Thales HSE Outperforms Firewall Encryption and Improves Network Efficiency
이 동영상은 선도적이며 독립적인 네트워크 제품 테스트 센터인 Miercom의 심층 연구에서 얻은 주요 결과에 대한 hightight 입니다. Thales 고속 암호화(HSE)가 기존 방화벽 암호화 솔루션을 능가하는 뛰어난 속도, 단축된 지연 시간 및 우수한 보안을 제공하는 방법을 확인하시기 바랍니다.
Products Evaluated
방화벽 암호화는 리소스 중심으로 의존적입니다. 반면 Thales High Speed Encryption (HSE) 어플라이언스는 방화벽에 대한 부담을 없애기 위해 안전한 전용 데이터 암호화를 제공하여 방화벽을 업그레이드 할 필요 없이,더 높은 처리량과 암호화 성능을 가능케 하고, 심지어 방화벽 성능이 개선된 결과를 보이도록 합니다.
Thales CN6140 Multi-link Network Encryptor
The CN6140 is a multi-port, high assurance encryptor that provides up to 40 Gbps (4x10G) full-line rate encryption for all communications including voice, video, and data.
Thales CN4010 Network Encryptor The CN4010 is designed for organizations with lower speed links, up to 1 Gbps network needs , and a small footprint, for all communications including voice, video and data.
위의 다이어그램은 두 개의 Fortinet 방화벽 사이의 Thales HSE를 보여줍니다.
Thales CN6140 및 Thales CN4010 모델을 사용하여 반복 테스트를 진행하였습니다. 네트워크 부하 트래픽은 Apposite Traffic Generator를 사용하여 표준 RFC-2544 방식를 적용하고, IMIX (Internet Mix 7 - 64바이트, 4 - 512바이트, 1 - 1518 바이트 프레임)에 맞게 트래픽을 분산하여 제공했습니다.
방화벽은 full UTM 모드(보안 기능 활성화)로 구성했습니다. 먼저 방화벽의 IPsec 암호화 터널(상위 경로 VPN 터널)을 통해 테스트 하고, 다음으로 방화벽을 HSE에 연결하여 해당 장치가 암호화를 제공할 수 있도록 테스트를 반복한 후 암호화 성능 처리량의 결과를 비교해 보았습니다.
Executive Summary
Thales는 Miercom과 협력하여 HSE(High Speed Encryption) 네트워크 기술에 대한 검토를 수행했습니다.
테스트된 장치는 Thales CN6140 Multilink Network Encryptor(CN6140)와 Thales CN4010 Network Encryptor(CN4010)였습니다. 테스트는 방화벽이 있는 기존 네트워크가 있는 기업에 채용된 HSE의 이점을 보여주기 위해 처리량 성능과 데이터 무결성 테스트로 구성되었습니다. 전반적으로 Thales HSE는 기존 방화벽 제품을 동등한 용량으로 업그레이드하는 것에 비해 암호화된 성능에서 더 큰 효율성과 비용 효율성을 입증했습니다.
조사 결과는 네트워크에 HSE를 추가하고 IPSec을 비활성화하면 실제로 방화벽으로 인해 발생하는 네트워크의 지연 시간과 지터가 줄어들어 네트워크 효율성, 안정성 및 보안이 전반적으로 향상된다는 것을 보여주었습니다.
HSE는 네트워크 인프라 장치 벤더에 구애받지 않고 기존 네트워크 아키텍처에 쉽게 통합되므로 네트워크 성능과 보안에 대한 최적의 투자 수익을 얻고자 하는 고객에게 전반적으로 우수한솔루션입니다.
Key Findings:
● 양방향 Throughput 테스트를 통해 Thales CN6140 Multi-link Network Encryptor는 10Gbps의 UTM(Unified Threat Management) 모드에서 IPsec 암호화를 사용하는 동일한 용량의 방화벽보다 평균 31.6% 더 나은 성능을 제공한다는 것이 입증되었습니다.
IPsec 처리량은 사용 가능한 링크 용량의 76%에 불과했으며, 이는 방화벽 처리량에 의해 제한되고, 이는 사용 가능한 대역폭의 24%가 제한 및 낭비됨을 의미합니다.
반면 HSE Encrypted Throughput 성능은 최대 링크 용량의 99.8% 달하며, 이는 방화벽 처리량에 의한 제한일 뿐입니다.
