En enero y en marzo de 2023, publicamos sendos blogs en los que comparábamos el rendimiento de las soluciones Zero Trust de Cloudflare frente a las de sus competidores. La conclusión en ambos casos fue que Cloudflare era más rápido que Zscaler y Netskope en diversos escenarios Zero Trust. Durante la Speed Week, hemos recuperado estas pruebas y hemos subido la apuesta. Hemos probado un mayor número de proveedores en más puntos finales públicos de Internet y en más regiones que en el pasado.
Para ello, probamos tres escenarios Zero Trust: la puerta de enlace web segura (SWG), el acceso a la red Zero Trust (ZTNA) y el aislamiento remoto del navegador (RBI). Realizamos pruebas contra tres competidores: Zscaler, Netskope y Palo Alto Networks. Probamos estos escenarios desde 12 regiones de todo el mundo, frente a las cuatro con las que lo habíamos hecho anteriormente. Los resultados revelan que Cloudflare prevalece sobre los demás proveedores con la puerta de enlace web segura más rápida en el 42 % de los escenarios de prueba. En los escenarios de acceso a la red Zero Trust, Cloudflare es un 46 % más rápido que Zscaler, un 56 % más rápido que Netskope y un 10 % más rápido que Palo Alto, así como un 64 % más rápido que Zscaler en los escenarios de aislamiento remoto del navegador.
En este blog, repasaremos por qué es importante el rendimiento, analizaremos en detalle qué nos hace más rápidos en cada escenario y hablaremos de cómo medimos el rendimiento de cada producto.
El rendimiento es un vector de amenaza
El rendimiento de las soluciones Zero Trust es importante, ya que si es deficiente, los usuarios lo desactivan, exponiendo a las organizaciones a grandes riesgos. Los servicios Zero Trust deben ser imperceptibles, de lo contrario, impedirán a los usuarios realizar su trabajo.
Los servicios Zero Trust pueden incluir muchas funciones que ayuden a proteger a los clientes, pero nada de eso importa si los usuarios no pueden utilizar los servicios para hacer su trabajo con rapidez y eficacia. Un rendimiento rápido ayuda a promover la implementación y hace que la seguridad sea imperceptible para los usuarios finales. En Cloudflare, priorizamos el desarrollo de productos rápidos y sencillos, y los resultados hablan por sí solos. Así que pasemos ahora a los resultados, empezando por nuestra puerta de enlace web segura.
Cloudflare Gateway: seguridad en Internet
Una puerta de enlace web segura debe ser rápida porque actúa como un embudo para todo el tráfico de entrada a Internet de una organización. Si una puerta de enlace web segura es lenta, el tráfico de los usuarios a Internet también lo será. Si el tráfico que sale a Internet es lento, los usuarios experimentarán una velocidad de carga de páginas deficiente, sus videollamadas serán inestables o se cortarán o, lo que es peor, no podrán realizar su trabajo. Los usuarios pueden decidir desconectar la puerta de enlace, exponiendo así a la organización al riesgo de ataques.
Una puerta de enlace web eficaz no solo debe estar cerca de los usuarios, sino estar correctamente emparejada al resto de Internet. Esta ventaja evita las rutas lentas a los sitios web a los que los usuarios quieren acceder. Muchos sitios web utilizan CDN para acelerar sus contenidos y ofrecer mejores experiencias. Estas CDN suelen estar bien interconectadas e integradas en redes de última milla. Sin embargo, el tráfico a través de una puerta de enlace web segura sigue una ruta de proxy de reenvío. Los usuarios se conectan al proxy, y este, a su vez, se conecta a los sitios web a los que los usuarios intentan acceder. Si ese proxy no está tan bien emparejado como lo están los sitios web de destino, el tráfico del usuario podría recorrer mayor distancia para llegar al proxy de lo que habría necesitado si solo se dirigiera al propio sitio web, creando así una horquilla, tal y como se demuestra en el diagrama siguiente:
Un proxy bien conectado garantiza que el tráfico del usuario recorra menos distancia, acelerándolo lo más posible.
