Но если такая система будет работать слишком медленно, он обратится к услугам другого сервера.
Самые крупные и непроизводительные затраты ресурсов Web-сервера идут на шифрование данных. Центральный процессор вынужден затрачивать на него время, которое он мог бы посвятить обработке транзакций; кроме того, снижается число одновременно обрабатываемых транзакций. «Полусонная» реакция Web-узла настолько раздражает пользователей, что они просто покидают его. А малое число обращений приближает крах вашего электронного бизнеса.
Однако сегодня на рынке есть специальные аппаратные средства, называемые ускорителями шифрования (криптоускорителями). Они самостоятельно осуществляют шифрование, освобождая ресурсы Web-сервера для обработки транзакций, причем выполняют все необходимые для этого расчеты намного быстрее, чем сервер. Конечно, данные платы не из дешевых: их средняя стоимость составляет 10 тыс. долл. И если влияние криптоускорителя на производительность системы не слишком велико, затраты могут не оправдаться. Именно для того, чтобы прояснить этот вопрос, мы и затеяли тестирование аппаратных ускорителей шифрования.
Была исследована работа двух продуктов — Force 300 фирмы nCipher и CryptoSwift 600 от Rainbow Tchnologies. Компания Phobos отказалась предоставить свою плату IN-Boost; официальная мотивировка: ее последний вариант не успевает выйти к началу тестирования. За великолепные функциональные характеристики, полную управляемость, простоту использования и высокую производительность «Голубую ленту» завоевал продукт CryptoSwift 600, но и nForce 300 продемонстрировал хорошие эксплуатационные возможности и масштабируемость при несколько меньшей цене.
Суть дела
В качестве исходных для тестирования были приняты функциональные характеристики Web-серверов, не оснащенных платами криптоускорителя. Мы обнаружили, что наш «чистый» сервер с двумя 350-Мгц процессорами Pentium обеспечивает обработку примерно 14 защищенных транзакций в секунду и среднее время отклика около 5 с. Когда частота запросов увеличилась до 200 в секунду, произошел сбой. Использование каждого из криптоускорителей позволило увеличить число обрабатываемых транзакций в 10 раз. Рекордом CryptoSwift 600 оказались 230 защищенных транзакций в секунду, а nForce 300 справлялся только со 190. В сущности, CryptoSwift 600 превосходит nForce 300 по всем рабочим параметрам: помимо количества транзакций это и меньшее время отклика, и большее число одновременно поддерживаемых соединений. Зато плата nForce 300 полностью защищена от внешнего воздействия и заключена в полимерный кожух, что не дает возможности посторонним «соваться» в схемы (СryptoSwift не имеет какого-либо покрытия). Правда, если кто-то проникнет в помещение, где находится ваш сервер, у вас найдутся более серьезные причины для беспокойства, нежели наличие защитного кожуха у криптоускорителя.
Вопросы управления
Обе платы относительно просто инсталлировать и конфигурировать. Здесь несколько впереди оказалась CryptoSwift 600, так как ее Windows-интерфейс несколько более интуитивно понятный. Однако установочные компакт-диски для nForce 300 содержат не только все драйверы, но и «заплаты», необходимые для инсталляции, в то время как CD-ROM для CryptoSwift 600 не столь совершенны. Этот факт мы не сочли серьезным недостатком, поскольку представитель Rainbow Technologies сообщил, что в настоящее время компания обновляет установочные диски.
Процедуры инсталляции обоих продуктов практически одинаковы. Главные различия состоят в их функциях управления и возможностях масштабирования. Платы поступили с наборами разнообразных утилит; они предназначены для оказания помощи администраторам сетей в диагностике криптоускорителей и решении проблем, возникающих при работе с ними. CryptoSwift оснащена также средствами мониторинга, которые позволяют контролировать номера алгоритмов шифрования RSA, назначенные для платы, а также оценивать степень загрузки Web-серверов для предотвращения сбоев. Мы нашли эти средства очень полезными для прогнозирования и планирования сетевого трафика. Плата nForce не имеет таких механизмов, хотя представители nCipher заявляют, что в будущем компания намерена пополнить ее утилиты средствами мониторинга.
Теперь о масштабируемости продуктов. PCI-разъемы обеих плат дают возможность «вместить» в сервер столько же ускорителей, сколько в нем имеется PCI-слотов. Интерфейс Fast SCSI-2, которым оснащен nForce 300, обеспечивает установку в сервер до семи плат nForce 300. CryptoSwift 600 не располагает SCSI-интерфейсом, он поставляется с внешним блоком, который подключается к серверам через порт Ethernet. Таким образом, благодаря более высокому быстродействию SCSI-интерфейса масштабируемость nForce 300 лучше.
Документация
Ее качество нельзя оценить как явное достоинство обоих продуктов, хотя на Web-узле nCipher есть все описания и «заплатки» для программы инсталляции nForce 300. Документация на CryptoSwift 600, мягко говоря, является скудной, а на Web-сервере Rainbow Technologies вместо дополнительной информации мы нашли сообщение о том, что из соображений безопасности компания не хранит документацию на своем узле.
* * *
В целом, работа обоих криптоускорителей произвела на нас хорошее впечатление. Учитывая, что применение таких плат повышает производительность сервера более чем в 10 раз, мы настоятельно рекомендуем оснастить ими все серверы электронной коммерции. При этом следует иметь в виду, что CryptoSwift 600, хотя и стоит почти столько же, сколько nForce 300, превосходит последний продукт по производительности, функциям управления и простоте инсталляции.
ОБ АВТОРЕ
Тере Бракко (Tere Bracco) — главный аналитик в области инфраструктуры корпоративных сетей компании Current Analysis. Её адрес: tbracco@currentanalysis.com.
CryptoSwift 600
Производитель: Rainbow Technologies, www.rainbow.com
Стоимость: 12 989 долл.
Достоинства: отличные производительность и средства управления
Недостатки: неполная документация, плата не защищена от внешнего воздействия
Итоговая оценка: 8,0
nForce 300
Производитель: nCipher, www.ncipher.com
Стоимость: 10 850 долл. (PCI), 12 050 долл. (SCSI)
Достоинства: хорошая производительность, наличие защитного кожуха и полной документации
Недостатки: быстродействие ниже, чем у CryptoSwift, нет средств мониторинга
Итоговая оценка: 7,30
Как проводилось тестирование
Мы инсталлировали Microsoft Internet Information Server (IIS) 4.0 на сервере с двумя процессорами Pentium II (350 Мгц), работающем под ОС Windows NT Server 4.0 Service Pack 5a. В качестве исходных были приняты характеристики, присущие центральному процессору при работе без аппаратных средств криптографического ускорения (время отклика сервера и максимальное число вызовов, которое IIS может обработать). Тестирование проводилось на незащищенном и защищенном Web-сервере. Максимальное количество запросов, обработанных в секунду, составило около 250.
Каждую криптоускорительную плату мы инсталлировали отдельно и затем осуществляли процедуру тестирования. В нее входило сравнение скорости обработки транзакций при работе по протоколам SSL (Secure Sockets Layer) и SET (Secure Electronic Transaction). Используя ключи длиной 1024 и 512 бит, мы направляли запросы от 2500 виртуальных клиентов, «созданных» на 16 рабочих станциях с процессором Pentium II (350 МГц), по коммутируемой сети с пропускной способностью 100 Мбит/с. Измерения проводились при величинах интенсивности запросов 100, 300, 600 и 1000 в секунду.
Результаты тестирования криптоускорителей CryptoSwift 600 и nForce 300 (длина ключа 1024 бит, 30-секундный тест) |