SSL 성능 결과: F5 BIG-IP iSeries 대비 시트릭스와 A10
우리는 테스트를 실행했고 그 결과가 나왔습니다. 새로운 F5 BIG-IP iSeries 애플리케이션 전송 플랫폼은 경쟁사의 동급 장비보다 5배 더 빠른 SSL ECC TPS를 수행합니다.
세상이 점점 더 광범위한 암호 제품군을 지향함에 따라 F5는 SSL/TLS 리더십을 유지할 수 있는 독보적인 입지를 확보하고 있습니다. 이전 세대의 SSL 하드웨어 가속기를 탑재한 ADC는 소프트웨어로 암호화된 연결을 처리하여 이러한 단점을 보완합니다. 이로 인해 시스템에 추가적인 부하가 걸려 앱 성능이 저하되고 용량이 제한될 수 있습니다. F5의 새로운 iSeries에는 Diffie-Hellman 타원 곡선 암호화(ECDHE)의 부하를 분산시키는 최신 세대 암호화 가속 하드웨어가 포함되어 있어 고부하 TLS 환경에서도 ECC 및 ECDHE 암호 제품군을 신속하게 도입할 수 있습니다.
iSeries의 성능이 시중의 다른 기기와 어떻게 비교되는지 확인하기 위해 A10 Networks와 Citrix의 비슷한 기기와 함께 ECDH-ECDSA-AES128-SHA256 SSL 암호를 사용하여 플랫폼에서 엄격한 성능 테스트를 실행했습니다.
테스트에서 클라이언트는 ECDH-ECDSA-AES128-SHA256 SSL 암호를 지원하는 클라이언트 측 SSL을 갖춘 가상 서버에 연결했습니다. 연결이 설정되자 클라이언트는 파일에 대한 단일 요청을 보냈고, 서버는 해당 파일과 200 OK로 응답했습니다. 그런 다음 연결은 클라이언트에 의해 4방향으로 전송되었습니다. 모든 테스트에서 재사용이 비활성화되었습니다.
아래 숫자에서 볼 수 있듯이, 우리가 테스트한 Citrix 및 A10 Networks 장치(둘 다 SSL 오프로드를 위해 상용 실리콘을 사용함)는 F5의 iSeries 암호화 오프로드 하드웨어가 제공하는 성능과 일치하지 못했습니다.
초당 거래 |
|
|
|
|
파일 크기 |
128비 |
5킬로바이트 |
16킬로바이트 |
512KB |
F5 BIG-IP i7800 |
27243 |
27077 |
26573 |
5251 |
시트릭스 넷스케일러 14080 |
5103 |
5087 |
5060 |
2156 |
A10 네트워크 4440S |
3976 |
3910 |
3891 |
2135 |
처리량 (Mbps) |
||||
파일 크기 |
128비 |
5킬로바이트 |
16킬로바이트 |
512KB |
F5 BIG-IP i7800 |
105 |
1185 |
3558 |
22034 |
시트릭스 넷스케일러 14080 |
19 |
222 |
677 |
9047 |
A10 네트워크 4440S |
15 |
171 |
521 |
8955 |
테스트 프로세스 및 환경
각 제품은 F5가 이전 보고서에서 사용한 것과 동일한 다단계 테스트 과정을 거쳤습니다. 이 과정은 다음과 같은 단계로 구성됩니다.
- 예비 테스트: 모든 DUT가 네트워크 트래픽을 동일한 방식으로 관리할 수 있도록 각 테스트 대상 장치(DUT)에 대한 구성을 만들고 검증합니다.
- 탐색 테스트: 이를 통해 각 장치에 대한 최적의 테스트 설정이 결정되고 각 유형의 테스트에서 장치가 얼마나 잘 작동하는지 알 수 있습니다. 이 단계에서는 DUT 구성이 최종 확정됩니다.
- 최종 테스트: 각 유형의 테스트는 여러 번 실행됩니다. 적어도 3번 이상 가장 좋은 결과를 지속적으로 내는 좋은 실행이 나올 때까지 테스트를 반복합니다. 이러한 일관성 기준에 도달하려면 여러 번의 테스트를 거쳐야 할 수 있습니다.
- 최상의 결과를 결정하세요: 각 유형의 테스트에서 가장 우수한 3개의 테스트 실행을 자세히 검토하여 어느 테스트가 전반적으로 가장 우수한 성과를 내는지 파악합니다. 이 보고서에는 각 유형의 테스트에 대한 최상의 실행 결과가 사용됩니다.