암호화에 필요한 필수 오버헤드로 인해 0.2%의 차이가 발생합니다. 더 높은 성능의 방화벽을 사용한다면 CN6140의 처리량은 거의 완전한 10G 링크 용량에서완벽하게 작동할 수 있습니다.
● Bi-directional Throughput 테스트를 통해 Thales HSE 어플라이언스는 암호화가 활성화된 방화벽의 성능에 비해 성능 저하가 전혀 없음이 입증되었으며, Thales HSE 의 암호화된 처리량 성능은, 암호화를 제공하는 방화벽에 비해 오히려 21~31% 더 향상된 성능을 제공 한다는 것이 입증되었습니다
Encryption
Thales HSE 어플라이언스는 세계적으로 가장 안전하게 보호되는 조직에서 선호하는 솔루션으로써, 표준 기반의 종단 간 Authenticated Encryption과 Client-side 키 관리를 지원합니다.
향상되고 고도화 된 암호화에 민첩한(Crypto-agile) 보안 기능에는 'Traffic flow security' 및 'Wide range of Elliptic-curves (Safe Curves, Brainpool, NIST)' 지원이 포함 됩니다. VLAN 기반 암호화는 허브(Hub) 및 스포크(Spoke) 환경에서 잘못 구성된 트래픽으로부터의 보호를 위해 고유한 Key pairs를 제공합니다. 고 신뢰의 보증을 요하는 환경의 경우 다중 Encryptor 적용을 통해 중첩 암호화(nested encryption) 를 지원합니다.
Thales HSE 는 NIST – FIPS 140-2 Level 3 인증 완료 및 FIPS 140-3 인증 진행 중이며 ,ANSSI – Common Criteria EAL 4+ 인증 완료, 미국 국방부 정보 시스템국 및 NATO 등으로부터도 검증 되었습니다. Thales HSE는 Authenticated End-to-End Encryption, Automated Key Generation and Update, 접근/접속제어(Controlled Access - 직무 분리) 등과 같은 보안 모범 사례를 준수합니다.
암호화 민첩성 - Thales HSE는 양자 기반 환경 적용을 위한 Quantum Ready 상태이며, NIST PQC(Post Quantum Crypto) 알고리즘 최종 후보 4개를 모두 현장에서 바로 업그레이드 반영할 수 있도록 이미 구현 및 반영되어 제공되고 있습니다.
● Thales HSE 어플라이언스는 테스트를 통해 눈에 띌 만큼의 지연 시간 증가는 없는 것으로 입증되었습니다.
CN6140과 CN4010 모두 지연 시간은 단지 10마이크로초 미만의 아주 미미한 수준임을 알 수 있습니다.
High-end Fortinet 방화벽은 Low-end 방화벽 만큼지연 시간을 발생시키진 않았지만, IPsec을 비활성화한 상태로 CN4010을 사용하면 IPsec 암호화를 활성화한 방화벽을 사용할 때 측정된 것과 비교하여 지터는 48% 지연 시간은 15% 씩이나 감소하는 것으로 입증되었습니다.
테스트 및 확인 결과, 네트워크에 HSE를 추가하고 IPSec을 비활성화하면 실제로 IPsec이 활성화된 방화벽에서 발생하는 네트워크 전체 영향을 미치는 지연 시간과 지터가 오히려 감소하는 것으로 입증되었습니다.
Latency
Thales HSE 어플라이언스는 테스트를 통해 눈에 띌 만큼의 지연 시간 증가는 없는 것으로 입증되었습니다. CN6140과 CN4010 모두 지연 시간은 단지 10마이크로초 미만의 아주 미미한 수준임을 알 수 있습니다. High-end Fortinet 방화벽은 Low-end 방화벽 만큼지연 시간을 발생시키진 않았지만, IPsec을 비활성화한 상태로 CN4010을 사용하면IPsec 암호화를 활성화한 방화벽을 사용할 때 측정된 것과 비교하여 지터는 48% 지연 시간은 15% 씩이나 감소하는 것으로 입증되었습니다.
테스트 및 확인 결과, 네트워크에 HSE를 추가하고 IPSec을 비활성화 하면 실제로 IPsec이 활성화된 방화벽에서 발생하는 네트워크 전체 영향을 미치는 지연 시간과 지터가 오히려 감소하는 것으로 입증되었습니다
● Thales CN6140 및 CN4010 솔루션은 방화벽에서 모든 보안 기능이 활성화된 상태로 IPsec 암호화를 사용하는 것보다, 오히려 데이터 손실을 줄여 안전한 데이터 전송 면에서도 개선된 모습을 보였습니다.