En cuanto a los productos de puerta de enlace web segura, hemos comparado Cloudflare Gateway y el cliente WARP con los productos de Zscaler, Netskope y Palo Alto que realizan las mismas funciones. Los usuarios de Cloudflare se benefician de la integración de Gateway y la red de Cloudflare en las redes de última milla cercanas a los usuarios, ya que se interconecta con más de 12 000 redes. Se muestra esa mayor conectividad porque Cloudflare Gateway es la red más rápida en el 42 % de los escenarios probados:
| Número de escenarios de prueba en los que cada proveedor es el más rápido para el percentil 95 del tiempo de respuesta HTTP (cuanto más alto, mejor) | |
|---|---|
| proveedor | Escenarios en los que este proveedor es el más rápido |
| Cloudflare | 48 |
| Zscaler | 14 |
| Netskope | 10 |
| Palo Alto Networks | 42 |
Estos datos indican que somos más rápidos en más sitios web de más lugares que cualquiera de nuestros competidores. Para esta métrica, nos fijamos en el percentil 95 del tiempo de respuesta HTTP: cuánto tarda un usuario en pasar por el proxy, el tiempo que el proxy tarda en realizar una solicitud a un sitio web en Internet y en devolver la respuesta finalmente. Esta lectura es importante porque es una representación precisa de lo que ven los usuarios. Si observamos el percentil 95 de todas las pruebas, vemos que Cloudflare es un 2,5 % más rápido que Palo Alto Networks, un 13 % más rápido que Zscaler y un 6,5 % más rápido que Netskope.
| Percentil 95 del tiempo de respuesta HTTP en todas las pruebas | |
|---|---|
| proveedor | Respuesta del percentil 95 (m/s) |
| Cloudflare | 515 |
| Zscaler | 595 |
| Netskope | 550 |
| Palo Alto Networks | 529 |
Cloudflare se impone frente a sus competidores porque nuestro emparejamiento excepcional nos permite tener éxito en lugares donde otros no pudieron. Somos capaces de conseguir emparejamiento local en lugares del planeta de difícil acceso, lo que nos coloca en una posición de ventaja. Por ejemplo, echa un vistazo al rendimiento de Cloudflare frente a otros competidores en Australia, donde somos un 30 % más rápidos que el segundo proveedor más rápido:
Cloudflare establece excelentes relaciones de emparejamiento en países de todo el mundo. En Australia, podemos lograr emparejamiento local con todos los principales proveedores de Internet australianos, por lo que podemos ofrecer experiencias rápidas a muchos usuarios de todo el mundo. A nivel global, estamos emparejados con más de 12 000 redes, acercándonos todo lo que podemos a los usuarios finales para acortar el tiempo que las solicitudes pasan en la red pública de Internet. Este trabajo nos ha permitido anteriormente agilizar la entrega de contenidos a los usuarios, pero en un mundo Zero Trust, nos permite acortar el camino que siguen los usuarios para llegar a su puerta de enlace web segura, lo que significa que pueden acceder rápidamente a los servicios que necesitan.
Antes, cuando realizábamos estas pruebas, solo probábamos desde una única región de Azure hasta cinco sitios web. Los marcos de pruebas existentes, como Catchpoint, no son adecuados para esta tarea porque las pruebas de rendimiento requieren que ejecutes el cliente SWG en el punto final de prueba. También necesitábamos asegurarnos de que todas las pruebas se ejecutan en máquinas similares en los mismos lugares para medir el rendimiento lo mejor posible. De este modo, podemos medir las respuestas de extremo a extremo procedentes de la misma ubicación en la que se ejecutan ambos entornos de prueba.
