Článek přečtěte do 2 min.

Zabezpečení bez zablokování: Co říkají testy latence o OCI WAF

Každý technický tým zná kompromis: zamknete-li vchodové dveře aplikace, někdo si bude stěžovat, že jejich otevírání trvá déle. Chtěli jsme tento vjem přesně vyčíslit měřením latence, kterou brána firewall webových aplikací Oracle Cloud Infrastructure (OCI) Web Application Firewall (WAF) vytváří při ochraně provozu za nástrojem OCI Flexible Load Balancer (FLB) – vyrovnávačem zátěže HTTP(S) od společnosti Oracle na 7. vrstvě.

Zobrazuje flexibilní Loadbalancer a firewall webových aplikací spolu s přidanou latencí sítě pro backendové systémy.

Obrázek 1. Integrace LBaaS a WAF

Shrnutí experimentu – a proč je důležitý

Abychom diskusi založili na reálných datech, provedli jsme krátké cvičení výkonu, které odráží chování v produkčním prostředí: stovky šifrovaných HTTPS požadavků za sekundu, tři back-endové servery a regionální zásady WAF s použitím výchozích „doporučených“ pravidel. Podrobný návod k sestavení je k dispozici v tutoriálu Oracle Learn „Měření dopadu latence OCI WAF na OCI Load Balancer“ pro každého, kdo chce tato čísla replikovat.

Cílem nebylo vytvořit benchmark pro případné situace, ale zaměřit se na typickou webovou vrstvu a zjistit, zda zabezpečení stále ponechává prostor pro rychlejší uživatelský zážitek.

Číslo titulku: ~10 ms

Během několika jednominutových testovacích běhů činil dodatečný čas na požadavek v průměru necelých „10 milisekund“. To představuje 54% nárůst ve srovnání s provozem stejného provozu přes „Flexible Load Balancer s vypnutou politikou WAF“, ale absolutní latence zůstala pohodlně pod hranicí 30 ms.

Propustnost a počet transakcí za sekundu se téměř nezměnily (rozdíl menší než jedno procento), což potvrzuje, že náklady na inspekci se hradí v mikrozpožděních, nikoli ve ztracené kapacitě.

Čtení mezi čísly

  • Uživatelská zkušenost vs. bezpečnostní stav – Deset milisekund je pro lidské uživatele prakticky neviditelných a pohodlně se skládá ze standardních výkonnostních rozpočtů, takže většina týmů může povolit ochranu WAF bez nutnosti přehodnocovat cíle na úrovni služeb.
  • Soukromá laboratoř vs. veřejný internet – Náš provoz nikdy neopustil soukromou páteřní síť cloudu. Jakmile pakety přejdou přes internet, absolutní hodnota latence se zvyšuje, ale procentuální režijní náklady z inspekce WAF se obvykle drží stabilně v jednotkách.

Doporučení

Je to jednoduché: regionální WAF od OCI přidává zhruba deset milisekund ochranné daně – což je malá změna oproti počátečnímu blokování 10 nejčastějších hrozeb dle OWASP.

Kurz Oracle Learn, Měření dopadu latence OCI WAF na OCI Load Balancer

Zjistěte více o flexibilním vyrovnávači zátěže Oracle Cloud Infrastructure

Zdroj: Oracle