이러한 결과를 도출하기 위해 총 50회 이상의 테스트 실행이 수행되었습니다.
테스트된 제품
우리가 테스트한 제품은 가격대가 비슷했으며 다음과 같이 구성되었습니다.
- 시트릭스 14080(113,069달러)
- A10 4440S(94,240달러)
- F5 BIG-IP i7800(85,000달러)
SSL 처리 테스트
SSL(Secure Sockets Layer) 암호화는 사용자와 애플리케이션 간의 통신을 보호하기 위해 전 세계적으로 사용됩니다. SSL은 모든 주요 운영체제, 웹 브라우저, 스마트폰 등에서 사용할 수 있는 표준 암호화 프로토콜입니다. SSL 기술은 온라인 쇼핑의 보안을 강화하고, 안전한 원격 접속(SSL VPN)을 가능하게 하는 등 다양한 기능을 제공합니다. SSL은 상업 및 소비자 네트워크 보안 솔루션에서 널리 사용됩니다. SSL은 암호화 키를 공유하는 공개 키 암호화와 트래픽을 실제로 암호화하는 대칭 암호화(일반적으로 RC4, 3DES 또는 AES)를 결합하여 보안을 제공합니다. 키 교환과 다양한 암호화 알고리즘은 모두 계산 집약적이며, SSL을 상업적으로 사용하는 거의 모든 분야에서 허용 가능한 성능이나 대규모 성능을 달성하려면 서버 측에 특수 하드웨어가 필요합니다.
SSL 초당 거래(TPS) 성능은 주로 장치의 키 교환/핸드셰이크 용량을 측정하는 것입니다. 일반적으로 작은 파일 크기로 측정하며, 모든 새로운 SSL 세션이 시작될 때 발생하는 핸드셰이크 작업을 측정합니다. 이 작업에는 많은 계산이 필요하며 모든 주요 SSL 오프로드 공급업체는 이 작업의 속도를 높이기 위해 특수 하드웨어를 사용합니다. 더 큰 서버 응답과 파일 크기의 경우 핸드셰이크 작업의 계산 비용은 그다지 중요하지 않습니다. 세션 시작 시에 한 번만 작업이 수행되므로 오버헤드가 훨씬 적습니다. 성능을 비교하는 데 있어 보다 균형 잡힌 척도는 암호화된 트래픽의 처리량으로, 대칭 암호화 또는 대량 암호화라고도 합니다. 대량 암호화는 주어진 초당 암호화되어 전송될 수 있는 데이터 양을 측정한 것입니다.
SSL 트래픽을 처리하는 데에는 다양한 접근 방식이 있습니다. 일부 장치는 SSL 핸드셰이크/키 교환에만 특수 하드웨어를 사용하고, 진행 중인 '대량' 암호화에는 CPU를 사용합니다. 다른 장치는 두 가지 기능 모두에 특수 하드웨어를 사용한다는 장점이 있습니다. F5 iSeries는 SSL 연결 설정과 대량 처리량을 최적으로 처리하도록 독특하게 설계되었습니다. F5 iSeries 플랫폼은 고급 암호화 하드웨어를 최대한 활용하여 탁월한 거래 성능을 제공하는 동시에 대량의 암호화된 대량 처리량을 제공합니다. 이를 통해 고객과 시스템 관리자는 추가적인 성능이나 기능을 위해 CPU 사이클을 보존할 수 있습니다.
평소처럼 다양한 파일 크기(128B, 5KB, 16KB, 512KB)에 대해 테스트를 실시하여 다양한 상황에서의 성능을 입증했습니다.
테스트는 모든 평판 있는 보안 기관에서 권장하는 크기인 384비트 키 크기와 가장 일반적으로 사용 가능한 암호 알고리즘 중 하나인 ECDH-ECDSA-AES128-SHA256 암호를 사용하여 실행되었습니다.
결론
iSeries 플랫폼은 ECDHE의 전용 하드웨어 오프로드를 지원하는 최초의 ADC가 되는 것을 포함하여 고객을 위한 포괄적인 SSL 솔루션을 제공하는 F5의 리더십을 이어갑니다. 점점 더 많은 기업이 완벽한 순방향 비밀성을 위해 ECC 암호화 제품군으로 전환함에 따라 앱 성능을 보장하는 솔루션에 대한 필요성도 계속해서 커질 것입니다. 성능 테스트 결과, F5의 iSeries 플랫폼은 앞으로도 가장 광범위한 암호 제품군을 지원하면서도 최고 수준의 성능을 유지합니다.