评估云安全方案的性能

很多安全专业人士都认为，如果安全软件的镜像运行在相同的云硬件上，物理安全设备之间的任何性能差别都将不复存在。但事实上，在不同的方案之间仍存在很大的性能差异，而这些不同点无论是在数据处理方面还是从成本方面都是至关重要的。

因为云的性能是数字市场竞争的一个基本需求，企业不能容忍安全成为一个瓶颈，业务需要高速检查。当然，有弹性的可扩展性有助于消除这种瓶颈，这正是云成为一种理想平台的原因。但是可扩展性也会带来不少的成本。例如，配置不必要的防火墙就会给企业的运营带来成本影响。

部分困难在于性能的扩展要比其看起来更为复杂。为简单起见，不妨将扩展性分为两个功能，即向外扩展和向上扩展。

扩展云资源

在涉及云的扩展时，我们通常指的是向外扩展。此功能允许企业通过增加某个方案的不同的虚拟实例的数量而满足性能需求。例如，在通信负载剧增时，企业就可以自动部署更多更好的防火墙实例，而在通信返回到正常状态时，再废弃这些实例。

但是，向外扩展并不仅是关于性能的问题，而且也是性能的代价问题。例如，更高性能的方案意味着，你不必像在使用较慢的方案时那样频繁地从云市场购买多余的防火墙实例。对于管理企业的费用并且同时还要满足容量需求来说，这至关重要。而性能，即使软件运行在同样的硬件上，也会受到两方面的影响：设计和软件优化。

架构设计影响性能

企业常常忽视的另一种扩展是向上扩展。这指的是软件方案运行的虚拟硬件的规模，是以虚拟机所使用的内核数量来衡量的。简单的虚拟机利用一个内核，在扩展时会成倍地增加虚拟机所使用的内核数量。在设计云环境时，为了有效地运行安全方案，决定需要多大规模的虚拟机是重要的问题之一。但是一个方案如何能够高效地使用可用的处理能力（往往指的是每个核心的性能）也会极大地影响到扩展。例如，如果企业要求一个大型的多核心的虚拟机，那么一个软件方案真正能够为企业花钱购买的每个核心提供的吞吐量是多少？理解这一点至关重要。

向上扩展使得问题在表面上看来相同，也就是说，所有的厂商可能在同样的虚拟机上运行其方案。但是，在实际的应用中，可能存在很大的不同。事实上，并非所有的软件在架构上是相同的。

在虚拟机上运行软件要求一个围绕管理平台和数据平台而构建的架构。不同的厂商如何设计架构，如何发布这些需求可能有很大差别。

例如，很多厂商的架构要求专用整个核心用于管理。所以，如果企业购买了一个双核心的系统来运行自己的服务，就仅有一半的资源可用于处理通信和数据。随着企业的升级，绝对不到四分之一的核心资源可用于处理数据。利用这种架构模式的厂商软件会对性能产生重大影响。同样，很多厂商在设计其软件时，将单个会话固定到一个核心上，而不是能够将通信在多个核心之间进行分配。这种架构设计方法还会减少每个附加核心的回报。

并行化

基本说来，所有的计算机都喜欢并行架构，这可以使效率最大化并影响潜在的性能。有效地使用并行架构是一家厂商能够比处于同样云环境的另一家厂商取得获得更高性能的一个重要原因。但是，由于软件架构的选择往往是由没有定制硬件开发经验的厂商做出的，很多厂商将一个专用的核心分配用于控制平台管理。

这种设计策略破坏了并行模式并降低了效率和性能。企业不仅用于检查和处理的核心更少了，而且还需三个或六个核心用于数据检查，这就严重影响软件高效分配和处理数据的能力，从而进一步破坏性能。

并非所有的云软件都生来一样

有人认为专用的硬件厂商在云环境中会丧失其性能优势。但是，即使所有其他因素都相同，全栈优化仍可以提供性能的极大提升。为了使软件在一个芯片中获得必要的性能，工程师们必须极大地优化其软件。

不幸的是， 很多软件厂商从来都没有进行过这种优化。相反，这些厂商还倾向于使用现成的CPU来解决这种问题。全堆栈优化软件可以很完美地区分一个云厂商与另一个厂商，因为它可以直接影响效率和性能。

结语

选择可升级的高性能的安全方案可以使企业满足当今数字市场不断增长的性能需求。即使是在选择基于云的安全方案时，性能也是一个需要考虑的至关重要的问题。具有更高性能的解决方案不仅可以使企业有效地满足消费者的需求，而且具有更好的成本效益。

但是，并非所有的云安全方案都是一样的。仔细分析厂商的底层设计和优化方法可以使企业选择最能满足性能和预算需要的方案。