Enterprise Mix of Traffic(EMIX) 상황에서도 처리량이나 지연 시간 저하가 전혀 발생하지 않았음이 입증되었습니다.
RFC 2544 Throughput Test
RFC 2544는 성능 테스트를 위해 설계된 벤치마크 테스트 방법론으로, throughput, latency, frame loss, and back-to-back frames 테스트를 포함합니다.
RFC 2544 테스트 모듈을 사용하면 사용자가 64~1518바이트 프레임의 패킷 크기에 대해 테스트할 수 있습니다. 처리량은 패킷 손실 없이 데이터가 이동할 수 있는 최고 속도를 측정하며, 이를 사용 가능한 대역폭이라고 합니다.
위의 차트는 토폴로지 구성이 다른 다양한 프레임 크기 트래픽 부하에 대한 표준 RFC 2544 처리량 테스트 결과를 보여줍니다.
* 첫 번째 막대"No Encryption"은 적용된 암호화 없이 보호된 처리량만 제공하는 방화벽 성능을 의미하며, 이는 방화벽이 Protected Throughput을 제공할 수 있는 가장 높은 비율입니다.
* 다음 막대 "IPSec Encryption"은 Protected Throughput(Security Service ON)을 제공하는 동시에 암호화를 제공하는 방화벽의 측정된 처리량을 의미합니다.
* 다음 막대인 "Thales CN6140 Encryption"은 암호화 서비스를 제공하는 HSE와 함께 사용되는 HSE 암호화 또는 방화벽의 Protected Encrypted Throughput을 의미합니다.
* 마지막 막대 "Thales CN6140 Maximum"은 HSE 암호화기가 10GE FDX 링크에 대해 테스트 한 최대처리량 성능을 의미합니다. CN6140 모델은 4 x 10GE FDX 링크의 용량을 가지고 있습니다
● Thales HSE 어플라이언스는 IPsec 기반 방화벽보다 프레임 손실이 1.5% 더 적게 발생함을 증명했습니다.
IPsec은 Processor 및 Memory 할당을 포함한 방화벽 리소스를 과도하게 점유하므로 인해 한계가 있는 것입니다.
HSE Encryptor를 적용하고 IPsec을 비활성화하면 방화벽에서 암호화 처리를 offload 함으로써 보다 안정적인 전송이 보장됨을 입증하였습니다.
● 키 관리 기능은 Key 순환을 자동화함으로써 안전한 데이터 전송을 보장하여 기업이 데이터 보안과 IT 효율성을 개선할 수 있도록 합니다. 이는 HSE Encryptor 만의 고유 기능으로 확인되는 반면, NGFW 제품만의 고유한 기능은 찾을 수 없었습니다
Miercom은 CN6140 Multilink Network Encryptor 및 CN4010 Network Encryptor의 실제 테스트에서 Thales 보안 제품이 탁월한 효율성과 우수한 암호화 처리량 성능을 제공한다는 것을 검증하였습니다.
Thales HSE 솔루션이 제공하는 High-Speed Encryption은 IPsec 암호화보다 더 뛰어난 보안 및 암호화 성능이 보장됨이 입증되었습니다.
이러한 결과에 의거 Thales의 High-Speed Encryptor는 Miercom Certified Secure를 수상했습니다.
Conclusion
Thales HSE 네트워크 기술, 특히 Thales CN6140 Multi-link Network Encryptor와 Thales CN4010 Network Encryptor에 대한 이 평가는 기존 IPsec 암호화에 비해 뛰어난 성능과 비용 효율성을 보여줍니다.
결과에 따르면 HSE를 네트워크에 추가하고 IPSec을 비활성화 하면 방화벽으로 인해 발생하는 네트워크 지연과 지터가 실제로 줄어들어 궁극적으로 더 나은 네트워크 효율성, 안정성 및 전반적인 보안을 제공합니다.
