WHITE PAPER

Hardware definido por software: ofrecer rendimiento y agilidad con la arquitectura de BIG-IP iSeries

Updated November 11, 2016
  • Share via AddThis

Introducción

Las nuevas tendencias de mercado están cambiando el panorama de las aplicaciones y las TI. El crecimiento del tráfico no cesa debido a los móviles, el streaming de medios, el Internet de las cosas (IoT) y la transformación digital que afecta a todos los sectores. La adopción de la nube se está acelerando para responder a las necesidades empresariales de agilidad y despliegue más rápido a medida que aumenta el número de aplicaciones. Junto con el crecimiento de las aplicaciones y de todo lo que se conecta a través de Internet han llegado las amenazas a la seguridad, incluyendo las violaciones a la seguridad de los datos y el robo de datos empresariales y personales críticos. Una de las consecuencias ha sido el cifrado de todos los datos en tránsito, con un tráfico SSL que se ha duplicado en el último año, pasando del 29 % al 64 % de todo el tráfico. Por último, están surgiendo nuevas arquitecturas de aplicaciones y modelos de desarrollo ágiles, como los microservicios y el DevOps.

Este panorama informático en rápida evolución plantea importantes retos para las empresas, entre ellos el de cómo ampliar de forma rentable las aplicaciones y los servicios asociados, gestionar la complejidad de la implantación de las nubes privadas y proteger las aplicaciones y los datos en un entorno híbrido. Cada producto que se añade a la arquitectura resuelve parte del problema, pero genera una proliferación de productos, lo que genera un mayor coste total de propiedad y nuevas superficies de ataque.

Estos retos requieren una plataforma de controladores de entrega de aplicaciones (ADC, por sus siglas en inglés) de próxima generación y preparada para la nube que proporcione una agilidad similar a la de DevOps con la escala, la seguridad y la protección de la inversión necesarias tanto para las aplicaciones establecidas como las emergentes. F5® BIG-IP® iSeries es una gama de ADC de nueva generación diseñada específicamente para afrontar estos retos. Este ADC de alto rendimiento y programable puede:

  • Ofrecer el mejor rendimiento y la mejor relación calidad/precio en una serie de parámetros de entrega de aplicaciones y seguridad para dar servicio al aumento del tráfico de clientes y servidores.
  • Superar a los productos basados en software que se ejecutan en hardware básico.
  • Superar la enorme carga que supone para las infraestructuras SSL/TLS el cifrado de todo el tráfico. Esto lo consigue descargando y acelerando el procesamiento de cifrado y de intercambio de claves, incluyendo la criptografía de curva elíptica (ECC) y el «forward secrecy» (FS).
  • Proporcionar servicios rentables de borde compartido en arquitecturas de dos niveles para nubes privadas.
  • Preparar la infraestructura de aplicaciones para el futuro gracias a un hardware que puede reutilizarse mediante las optimizaciones de rendimiento y las actualizaciones de software que el usuario puede elegir. Esta capacidad de reutilizar el hardware ayuda a ofrecer agilidad en una infraestructura que puede satisfacer las necesidades empresariales en evolución.

Los dispositivos BIG-IP iSeries son proxies de aplicaciones enormemente ampliables y de baja latencia que no solo proporcionan servicios de entrega de aplicaciones de capa 4-7, sino que sirven de base para la visión arquitectónica de F5 a la hora de entregar aplicaciones en el futuro. La familia optimiza la potencia y la flexibilidad del hardware y el software dedicados que se ejecutan en la combinación ideal de componentes de CPU, memoria y coprocesamiento, mientras que las innovadoras optimizaciones de hardware ofrecen un rendimiento y una capacidad de ampliación inigualables.

Innovaciones de BIG-IP iSeries

BIG-IP iSeries incluye nuevas capacidades impulsadas a través de optimizaciones de hardware únicas que se integran para cubrir las cambiantes demandas de los equipos de TI de las empresas, incluido el cambio hacia arquitecturas de nube privada, la protección de datos críticos y la consolidación de servicios de aplicaciones.

Perfiles de rendimiento reprogramables

Gordon Moore observó que el número de transistores de un circuito integrado parece duplicarse cada año con los mismos costes. (Esta observación se ajustó posteriormente para reflejar la duplicación cada dos años). La Ley de Moore, como llegó a conocerse, era un indicador tan preciso que se extendió a otros aspectos de la informática, como la velocidad de la CPU, la velocidad de la memoria, la velocidad de la red y la densidad de almacenamiento de las unidades de disco. Aunque el recuento de transistores y la velocidad de la CPU seguían duplicándose, toda la industria sabía que la tendencia no podía continuar para siempre. Aun así, confiar en los aumentos regulares de la velocidad y la densidad permitía implementar funciones críticas en el software.