En nuestra configuración de prueba para esta ronda de evaluaciones, implementamos cuatro máquinas virtuales en 12 regiones de nube, una junto a la otra. Una de ellas ejecutaba Cloudflare WARP conectado a nuestra puerta de enlace, y las otras tres ejecutaban ZIA, Netskope y Palo Alto Networks. Estas máquinas virtuales realizaban solicitudes cada cinco minutos a los 11 sitios web diferentes que se mencionan a continuación y registraban los tiempos del navegador HTTP para saber cuánto tardaba cada solicitud. A partir de estos datos, podemos obtener una vista significativa del rendimiento, disponible para el usuario. A continuación, puedes ver una matriz completa de las ubicaciones desde las que hicimos las pruebas, los sitios web que utilizamos y qué proveedor fue más rápido:
| Puntos finales | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Regiones SWG | Shopify | Walmart | Zendesk | ServiceNow | Sitio de Azure | Slack | Zoom | Box | M365 | GitHub | Bitbucket |
| Estados Unidos (este) | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | |||
| Estados Unidos (oeste) | Palo Alto Networks | Palo Alto Networks | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | |||
| Estados Unidos (sur-centro) | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | |||
| Brasil (sur) | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Zscaler | Zscaler | Palo Alto Networks | Cloudflare | Palo Alto Networks | Palo Alto Networks |
| Reino Unido (sur) | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks |
| India (centro) | Cloudflare | Cloudflare | Cloudflare | Palo Alto Networks | Palo Alto Networks | Cloudflare | Cloudflare | Cloudflare | |||
| Sudeste asiático | Cloudflare | Cloudflare | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Cloudflare | Cloudflare | |||
| Canadá (Central) | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Cloudflare | Zscaler |
| Suiza (norte) | Netskope | Zscaler | Zscaler | Cloudflare | Netskope | Netskope | Netskope | Netskope | Cloudflare | Cloudflare | Netskope |
| Australia (este) | Cloudflare | Cloudflare | Netskope | Cloudflare | Cloudflare | Cloudflare | Cloudflare | Cloudflare | |||
| Emiratos Árabes Unidos (Dubái) | Zscaler | Zscaler | Cloudflare | Cloudflare | Zscaler | Netskope | Palo Alto Networks | Zscaler | Zscaler | Netskope | Netskope |
| Sudáfrica (norte) | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Palo Alto Networks | Palo Alto Networks |
Las celdas en blanco indican que las pruebas realizadas en ese sitio web concreto no arrojaron resultados precisos o experimentaron fallos durante más del 50 % del periodo de prueba. Según estos datos, Cloudflare es generalmente más rápido, pero no tanto como nos gustaría. Todavía hay algunas áreas en las que tenemos que mejorar, concretamente en Sudáfrica, Emiratos Árabes Unidos y Brasil. Para la Semana aniversario que tendrá lugar en septiembre, queremos ser los más rápidos en todos estos sitios web en cada una de estas regiones, con lo que pasaremos de ser los más rápidos en el 54 % de las pruebas a serlo en el 79 % de ellas.
En resumen, Cloudflare Gateway sigue siendo la puerta de enlace web segura más rápida de Internet. Sin embargo, Zero Trust no es solo una puerta de enlace web segura. Hablemos del rendimiento de Cloudflare en los escenarios de acceso a la red Zero Trust.
Acceso instantáneo (Zero Trust)
El control de acceso debe ser fácil e imperceptible para el usuario. El mejor cumplido para una solución Zero Trust es que los empleados apenas noten que está ahí. Los servicios como Cloudflare Access protegen las aplicaciones a través de la red pública de Internet, permitiendo así un acceso de autenticación basado en roles, en lugar de depender de una VPN para restringir y proteger las aplicaciones. Esta forma de gestión del acceso es más segura, pero con un servicio ZTNA eficaz, puede ser incluso más rápida.
Cloudflare supera a nuestros competidores en este ámbito, ya que ha demostrado ser un 46 % más rápido que Zscaler, un 56 % más rápido que Netskope y un 10 % más rápido que Palo Alto Networks:
| Percentil 95 de los tiempos de respuesta HTTP de ZTNA | |
|---|---|
| proveedor | Percentil 95 del tiempo de respuesta HTTP (m/s) |
| Cloudflare | 1252 |
| Zscaler | 2388 |
| Netskope | 2974 |
| Palo Alto Networks | 1471 |
Para esta prueba, creamos aplicaciones alojadas en tres nubes diferentes en 12 ubicaciones distintas: AWS, GCP y Azure. Sin embargo, hay que señalar que Palo Alto Networks fue la excepción, ya que solo pudimos medirlas utilizando aplicaciones alojadas en una nube de dos regiones debido a problemas logísticos a la hora de organizar las pruebas: Estados Unidos (este) y Singapur.