CN6140과 CN4010 에서의 지연은 모두 10 마이크로초 미만의 미미한 수준입니다. 상위 모델 Fortinet 방화벽은 하위 모델 방화벽만큼 지연을 발생시키진 않았지만, IPsec을 비활성화 하고 CN4010을 적용하면, IPsec 암호화를 활성화한 방화벽을 사용할 때 측정한 것보다 지터가 48% 감소하고 지연이 15% 감소했습니다. 결과에 따르면 HSE를 네트워크에 추가하고 IPSec을 비활성화 하면 IPsec을 활성화한 방화벽으로 인해 발생하는 네트워크의 지연과 지터가 실제로 전반적으로 줄어듭니다.
Thales CN6140 Multi-link Network Encryptor는 10Gbps의 UTM 모드에서 IPsec 암호화를 사용하는 방화벽에 비해 방향별 처리량에서 평균 31.6% 더 나은 성능을 달성합니다. 또한 데이터 손실을 줄여 안전한 데이터 전송을 보장하고 전송 성능을 향상시킵니다. 또한 Thales CN4010 네트워크 암호화기는, 1Gbps의 UTM 모드에서 IPsec 암호화를 사용하는 방화벽에 비해 평균 21.6% 더 나은 성능을 보여줍니다. CN6140과 CN4010은 모두 프레임 크기에 관계없이 전반적으로 더 높은 Protected Encrypted Throughput을 보였습니다.
Thales HSE 장치는 성능 저하가 없으며, 암호화를 제공하는 방화벽에 비해 트래픽 프로파일의 암호화된 처리량 성능이 평균 21~31% 향상됩니다. 이러한 장치는 EMIX(Enterprise Mix of Traffic) 환경에서 오히려 탁월한 처리량 성능을 제공하며 애플리케이션 트랜잭션 오류 발생이 없으며 처리량이나 지연 시간 저하가 감지되지 않습니다. Thales HSE 장치는 HSE가 포함된 방화벽에 비해 프레임 손실이 1.5% 적으며, 보다 안정적인 데이터 전송을 보장합니다.
Thales HSE 어플라이언스는 방화벽 업그레이드에 비해 상당한 절감 효과를 제공합니다. 특히 시간이 지남에 따른 라이선스 비용과 업그레이드 구성, 대폭적인 업그레이, 아키텍처 변경 및 대역폭 자체 비용과 관련된 오버헤드를 포함하여 더 높은 용량의 방화벽으로 업그레이드하는 데 드는 추가 비용을 고려할 때 더욱 그렇습니다.
Thales 시스템에는 고유한 Key 순환 및 Key 교환 시스템을 갖춘 고급 암호화 기술이 반영되어 On-premise, Cloud 및 Hybrid 환경에서 안전한 데이터 전송 제공과 규정 준수를 보장합니다.
HSE는 방화벽 벤더에 구애받지 않으며, 기존 네트워크 아키텍처에 쉽게 통합되므로 네트워크 성능과 보안에 대한 최적의 투자 수익을 얻고자 하는 고객에게 전반적으로 우수한 솔루션입니다.
이러한 결과를 바탕으로
고성능과 비용 효율성을 유지하면서 네트워크 보안을 강화하려는 기업은 Thales HSE 네트워크 암호화 기술을 구축하는 것을 고려할 필요가 있습니다. Thales CN6140 Multi-link Network Encryptor와 CN4010 Network Encryptor는 IPsec 암호화에 비해 상당한 성능 향상을 제공하여 최소한의 지연 시간과 프레임 손실로 효율적이고 안전한 데이터 전송을 보장합니다. 이러한 장치는 금융 서비스, 의료, 대기업 또는 다중 클라우드/하이브리드 환경에서 민감한 데이터를 관리하고 네트워크 운영에서 높은 처리량과 낮은 지연 시간을 필요로 하는 정부 기관과 같은 조직에 특히 적합합니다
Thales HSE Outperforms Firewall Encryption and Improves Network Efficiency
이 동영상은 선도적이며 독립적인 네트워크 제품 테스트 센터인 Miercom의 심층 연구에서 얻은 주요 결과에 대한 hightight 입니다. Thales 고속 암호화(HSE)가 기존 방화벽 암호화 솔루션을 능가하는 뛰어난 속도, 단축된 지연 시간 및 우수한 보안을 제공하는 방법을 확인하시기 바랍니다.