Para las funciones en las que el software y la CPU seguían siendo insuficientes para satisfacer las necesidades de rendimiento, la industria tecnológica respondió con circuitos integrados diseñados para una aplicación específica: el circuito integrado de aplicación específica (ASIC). Un ASIC tenía la ventaja de poder ofrecer una capacidad específica a la mayor velocidad de hardware posible. Los ASIC se utilizaron en todos los ámbitos de la informática en los que el rendimiento era fundamental, como en las tarjetas de red, los controladores de memoria, los procesadores gráficos y el cifrado. Aunque un ASIC podía realizar tareas a la mayor velocidad posible, sus capacidades estaban limitadas al diseño del chip. Si una aplicación necesitaba capacidades que no estaban disponibles en el ASIC, tenía que utilizar una CPU en su lugar y realizar las tareas por software.

Hoy en día, la velocidad de la CPU ya no se duplica tan rápidamente. Si una CPU puede considerarse flexible pero lenta, y un ASIC inflexible pero rápido, hay una tercera tecnología en el medio: la matriz de puertas lógicas programable en campo (FPGA). Una FPGA es más lenta que un ASIC, pero mucho más rápida que una CPU, y puede programarse para realizar tareas no previstas por los diseñadores de la FPGA.

CPU, ASIC y FPGA
Figura 1: CPU, ASIC y FPGA

La tecnología FPGA de BIG-IP iSeries permite descargar el procesamiento del tráfico de la red y de las aplicaciones al silicio de la FPGA. Esto libera los recursos disponibles de la CPU para otras tareas más complejas que requieren mayor flexibilidad. Las ventajas de usar una FPGA son las siguientes:

  • Capacidad de adaptar las funciones de descarga a la función de la plataforma.
  • Se puede reprogramar, lo que proporciona flexibilidad al software.

Supone un enfoque equilibrado que aprovecha las ventajas tanto de los ASIC como de las FPGA.

La arquitectura de BIG-IP iSeries utiliza tecnología FPGA
Figura 2: Cómo la arquitectura del sistema BIG-IP iSeries utiliza la tecnología FPGA

La FPGA se sitúa en el centro del tráfico que pasa por el dispositivo, inspeccionando el tráfico, tomando decisiones críticas de gestión del tráfico y descargando el procesamiento de protocolos y seguridad. Proporciona:

  • Agregación y disgregación del tráfico, dirigiendo el tráfico a la CPU adecuada. (Obtenga más información sobre esta función).
  • Dirección del tráfico al hardware criptográfico apropiado para el procesamiento SSL/TLS.
  • Garantía de que se envía el tráfico correcto al hardware de compresión.
  • Mitigación de DDoS que puede absorber ataques de mayor tamaño (hasta 10 veces en comparación con el software solamente).
  • Cliente blanco, gris o en lista negra (también conocido como «shunning»).
  • Mejoras en el rendimiento del protocolo de túnel de la nube privada (hasta un 50 % más de procesamiento de tráfico).
  • Equilibrio de carga L4 mejorado por hardware para:
    • UDP y TCP.
    • IPv4 e IPv6.
  • Encapsulación/desencapsulación de la red.

Además, una FPGA puede responder al tráfico con latencias limitadas, lo que garantiza que el tráfico se pueda gestionar adecuadamente y con un nivel de rendimiento uniforme, incluso bajo carga, a diferencia de una CPU, donde el rendimiento del software puede variar cuando haya otro software que compita por los mismos recursos. En concreto, cuando el software se utiliza para dirigir el tráfico y la CPU está bajo carga, como durante un ataque DDoS o de negociación SSL, la capacidad de respuesta de la CPU y del software disminuye, lo que reduce la capacidad del ADC de gestionar el ataque. Por el contrario, cuando una FPGA dirige el tráfico, responderá de forma predecible, independientemente de la carga de la CPU.

Todas estas tareas de gestión del tráfico pueden realizarse antes de que el tráfico sea procesado por los componentes posteriores. La FPGA permite la inspección y el envío a los componentes adecuados, facilitando la gestión inteligente del tráfico a velocidades de hardware.

Funcionalidad TurboFlex en BIG-IP iSeries

La tecnología FPGA se ha incorporado a las generaciones anteriores de ADC, pero BIG-IP iSeries mejora significativamente el número y el tipo de optimizaciones de rendimiento y la forma en que se seleccionan mediante el uso de perfiles de rendimiento F5 TurboFlex™.

En otros sistemas, los diseñadores han tratado de crear un conjunto equilibrado de funciones y han asignado específicamente los recursos de la FPGA a estas funciones. Las FPGA no pueden asignar dinámicamente recursos adicionales a diferentes tareas, ya que las secciones de la FPGA se asignan estáticamente a tareas concretas. Esto tiene la ventaja del verdadero paralelismo, pero a costa de cierta flexibilidad.

