如今,更大的安全威胁、更多的流量和日益虚拟化的基础设施推动了对数据中心入侵防御系统(DCIPS)的需求。
在评估数据中心入侵防御系统(DCIPS)时,其性能至关重要,该系统面临比传统入侵防御系统更高的流量。
典型的入侵防御系统(DCIPS)部署在企业网络周边以保护最终用户的活动。而数据中心入侵防御系统(DCIPS)则位于数据中心内部,以保护数据中心服务器及其运行的应用程序。这需要一个数据中心入侵防御系统(DCIPS)来跟踪来自正在访问服务器中的大型应用程序的潜在数十万用户的流量,信息安全产品测评机构美国NSS实验室最近测试了五种数据中心入侵防御系统(DCIPS)产品的安全性、性能和总体拥有成本。
“应用流量为每个请求生成了很多连接和事务,这对网络安全设备快速建立多个连接,多个连接保持打开,并实现高吞吐率的能力提出了很高的要求,”专注于网络安全测试的NSS实验室的安全基础设施产品和服务的采购指南指出。
NSS研究人员测试了五款产品,以了解它们如何识别并阻止对Web服务器、应用程序服务器和数据库服务器的威胁,而不会出现误报或网络性能下降。这五种测试产品是:
Fortinet公司的FortiGate 3000D v5.4.5 GA Build 3273
Fortinet公司的FortiGate 7060E v5.4.5 GA Build 6355
瞻博网络公司的SRX5400E v15.1X49-D100.6
McAfee公司网络安全平台 NS9100 Appliance v9.1.5.3
趋势科技公司的TippingPoint 8400TX v5.0.0.4815
该实验室还测试了思科的产品,但其结果未经验证。“我们无法测试思科公司产品的有效性,并确定其数据中心产品的适用性,因此在未经全面评估的情况下不要部署它们。”NSS实验室表示。
经过测试之后,NSS Labs报告说,所有五款已验证的产品都获得了IPv4和IPv6的“推荐”评级。
NSS实验室制作了其安全价值图、可视化供应商的表现,并提供免费下载。其安全价值图概述了NSS Labs团队测试中五种不同产品的表现。
例如,产品的安全有效性从89%的区块率(趋势科技的TippingPoint 8400TX)到98.7%的区块率(Fortinet公司的FortiGate 3000D和瞻博网络的SRX5400E)。
Fortinet公司的FortiGate 7060E在吞吐量方面处于高端,在NSS实验室的测试中实现了IPv4的130,526 Mbps和IPv6的70,534 Mbps.
就正常和过载情况下的有效性而言,NSS实验室的调查报告表明,所有五种设备对所有测试的回避技术都是有效的,并且它们都通过了所有稳定性和可靠性测试。
其安全价值图还显示了每个产品的投资价值,NSS实验室通过查看每个受保护的传输速率Mbps测试产品配置的总拥有成本(TCO)来计算。每个受保护Mbps的总拥有成本(TCO)介于3美元和9美元之间。
“企业将其最有价值的IT资产和知识产权驻留在内部部署的数据中心。”NSS实验室首席技术官Jason Brvenik在一份声明中表示,“数据中心入侵防御系统(DCIPS)的目标是保护这些资产免受远程攻击。因为其通常是内部部署的,所以在安全有效性和性能之间经常会有一个权衡。”
在宣布数据中心入侵防御系统(DCIPS)测试结果时,NSS实验室引用了市场研究机构Mordor Intelligence公司的研究结果,其结果预测由于数据流量的增长、网络威胁的增加以及虚拟化数据中心的增长,数据中心安全解决方案的支出将增加。Mordor Intelligence表示,到2020年,安全市场规模估计将达到134亿美元,高于2015年的67亿美元。
对于更加细化的测试结果,每年订阅的安全专业人员(费用为1,995美元)可以访问NSS实验室有关数据中心入侵防御系统(DCIPS)性能、安全性和TCO的比较报告。这个比较报告详细介绍了每种产品的能力。例如,关于DCIPS性能的比较报告涵盖了吞吐量、延迟、并发连接容量、连接速率、HTTP容量,以及实际流量混合等结果。
以安全为中心的比较报告涵盖了入侵防御系统(IPS)漏洞拦截功能、IPS防逃避功能以及稳定性和可靠性。关于TCO的比较报告更详细地介绍了每种产品的购置成本(针对DCIPS和中央管理系统);支付给供应商的年度维护、支持和签名更新费用,以及安装、维护和保养的劳动力成本。
也有一些测试报告可用于每个数据中心入侵防御系统(DCIPS)产品测试,每个报告的价格为295美元。