Products Evaluated
방화벽 암호화는 리소스 중심으로 의존적입니다. 반면 Thales High Speed Encryption (HSE) 어플라이언스는 방화벽에 대한 부담을 없애기 위해 안전한 전용 데이터 암호화를 제공하여 방화벽을 업그레이드 할 필요 없이,더 높은 처리량과 암호화 성능을 가능케 하고, 심지어 방화벽 성능이 개선된 결과를 보이도록 합니다.
Thales CN6140 Multi-link Network Encryptor
The CN6140 is a multi-port, high assurance encryptor that provides up to 40 Gbps (4x10G) full-line rate encryption for all communications including voice, video, and data.
Thales CN4010 Network Encryptor
The CN4010 is designed for organizations with lower speed links, up to 1 Gbps network needs
, and a small footprint, for all communications including voice, video and data.
위의 다이어그램은 두 개의 Fortinet 방화벽 사이의 Thales HSE를 보여줍니다.
Thales CN6140 및 Thales CN4010 모델을 사용하여 반복 테스트를 진행하였습니다. 네트워크 부하 트래픽은 Apposite Traffic Generator를 사용하여 표준 RFC-2544 방식를 적용하고, IMIX (Internet Mix 7 - 64바이트, 4 - 512바이트, 1 - 1518 바이트 프레임)에 맞게 트래픽을 분산하여 제공했습니다.
방화벽은 full UTM 모드(보안 기능 활성화)로 구성했습니다.
먼저 방화벽의 IPsec 암호화 터널(상위 경로 VPN 터널)을 통해 테스트 하고, 다음으로 방화벽을 HSE에 연결하여 해당 장치가 암호화를 제공할 수 있도록 테스트를 반복한 후 암호화 성능 처리량의 결과를 비교해 보았습니다.
Executive Summary
Thales는 Miercom과 협력하여 HSE(High Speed Encryption) 네트워크 기술에 대한 검토를 수행했습니다.
테스트된 장치는 Thales CN6140 Multilink Network Encryptor(CN6140)와 Thales CN4010 Network Encryptor(CN4010)였습니다. 테스트는 방화벽이 있는 기존 네트워크가 있는 기업에 채용된 HSE의 이점을 보여주기 위해 처리량 성능과 데이터 무결성 테스트로 구성되었습니다. 전반적으로 Thales HSE는 기존 방화벽 제품을 동등한 용량으로 업그레이드하는 것에 비해 암호화된 성능에서 더 큰 효율성과 비용 효율성을 입증했습니다.
조사 결과는 네트워크에 HSE를 추가하고 IPSec을 비활성화하면 실제로 방화벽으로 인해 발생하는 네트워크의 지연 시간과 지터가 줄어들어 네트워크 효율성, 안정성 및 보안이 전반적으로 향상된다는 것을 보여주었습니다.
HSE는 네트워크 인프라 장치 벤더에 구애받지 않고 기존 네트워크 아키텍처에 쉽게 통합되므로 네트워크 성능과 보안에 대한 최적의 투자 수익을 얻고자 하는 고객에게 전반적으로 우수한솔루션입니다.
Key Findings:
● 양방향 Throughput 테스트를 통해 Thales CN6140 Multi-link Network Encryptor는 10Gbps의 UTM(Unified Threat Management) 모드에서 IPsec 암호화를 사용하는 동일한 용량의 방화벽보다 평균 31.6% 더 나은 성능을 제공한다는 것이 입증되었습니다.
IPsec 처리량은 사용 가능한 링크 용량의 76%에 불과했으며, 이는 방화벽 처리량에 의해 제한되고, 이는 사용 가능한 대역폭의 24%가 제한 및 낭비됨을 의미합니다.
반면 HSE Encrypted Throughput 성능은 최대 링크 용량의 99.8% 달하며, 이는 방화벽 처리량에 의한 제한일 뿐입니다.
암호화에 필요한 필수 오버헤드로 인해 0.2%의 차이가 발생합니다. 더 높은 성능의 방화벽을 사용한다면 CN6140의 처리량은 거의 완전한 10G 링크 용량에서완벽하게 작동할 수 있습니다.
CN6140 Multilink Network Encryptor Throughput Performance
● 양방향 Throughput 테스트를 통해 Thales CN4010 Network Encryptor는 동일한 용량의 방화벽이 1Gbps의 UTM 모드에서 IPsec 암호화를 사용하는 것보다 평균 21.6% 더 나은 성능을 제공한다는 것이 입증되었습니다.