BIG-IP iSeries introduce múltiples perfiles de rendimiento de FPGA seleccionables por el cliente. Al habilitar un perfil de rendimiento TurboFlex específico a través de la interfaz gráfica de usuario de BIG-IP, una línea de comandos o una llamada a la API, los clientes pueden asignar los recursos de la FPGA de forma diferente o descargar tareas adicionales para satisfacer los requisitos.

Si, por ejemplo, el uso principal de la plataforma es como dispositivo de borde centrado en la seguridad, podrían favorecerse funciones como la mitigación de DDoS, el procesamiento de TCP y las listas blancas. Para un dispositivo que proporcione servicios avanzados de entrega de aplicaciones en una nube impulsada por OpenStack, el procesamiento de redes superpuestas, como la encapsulación VXLAN o GRE, sería una prioridad. La elección del perfil de rendimiento más adecuado asignará los recursos de la FPGA de la mejor manera posible para las cargas de trabajo.

Trasladar a la FPGA tareas de gran volumen pero relativamente sencillas aumenta el rendimiento general del sistema gracias a que realiza las tareas a velocidad de cable y a que reduce la carga de la CPU. Los diferentes perfiles de TurboFlex optimizan el rendimiento para diferentes casos de uso, sin dejar de ofrecer todas las capacidades.

Con total seguridad, en los próximos años se producirán más cambios. La infraestructura tendrá que soportar nuevos protocolos, hacer frente a nuevas amenazas y proporcionar nuevos servicios. Los calificativos «estático» e «inmutable» no son los adecuados para una infraestructura con vistas al futuro.

Con BIG-IP iSeries, se añadirán descargas de tareas y funciones adicionales (en forma de nuevos perfiles de rendimiento TurboFlex) a la tecnología FPGA a través de las actualizaciones del software BIG-IP. Estas incorporaciones proporcionarán nuevas capacidades sin necesidad de adquirir nuevas plataformas. De hecho, las plataformas BIG-IP iSeries evolucionarán junto a su arquitectura, ampliando sus capacidades en lugar de restringirlas.

Nuevas funciones SSL de hardware

Como los ataques a SSL/TLS siguen avanzando, las longitudes de las claves deben seguir aumentando para adelantarse a los atacantes. Las claves más largas requieren necesariamente una mayor capacidad de computación y, como se ha señalado anteriormente, la velocidad de la CPU ya no progresa al ritmo necesario para adaptarse. El problema de rendimiento de la gestión de las conexiones SSL/TLS se ve agravado por el aumento del uso general de Internet y de la proporción de conexiones seguras. El tráfico general está aumentando, y una mayor parte de ese tráfico se está cifrando, debido a HTTP/2 y a la fuerte adopción por parte de empresas web de gran escala como Google, Apple, Facebook y Microsoft.

Aunque las CPU modernas manejan bien el intercambio de claves TLS, descargar estas tareas sigue teniendo sentido en el contexto de un ADC de hardware, especialmente cuando la CPU disponible se necesita para tareas de mayor nivel, como para los servicios de cortafuegos de aplicaciones web, que requieren un procesamiento más complejo. Además, el uso de hardware especializado es más rentable por «handshake» en comparación con una CPU.

Esto es especialmente cierto cuando se considera la demanda de nuevos conjuntos de cifrado para proteger el tráfico. Hasta hace poco, el cifrado dominante para el intercambio de claves era el RSA. Sin embargo, el RSA tiene un defecto importante. Aunque los cifrados en sí son seguros, si la clave privada se ve comprometida, un tercero puede utilizarla para reproducir el tráfico grabado y cifrado con esa clave privada.

Esto tiene una implicación importante. Cualquiera que registre el tráfico SSL cifrado con RSA puede reproducirlo en cualquier momento en el futuro una vez que la clave esté comprometida. Innumerables claves privadas se han visto comprometidas por errores humanos o fallos de software, como el bug Heartbleed. Cualquier tráfico cifrado con cualesquiera de esas claves es legible por alguien que tenga esas claves.

Esta preocupación por sí sola está llevando a las organizaciones a adoptar un concepto conocido como «forward secrecy» (FS), que hace inmune a una repetición utilizando una clave privada expuesta. Los cifrados Diffie-Hellman, los primeros cifrados generalizados que proporcionan «forward secrecy», han demostrado tener defectos de implementación en la mayoría de software, pero los cifrados más avanzados de criptografía de curva elíptica Diffie-Hellman (ECDHE) no tienen vulnerabilidades conocidas. El paso al «forward secrecy» ha hecho que los sitios apoyen y prefieran los conjuntos de cifrado ECDHE.

