Oui, Virginie, les services NFV peuvent être testables, évolutifs et prévisibles

L'une des démonstrations les plus intéressantes lors de la conférence RSA de San Francisco était un pare-feu basé sur la virtualisation des fonctions réseau (NFV) et un moteur d'inspection du contenu approfondi intégrés dans le plan de contrôle du réseau défini par logiciel (SDN) d'un réseau lourdement chargé. Le pare-feu / moteur DCI a filtré le contenu et bloqué les attaques par injection SQL en temps réel, sans ralentir le réseau simulé. 

Le banc d'essai basé sur OpenStack a été créé et géré par Spirent, une entreprise du sud de la Californie bien connue pour sa plate-forme de test de réseau. La société de sécurité avec le pare-feu et le moteur DCI était Wedge Networks, une entreprise canadienne qui se concentre sur le cloud.

Le banc d'essai a validé la capacité de WedgeOS - le pare-feu virtualisé de Wedge et Deep Content Inspector - de bloquer le contenu identifié dans l'environnement virtuel basé sur OpenStack.

La charge de test provenait de Spirent's Avalanche, qui a généré un trafic client et serveur Web de couche 4-7 simulé. Les tests ont été orchestrés par Velocity, le système de gestion de laboratoire intégré de Spirent pour les environnements virtuels et physiques. Dans le test, WedgeOS a bloqué le contenu malveillant en fonction des politiques configurées, sans affecter le débit, même lorsque le réseau était inondé de trafic.

L'un des tests a fait du blocage de contenu, filtrant tout le trafic contenant des mots clés spécifiques. Un autre test a détecté et filtré les logiciels malveillants, y compris les attaques de virus et les attaques XSS (Cross Site Scripting) et SQL Injection. Ces deux simulations étaient réalistes, en ce sens que les deux types d'attaques peuvent se produire sur des réseaux physiques et basés sur le cloud.

Le nom de Wedge pour sa plate-forme de sécurité intégrée est NFV-S, ou Network Functions Virtualization for Security. Selon Wedge, NFV-S s'appuie sur NFV pour fournir une sécurité évolutive et élastique qui peut être intégrée dans un réseau basé sur SDN en tant que service prévisible. Je pense que Wedge espère que NFV-S deviendra une spécification largement adoptée, mais à ma connaissance, à ce stade, il est spécifique aux propres produits de Wedge.

Bien que ce test ait montré que les fonctions de sécurité basées sur NFV fonctionnent bien dans un réseau SDN simulé, le point essentiel était la prévisibilité. En ce qui concerne les réseaux virtualisés, il existe un nombre incroyable de variables. En raison du nombre de couches d'abstraction imbriquées, il est difficile de savoir sur quel type de matériel ces services NFV s'exécuteront et quelle quantité de ce matériel sera disponible pour cette fonction. C'est NFV:

  • Quel est le processeur et la mémoire? Tu ne sauras jamais.
  • Quelle est la bande passante et le débit du monde réel? Tu ne sauras jamais.
  • Quoi d'autre y court? Tu ne sauras jamais.
  • Les fonctions NFV fonctionneront-elles? Oui.
  • Les fonctions NFV fonctionneront-elles rapidement? Peut être. Peut être pas.
  • Les fonctions NFV peuvent-elles gérer les pics de trafic? Difficile à dire, mais probablement oui.
  • Quel impact les autres fonctions NFV exécutées sur ce matériel auront-elles sur les performances? Impossible de le dire avec certitude, mais les tests et les simulations peuvent vous donner une assez bonne idée.

C'est là que le test de la conférence RSA est intervenu, montrant que les outils de Spirent peuvent imiter le trafic réel sur le réseau virtuel, et WedgeOS a géré cette charge de travail de manière prévisible pour garantir virtuellement que les niveaux de service garantis sont respectés dans des conditions stressantes..

Soit dit en passant, ce test est une mise à jour d'un test que ces deux sociétés ont effectué en avril 2014. Cependant, l'ancien test de 2014 était davantage axé sur la présentation des installations de banc d'essai SDN de Spirent, avec le système de sécurité Wedge comme application de preuve de concept. sur ce banc d'essai. Le nouveau test de 2015 a montré que le logiciel de sécurité filtrait le contenu et bloquait les attaques, et pouvait le faire sur un réseau simulé très fréquenté.

Un an, c'est long dans ce métier, et c'est formidable que les logiciels NFV intégrés dans un réseau défini par logiciel soient passés de "by golly, it works!" preuve de concept à un test de conduite difficile qui montre des performances fiables sous charge. Alors que de plus en plus d'organisations cherchent à déplacer le trafic réseau vers des réseaux basés sur SDN, nous allons avoir besoin d'une sécurité intégrée, nous aurons besoin de NFV et nous aurons besoin de prévisibilité.

Après tout, si nous ne pouvons pas prédire les performances de nos réseaux virtuels, quel est l'intérêt?

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.