IPsec 처리량은 사용 가능한 링크 용량의 82%에 불과 했으며, 이는 방화벽 처리량에 의해 제한되며, 이는 사용 가능한 대역폭의 18% 가 제한 및 낭비됨을 의미합니다.
반면 HSE 암호화 처리량은 최대 링크 용량의 99.8%이며, 이는 방화벽 처리 용량의 제한일 뿐입니다.
암호화에 필요한 필수 오버헤드로 인해 0.2%의 차이가 발생합니다. 더 높은 성능의 방화벽을 사용할 경우 CN4010의 처리량은 전체 1G 링크 용량에서 완벽하게 작동할 수 있습니다.
CN4010 Multilink Network Encryptor Throughput Performance
● Bi-directional Throughput 테스트를 통해 Thales HSE 어플라이언스는 암호화가 활성화된 방화벽의 성능에 비해 성능 저하가 전혀 없음이 입증되었으며, Thales HSE 의 암호화된 처리량 성능은, 암호화를 제공하는 방화벽에 비해 오히려 21~31% 더 향상된 성능을 제공 한다는 것이 입증되었습니다
Thales HSE 어플라이언스는 세계적으로 가장 안전하게 보호되는 조직에서 선호하는 솔루션으로써, 표준 기반의 종단 간 Authenticated Encryption과 Client-side 키 관리를 지원합니다.
향상되고 고도화 된 암호화에 민첩한(Crypto-agile) 보안 기능에는 'Traffic flow security' 및 'Wide range of Elliptic-curves (Safe Curves, Brainpool, NIST)' 지원이 포함 됩니다. VLAN 기반 암호화는 허브(Hub) 및 스포크(Spoke) 환경에서 잘못 구성된 트래픽으로부터의 보호를 위해 고유한 Key pairs를 제공합니다. 고 신뢰의 보증을 요하는 환경의 경우 다중 Encryptor 적용을 통해 중첩 암호화(nested encryption) 를 지원합니다.
Thales HSE 는 NIST – FIPS 140-2 Level 3 인증 완료 및 FIPS 140-3 인증 진행 중이며 ,ANSSI – Common Criteria EAL 4+ 인증 완료, 미국 국방부 정보 시스템국 및 NATO 등으로부터도 검증 되었습니다. Thales HSE는 Authenticated End-to-End Encryption, Automated Key Generation and Update, 접근/접속제어(Controlled Access - 직무 분리) 등과 같은 보안 모범 사례를 준수합니다.
암호화 민첩성 - Thales HSE는 양자 기반 환경 적용을 위한 Quantum Ready 상태이며, NIST PQC(Post Quantum Crypto) 알고리즘 최종 후보 4개를 모두 현장에서 바로 업그레이드 반영할 수 있도록 이미 구현 및 반영되어 제공되고 있습니다.
● Thales HSE 어플라이언스는 테스트를 통해 눈에 띌 만큼의 지연 시간 증가는 없는 것으로 입증되었습니다.
CN6140과 CN4010 모두 지연 시간은 단지 10마이크로초 미만의 아주 미미한 수준임을 알 수 있습니다.
High-end Fortinet 방화벽은 Low-end 방화벽 만큼지연 시간을 발생시키진 않았지만, IPsec을 비활성화한 상태로 CN4010을 사용하면 IPsec 암호화를 활성화한 방화벽을 사용할 때 측정된 것과 비교하여 지터는 48% 지연 시간은 15% 씩이나 감소하는 것으로 입증되었습니다.
테스트 및 확인 결과, 네트워크에 HSE를 추가하고 IPSec을 비활성화하면 실제로 IPsec이 활성화된 방화벽에서 발생하는 네트워크 전체 영향을 미치는 지연 시간과 지터가 오히려 감소하는 것으로 입증되었습니다.
Thales HSE 어플라이언스는 테스트를 통해 눈에 띌 만큼의 지연 시간 증가는 없는 것으로 입증되었습니다. CN6140과 CN4010 모두 지연 시간은 단지 10마이크로초 미만의 아주 미미한 수준임을 알 수 있습니다. High-end Fortinet 방화벽은 Low-end 방화벽 만큼지연 시간을 발생시키진 않았지만, IPsec을 비활성화한 상태로 CN4010을 사용하면IPsec 암호화를 활성화한 방화벽을 사용할 때 측정된 것과 비교하여 지터는 48% 지연 시간은 15% 씩이나 감소하는 것으로 입증되었습니다.