Los componentes de aceleración SSL por hardware de antigua generación no admiten el ECDHE, lo que significa que se consumen recursos de software y CPU para procesar las conexiones y supone una carga adicional para el sistema. A medida que la adopción del ECDHE sigue aumentando, la gestión de estas conexiones en el hardware es cada vez más importante.

Mediante la inclusión de la última generación de hardware de aceleración criptográfica y su cuidadosa integración en el sistema BIG-IP, F5 ha diseñado la serie BIG-IP iSeries para ofrecer una descarga de hardware de ECDHE en todas las plataformas. Esto permite la rápida adopción de la criptografía de curva elíptica (ECC) y de los conjuntos de cifrado ECDHE al proporcionar aceleración por hardware para ECDHE, así como al admitir los cifrados existentes, incluso en entornos TLS de alta carga.

Mayor memoria para más objetos y conexiones

El tráfico de Internet está creciendo. De hecho, en un informe de 2016, Cisco predijo que el tráfico se triplicaría en los próximos cinco años1. Parte de este crecimiento del tráfico se producirá de forma orgánica debido a una mayor conectividad de los consumidores y a experiencias web más ricas. Otra parte provendrá de la explosión prevista de dispositivos conectados: el Internet de las cosas. Gartner prevé más de 20 000 millones de dispositivos conectados para 2020. Junto con este crecimiento de dispositivos, aumenta el número de conexiones que deben soportar las infraestructuras. Puede haber un efecto mitigador paralelo causado por la adopción de HTTP/2, que utiliza menos conexiones por cliente, pero es seguro que el número de conexiones frontales aumentará significativamente.

Al mismo tiempo, las arquitecturas de las aplicaciones están pasando de una arquitectura monolítica a un sistema de múltiples servicios débilmente acoplados. La gestión del tráfico entre servicios (tráfico este-oeste) requerirá servicios de gestión y seguridad similares a los del tráfico de las aplicaciones cliente (norte-sur). Esto también dará lugar a un aumento significativo del número de conexiones que hay que gestionar.

BIG-IP iSeries ha sido diseñado para soportar un número de conexiones significativamente mayor que sus predecesores (hasta el doble) gracias a un mayor aprovisionamiento de memoria y a una gestión más eficiente de las conexiones. Esto proporcionará la potencia y la capacidad de ampliación necesarias para gestionar y proteger el tráfico de una nueva generación de dispositivos y aplicaciones conectados.

Parte de una visión más amplia

La serie BIG-IP es una parte central de la visión arquitectónica de F5 para el futuro. Mientras que las nuevas características de hardware de la iSeries lo convierten en una plataforma ideal para muchos casos y situaciones de uso, su integración con el resto del ecosistema de F5 hace que el despliegue, la integración y la gestión de los dispositivos BIG-IP sean ágiles y operativamente eficientes.

Conclusiones

BIG-IP iSeries es la nueva generación de ADC, con innovaciones clave que permiten a los clientes afrontar los retos de los cambiantes entornos. Más allá de un aumento significativo de la capacidad, BIG-IP iSeries mezcla la potencia del hardware dedicado con la flexibilidad de una plataforma programable y actualizable. Al integrar cuidadosamente el software en la CPU con la última tecnología ASIC y FPGA, los dispositivos BIG-IP iSeries proporcionan el máximo rendimiento, la protección de la inversión y la flexibilidad para consolidar múltiples aplicaciones y servicios de seguridad en una plataforma unificada.

En concreto, la implantación de la FPGA en una fase temprana de la ruta del tráfico ofrece una latencia predecible para inspeccionar y enviar el tráfico a los componentes adecuados, todo ello sin utilizar la CPU. Los perfiles de rendimiento reprogramables de TurboFlex permiten ajustar la FPGA a usos específicos, como la mitigación de DDoS y la creación de listas blancas de TCP para un uso de borde centrado en la seguridad, o el procesamiento de superposición de redes para un uso en la nube.

La capacidad de programación tanto del software como de los perfiles de rendimiento TurboFlex garantiza que BIG-IP iSeries pueda cubrir las necesidades actuales y las imprevistas del futuro. La compatibilidad con la aceleración por hardware de los conjuntos de cifrado, incluido el ECDHE, y la capacidad de soportar la explosión de conexiones que se producirá en los próximos años sitúan a BIG-IP iSeries en el centro de las arquitecturas de centros de datos y nubes privadas de próxima generación. La integración en una arquitectura más amplia de F5 permite que la velocidad de implantación de los servicios coincida con la velocidad de procesamiento del tráfico.

BIG-IP iSeries supone un salto espectacular en la evolución de los controladores de entrega de aplicaciones.

1Cisco Visual Networking Index: Forecast and Methodology, 2015–2020. Actualizado el 1 de junio de 2016.