評估云安全方案的性能

很多安全專業人士都認為，如果安全軟件的鏡像運行在相同的云硬件上，物理安全設備之間的任何性能差別都將不復存在。但事實上，在不同的方案之間仍存在很大的性能差異，而這些不同點無論是在數據處理方面還是從成本方面都是至關重要的。

因為云的性能是數字市場競爭的一個基本需求，企業不能容忍安全成為一個瓶頸，業務需要高速檢查。當然，有彈性的可擴展性有助于消除這種瓶頸，這正是云成為一種理想平臺的原因。但是可擴展性也會帶來不少的成本。例如，配置不必要的防火墻就會給企業的運營帶來成本影響。

部分困難在于性能的擴展要比其看起來更為復雜。為簡單起見，不妨將擴展性分為兩個功能，即向外擴展和向上擴展。

擴展云資源

在涉及云的擴展時，我們通常指的是向外擴展。此功能允許企業通過增加某個方案的不同的虛擬實例的數量而滿足性能需求。例如，在通信負載劇增時，企業就可以自動部署更多更好的防火墻實例，而在通信返回到正常狀態時，再廢棄這些實例。

但是，向外擴展并不僅是關于性能的問題，而且也是性能的代價問題。例如，更高性能的方案意味著，你不必像在使用較慢的方案時那樣頻繁地從云市場購買多余的防火墻實例。對于管理企業的費用并且同時還要滿足容量需求來說，這至關重要。而性能，即使軟件運行在同樣的硬件上，也會受到兩方面的影響：設計和軟件優化。

架構設計影響性能

企業常常忽視的另一種擴展是向上擴展。這指的是軟件方案運行的虛擬硬件的規模，是以虛擬機所使用的內核數量來衡量的。簡單的虛擬機利用一個內核，在擴展時會成倍地增加虛擬機所使用的內核數量。在設計云環境時，為了有效地運行安全方案，決定需要多大規模的虛擬機是重要的問題之一。但是一個方案如何能夠高效地使用可用的處理能力（往往指的是每個核心的性能）也會極大地影響到擴展。例如，如果企業要求一個大型的多核心的虛擬機，那么一個軟件方案真正能夠為企業花錢購買的每個核心提供的吞吐量是多少？理解這一點至關重要。

向上擴展使得問題在表面上看來相同，也就是說，所有的廠商可能在同樣的虛擬機上運行其方案。但是，在實際的應用中，可能存在很大的不同。事實上，并非所有的軟件在架構上是相同的。

在虛擬機上運行軟件要求一個圍繞管理平臺和數據平臺而構建的架構。不同的廠商如何設計架構，如何發布這些需求可能有很大差別。

例如，很多廠商的架構要求專用整個核心用于管理。所以，如果企業購買了一個雙核心的系統來運行自己的服務，就僅有一半的資源可用于處理通信和數據。隨著企業的升級，絕對不到四分之一的核心資源可用于處理數據。利用這種架構模式的廠商軟件會對性能產生重大影響。同樣，很多廠商在設計其軟件時，將單個會話固定到一個核心上，而不是能夠將通信在多個核心之間進行分配。這種架構設計方法還會減少每個附加核心的回報。

并行化

基本說來，所有的計算機都喜歡并行架構，這可以使效率最大化并影響潛在的性能。有效地使用并行架構是一家廠商能夠比處于同樣云環境的另一家廠商取得獲得更高性能的一個重要原因。但是，由于軟件架構的選擇往往是由沒有定制硬件開發經驗的廠商做出的，很多廠商將一個專用的核心分配用于控制平臺管理。

這種設計策略破壞了并行模式并降低了效率和性能。企業不僅用于檢查和處理的核心更少了，而且還需三個或六個核心用于數據檢查，這就嚴重影響軟件高效分配和處理數據的能力，從而進一步破壞性能。

并非所有的云軟件都生來一樣

有人認為專用的硬件廠商在云環境中會喪失其性能優勢。但是，即使所有其他因素都相同，全棧優化仍可以提供性能的極大提升。為了使軟件在一個芯片中獲得必要的性能，工程師們必須極大地優化其軟件。

不幸的是， 很多軟件廠商從來都沒有進行過這種優化。相反，這些廠商還傾向于使用現成的CPU來解決這種問題。全堆棧優化軟件可以很完美地區分一個云廠商與另一個廠商，因為它可以直接影響效率和性能。

結語

選擇可升級的高性能的安全方案可以使企業滿足當今數字市場不斷增長的性能需求。即使是在選擇基于云的安全方案時，性能也是一個需要考慮的至關重要的問題。具有更高性能的解決方案不僅可以使企業有效地滿足消費者的需求，而且具有更好的成本效益。

但是，并非所有的云安全方案都是一樣的。仔細分析廠商的底層設計和優化方法可以使企業選擇最能滿足性能和預算需要的方案。