AVX SSL/TLS offload를 활용한 Virtual WAF 및 NGFW 성능의 획기적 향상

April 19, 2019

어레이 네트웍스의 네트워크 및 보안 가상화 전용 플랫폼 AVX에서 컴퓨팅 집약적인 SSL/TLS 트래픽 처리를 오프로딩 하여 vWAF의 경우 최대 67배, vNGFW의 경우 최대 5.4 배의 성능 향상을 보임.

(2019.4.9 발표)                                                                                    상세 테스트 레포트 다운로드

 

어레이네트웍스(Array Networks Inc.)는 톨리그룹(The Tolly Group)이 WAF(Web Application Firewall) 및 NGFW(Next-Gen Firewall) 가상 어플라이언스의 성능을 테스트 및 분석 한 보고서를 2019.4.9 발표 했습니다. 테스트는 AVX상에서 업계 선도의 vWAF 및 vNGFW를 실행 시키고 AVX의 도움없이 직접 SSL / TLS 암호 복호화 및 재 암호화를 수행하는 경우와 AVX에서 SSL/TLS 오프로드 기능을 사용하는 경우를 비교한 것입니다. 테스트 결과 AVX 시리즈에서 SSL/TLS를 오프로드 했을 때 여러 측면에서 성능이 획기적으로 향상되는 것을 보여줍니다. 이 결과는 응용 프로그램 보안 및 성능에 민감한 IT 관리자에게 매우 중요한 시사점을 제시합니다. 이 테스트는 대부분의 네트워크 트래픽이 암호화되어 있는 상황에서 가상 보안 어플라이언스가 SSL 처리에 관한 외부의 도움을 받지 않고는 암호화된 트래픽을 처리하는 데 한계가 있음을 보여주고 있습니다.

 

Tolly Group의 창립자인 Kevin Tolly는 "가상 또는 소프트웨어 정의 WAF 및 NGFW에 대한 우리의 테스트는 보편화 되어가는 SSL 기반 트래픽을 처리할 때 심각한 성능 문제가 있다는 것을 분명하게 보여줍니다.” "실세계의 트래픽 환경에서 가상 WAF, NGFW 및 IPS 성능이 크게 저하되기 때문에 데이터 센터 관리자는 나쁜 사용자 경험을 감내하거나 성능을 향상시키기 위해 장비를 추가로 구매하기 위해 상당한 돈을 지출해야 합니다. 어레이의 AVX 네트워크 기능 플랫폼은 가상 어플라이언스의 민첩성을 희생시키지 않으면서 성능을 보장하는 비용 효율적인 솔루션을 제공합니다."라고 했습니다.

 

SSL 암호화 트래픽은 오늘날 인터넷 트래픽의 80 % 이상을 차지하고 있으며 앞으로도 증가할 것으로 예상됩니다. 또한 악의적인 행위자가 SSL/TLS 트래픽 내에 악성코드를 점점 더 많이 숨기고 있다는 보고가 있습니다. 따라서 SSL 암호화 트래픽을 완벽하게 검사하려면 WAF, NGFW, IDS / IPS 및 딥 패킷 검사와 같은 보안 장비가 먼저 암호화 된 트래픽을 해독하여 검사 한 다음 최종 목적지로 전달하기 전에 다시 암호화해야 합니다. 새로운 4096 비트 SSL 암호화 표준은 이전 표준보다 훨씬 더 많은 연산을 필요로 합니다. 또한 IT 팀이 보안 기능을 가상 환경으로 이동함에 따라 SSL 처리는 가상 보안 어플라이언스의 핵심 기능 처리에 부정적인 영향을 주게 되고 따라서 전체 성능에 영향을 줍니다.

 

어레이 네트웍스 제품 관리 책임자인 Milind Kulkarni는 "AVX 시리즈 네트워크 기능 플랫폼에는 컴퓨팅, 메모리 및 I/O 리소스 외에도 고성능 암호화 리소스가 포함되어 있으며 가상 어플라이언스별로 보장된 리소스를 제공합니다. Tolly Group 테스트는 WAF 및 NGFW 가상 어플라이언스에 대한 SSL 처리의 영향과 AVX 시리즈의 온-보드 SSL 처리 리소스를 활용하여 얻는 성능상의 이점을 명확하게 보여줍니다.”라고 말했습니다.

 

이 테스트는 시장을 선도하는 WAF 및 NFGW 제품을 사용하여 Tolly Group 직원이 직접 수행했습니다. 첫번째로 HTTP (보안되지 않은)트래픽으로 테스트하고 두번째로 HTTPS (보안 된) 트래픽에 대한 성능을 측정하여 두 테스트 결과를 비교하였습니다. 이 두번의 테스트에는 AVX의 SSL 처리 기능은 사용하지 않았습니다. 세번째 테스트는 AVX 시리즈에서 SSL 오프로드를 수행하고 HTTPS 트래픽의 처리 성능을 측정하였습니다. 즉, AVX에서 트래픽의 암호를 해독하여 vWAF 또는 vNGFW로 전달한 다음 AVX에서 최종 목적지로 전달하기 전에 페이로드를 다시 암호화하였습니다.

 

연구원들은 SSL 오프로드를 통해 가상 WAF 어플라이언스의 성능은 초당 트랜잭션, 데이터 처리량 및 URL 응답 시간이 획기적으로 향상되어 사용자 경험과 밀접한 관련이 있음을 발견했습니다. 이와 마찬가지로 가상 NGFW 어플라이언스에서도 세 부분의 성능이 눈에 띄는 개선이 있었습니다.

Please reload

추천 게시물

만화로 보는 Array SSL VPN

October 25, 2016

1/2
Please reload

최근 게시물

November 3, 2016

Please reload

보관
Please reload

태그 검색