테스트 및 확인 결과, 네트워크에 HSE를 추가하고 IPSec을 비활성화 하면 실제로 IPsec이 활성화된 방화벽에서 발생하는 네트워크 전체 영향을 미치는 지연 시간과 지터가 오히려 감소하는 것으로 입증되었습니다
● Thales CN6140 및 CN4010 솔루션은 방화벽에서 모든 보안 기능이 활성화된 상태로 IPsec 암호화를 사용하는 것보다, 오히려 데이터 손실을 줄여 안전한 데이터 전송 면에서도 개선된 모습을 보였습니다.
● Thales HSE 네트워크 암호화 어플라이언스는 "ZERO - Application Transaction Failures"를 달성했습니다.
Enterprise Mix of Traffic(EMIX) 상황에서도 처리량이나 지연 시간 저하가 전혀 발생하지 않았음이 입증되었습니다.
RFC 2544는 성능 테스트를 위해 설계된 벤치마크 테스트 방법론으로,
throughput, latency, frame loss, and back-to-back frames 테스트를 포함합니다.
RFC 2544 테스트 모듈을 사용하면 사용자가 64~1518바이트 프레임의 패킷 크기에 대해 테스트할 수 있습니다.
처리량은 패킷 손실 없이 데이터가 이동할 수 있는 최고 속도를 측정하며, 이를 사용 가능한 대역폭이라고 합니다.
위의 차트는 토폴로지 구성이 다른 다양한 프레임 크기 트래픽 부하에 대한 표준 RFC 2544 처리량 테스트 결과를 보여줍니다.
* 첫 번째 막대 "No Encryption"은 적용된 암호화 없이 보호된 처리량만 제공하는 방화벽 성능을 의미하며, 이는 방화벽이 Protected Throughput을 제공할 수 있는 가장 높은 비율입니다.
* 다음 막대 "IPSec Encryption"은 Protected Throughput(Security Service ON)을 제공하는 동시에 암호화를 제공하는 방화벽의 측정된 처리량을 의미합니다.
* 다음 막대인 "Thales CN6140 Encryption"은 암호화 서비스를 제공하는 HSE와 함께 사용되는 HSE 암호화 또는 방화벽의 Protected Encrypted Throughput을 의미합니다.
* 마지막 막대 "Thales CN6140 Maximum"은 HSE 암호화기가 10GE FDX 링크에 대해 테스트 한 최대처리량 성능을 의미합니다. CN6140 모델은 4 x 10GE FDX 링크의 용량을 가지고 있습니다
● Thales HSE 어플라이언스는 IPsec 기반 방화벽보다 프레임 손실이 1.5% 더 적게 발생함을 증명했습니다.
IPsec은 Processor 및 Memory 할당을 포함한 방화벽 리소스를 과도하게 점유하므로 인해 한계가 있는 것입니다.
HSE Encryptor를 적용하고 IPsec을 비활성화하면 방화벽에서 암호화 처리를 offload 함으로써 보다 안정적인 전송이 보장됨을 입증하였습니다.
● 키 관리 기능은 Key 순환을 자동화함으로써 안전한 데이터 전송을 보장하여 기업이 데이터 보안과 IT 효율성을 개선할 수 있도록 합니다. 이는 HSE Encryptor 만의 고유 기능으로 확인되는 반면, NGFW 제품만의 고유한 기능은 찾을 수 없었습니다
Miercom은 CN6140 Multilink Network Encryptor 및 CN4010 Network Encryptor의 실제 테스트에서 Thales 보안 제품이 탁월한 효율성과 우수한 암호화 처리량 성능을 제공한다는 것을 검증하였습니다.
Thales HSE 솔루션이 제공하는 High-Speed Encryption은 IPsec 암호화보다 더 뛰어난 보안 및 암호화 성능이 보장됨이 입증되었습니다.
이러한 결과에 의거 Thales의 High-Speed Encryptor는 Miercom Certified Secure를 수상했습니다.
Conclusion
Thales HSE 네트워크 기술, 특히 Thales CN6140 Multi-link Network Encryptor와 Thales CN4010 Network Encryptor에 대한 이 평가는 기존 IPsec 암호화에 비해 뛰어난 성능과 비용 효율성을 보여줍니다.
