN) e muito mais. O SSL é onipresente em soluções de segurança de redes comerciais e de consumo. O SSL fornece segurança usando uma combinação de criptografia de chave pública para compartilhar as chaves criptográficas e criptografia simétrica (geralmente RC4, 3DES ou AES) para criptografar o tráfego. Tanto a troca de chaves quanto os vários algoritmos de criptografia exigem uso intensivo de computação e exigem hardware especializado no lado do servidor para atingir desempenho aceitável ou larga escala em quase todos os usos comerciais de SSL.

O desempenho de transações SSL por segundo (TPS) é principalmente uma medida da capacidade de troca de chaves/handshake de um dispositivo. Normalmente medido com tamanhos de arquivo pequenos, isso mede as operações de handshake que ocorrem no início de cada nova sessão SSL. Essa operação exige muito processamento computacional e todos os principais fornecedores de offload de SSL usam hardware especializado para acelerar essa tarefa. Para respostas de servidor e tamanhos de arquivo maiores, o custo computacional da operação de handshake é menos relevante. Como a operação ocorre apenas uma vez no início de uma sessão, a sobrecarga é muito menor. Uma métrica mais equilibrada para comparação de desempenho é a taxa de transferência de tráfego criptografado, também conhecida como criptografia simétrica ou criptografia em massa. Criptografia em massa é uma medida da quantidade de dados que podem ser criptografados e transferidos em um determinado segundo.

Existem diferentes abordagens para lidar com tráfego SSL. Alguns dispositivos usarão hardware especializado apenas para o handshake SSL/troca de chaves e, em seguida, usarão a CPU para a criptografia em massa contínua. Outros dispositivos têm a vantagem de usar hardware especializado para ambas as funções. O F5 iSeries foi projetado exclusivamente para lidar de forma otimizada com configuração de conexão SSL e transferência em massa. Ao utilizar totalmente o hardware de criptografia avançado, as plataformas F5 iSeries têm excelente desempenho transacional e, ao mesmo tempo, fornecem grandes quantidades de transferência criptografada em massa. Isso permite que clientes e administradores de sistema preservem ciclos de CPU para desempenho ou funcionalidade adicional.

Como de costume, os testes foram conduzidos em uma variedade de tamanhos de arquivo (128 KB, 5 KB, 16 KB e 512 KB) para demonstrar o desempenho em diversas situações.

Os testes foram executados usando tamanhos de chave de 384 bits, que é o tamanho recomendado por todas as agências de segurança respeitáveis, usando cifras ECDH-ECDSA-AES128-SHA256, que é um dos algoritmos de cifra mais comuns disponíveis.

Conclusão

A plataforma iSeries dá continuidade à liderança da F5 no fornecimento de soluções SSL abrangentes para nossos clientes, incluindo ser o primeiro ADC a oferecer suporte ao descarregamento de hardware dedicado de ECDHE. À medida que mais empresas migram para conjuntos de cifras ECC para sigilo de encaminhamento perfeito, a necessidade de soluções que garantam o desempenho do aplicativo continuará a crescer. Nossos testes de desempenho mostram que as plataformas iSeries da F5 mantêm os mais altos níveis de desempenho, ao mesmo tempo em que oferecem suporte à mais ampla gama de conjuntos de cifras no futuro.