결과에 따르면 HSE를 네트워크에 추가하고 IPSec을 비활성화 하면 방화벽으로 인해 발생하는 네트워크 지연과 지터가 실제로 줄어들어 궁극적으로 더 나은 네트워크 효율성, 안정성 및 전반적인 보안을 제공합니다.
CN6140과 CN4010 에서의 지연은 모두 10 마이크로초 미만의 미미한 수준입니다. 상위 모델 Fortinet 방화벽은 하위 모델 방화벽만큼 지연을 발생시키진 않았지만, IPsec을 비활성화 하고 CN4010을 적용하면, IPsec 암호화를 활성화한 방화벽을 사용할 때 측정한 것보다 지터가 48% 감소하고 지연이 15% 감소했습니다. 결과에 따르면 HSE를 네트워크에 추가하고 IPSec을 비활성화 하면 IPsec을 활성화한 방화벽으로 인해 발생하는 네트워크의 지연과 지터가 실제로 전반적으로 줄어듭니다.
Thales CN6140 Multi-link Network Encryptor는 10Gbps의 UTM 모드에서 IPsec 암호화를 사용하는 방화벽에 비해 방향별 처리량에서 평균 31.6% 더 나은 성능을 달성합니다. 또한 데이터 손실을 줄여 안전한 데이터 전송을 보장하고 전송 성능을 향상시킵니다. 또한 Thales CN4010 네트워크 암호화기는, 1Gbps의 UTM 모드에서 IPsec 암호화를 사용하는 방화벽에 비해 평균 21.6% 더 나은 성능을 보여줍니다. CN6140과 CN4010은 모두 프레임 크기에 관계없이 전반적으로 더 높은 Protected Encrypted Throughput을 보였습니다.
Thales HSE 장치는 성능 저하가 없으며, 암호화를 제공하는 방화벽에 비해 트래픽 프로파일의 암호화된 처리량 성능이 평균 21~31% 향상됩니다. 이러한 장치는 EMIX(Enterprise Mix of Traffic) 환경에서 오히려 탁월한 처리량 성능을 제공하며 애플리케이션 트랜잭션 오류 발생이 없으며 처리량이나 지연 시간 저하가 감지되지 않습니다. Thales HSE 장치는 HSE가 포함된 방화벽에 비해 프레임 손실이 1.5% 적으며, 보다 안정적인 데이터 전송을 보장합니다.
Thales HSE 어플라이언스는 방화벽 업그레이드에 비해 상당한 절감 효과를 제공합니다. 특히 시간이 지남에 따른 라이선스 비용과 업그레이드 구성, 대폭적인 업그레이, 아키텍처 변경 및 대역폭 자체 비용과 관련된 오버헤드를 포함하여 더 높은 용량의 방화벽으로 업그레이드하는 데 드는 추가 비용을 고려할 때 더욱 그렇습니다.
Thales 시스템에는 고유한 Key 순환 및 Key 교환 시스템을 갖춘 고급 암호화 기술이 반영되어 On-premise, Cloud 및 Hybrid 환경에서 안전한 데이터 전송 제공과 규정 준수를 보장합니다.
HSE는 방화벽 벤더에 구애받지 않으며, 기존 네트워크 아키텍처에 쉽게 통합되므로 네트워크 성능과 보안에 대한 최적의 투자 수익을 얻고자 하는 고객에게 전반적으로 우수한 솔루션입니다.
이러한 결과를 바탕으로
고성능과 비용 효율성을 유지하면서 네트워크 보안을 강화하려는 기업은 Thales HSE 네트워크 암호화 기술을 구축하는 것을 고려할 필요가 있습니다. Thales CN6140 Multi-link Network Encryptor와 CN4010 Network Encryptor는 IPsec 암호화에 비해 상당한 성능 향상을 제공하여 최소한의 지연 시간과 프레임 손실로 효율적이고 안전한 데이터 전송을 보장합니다. 이러한 장치는 금융 서비스, 의료, 대기업 또는 다중 클라우드/하이브리드 환경에서 민감한 데이터를 관리하고 네트워크 운영에서 높은 처리량과 낮은 지연 시간을 필요로 하는 정부 기관과 같은 조직에 특히 적합합니다
문의: (주)한빛에스아이, 02)579-1904
Sales: 유제호 상무 / jhyu@hanvitsi.com
Tech: 김태수 상무 / tskim@hanvitsi.com