Para cada una de estas aplicaciones, creamos pruebas desde Catchpoint que accedían a la aplicación desde 400 ubicaciones de todo el mundo. Cada uno de estos nodos de Catchpoint intentó dos acciones:
- Sesión nueva: inicio de sesión en una aplicación y recepción de un token de autenticación.
- Sesión existente: actualización de la página e inicio de sesión con las credenciales obtenidas previamente.
Queremos medir estos escenarios por separado, ya que si combináramos sesiones nuevas y existentes al analizar los valores del percentil 95, casi siempre estaríamos mirando a sesiones nuevas. Sin embargo, en aras de la exhaustividad, también mostraremos la latencia del percentil 95 de las sesiones nuevas y existentes en conjunto.
Cloudflare fue más rápido tanto en EE. UU. (este) como en Singapur, pero vamos a centrarnos en un par de regiones. Echemos un vistazo a una región donde los recursos están muy interconectados por igual entre los competidores: EE. UU. (este), concretamente Ashburn (Virginia).
En Ashburn (Virginia), Cloudflare supera ampliamente a Zscaler y Netskope en el percentil 95 del tiempo de respuesta HTTP de ZTNA:
| Percentil 95 de los tiempos de respuesta HTTP (m/s) para aplicaciones alojadas en Ashburn (Virginia) | |||
|---|---|---|---|
| AWS (Estados Unidos - este) | Total (m/s) | Sesiones nuevas (ms) | Sesiones existentes (ms) |
| Cloudflare | 2849 | 1749 | 1353 |
| Zscaler | 5340 | 2953 | 2491 |
| Netskope | 6513 | 3748 | 2897 |
| Palo Alto Networks | |||
| Azure (Estados Unidos - este) | |||
| Cloudflare | 1692 | 989 | 1169 |
| Zscaler | 5403 | 2951 | 2412 |
| Netskope | 6601 | 3805 | 2964 |
| Palo Alto Networks | |||
| GCP (Estados Unidos - este) | |||
| Cloudflare | 2811 | 1615 | 1320 |
| Zscaler | |||
| Netskope | 6694 | 3819 | 3023 |
| Palo Alto Networks | 2258 | 894 | 1464 |
Puedes observar que Palo Alto Networks supera a Cloudflare en las sesiones existentes (y, por tanto, en el percentil 95 general). Sin embargo, estas cifras son erróneas porque el comportamiento ZTNA de Palo Alto Networks es ligeramente distinto al nuestro, al de Zscaler o al de Netskope. Cuando realizan una nueva sesión, hace una interceptación completa de la conexión y devuelve una respuesta de sus procesadores en lugar de dirigir a los usuarios a la página de inicio de sesión de la aplicación a la que intentan acceder.
Esto significa que los tiempos de respuesta de la nueva sesión de Palo Alto Networks no miden realmente la latencia de extremo a extremo que buscamos. Por ello, sus cifras de latencia de sesión nueva y latencia de sesión total son erróneas, lo que significa que solo podemos compararnos significativamente con ellas en lo que respecta a la latencia de sesiones existentes. Si nos fijamos en estas últimas, cuando Palo Alto Networks actúa como acceso directo, Cloudflare sigue estando un 10 % por delante.
Lo mismo ocurre en Singapur, donde Cloudflare es un 50 % más rápido que Zscaler y Netskope, y también un 10 % más rápido que Palo Alto Networks en cuanto a las sesiones existentes:
| Percentil 95 de los tiempos de respuesta HTTP (m/s) para aplicaciones alojadas en Singapur | |||
|---|---|---|---|
| AWS (Singapur) | Total (m/s) | Sesiones nuevas (ms) | Sesiones existentes (ms) |
| Cloudflare | 2748 | 1568 | 1310 |
| Zscaler | 5349 | 3033 | 2500 |
| Netskope | 6402 | 3598 | 2990 |
| Palo Alto Networks | |||
| Azure (Singapur) | |||
| Cloudflare | 1831 | 1022 | 1181 |
| Zscaler | 5699 | 3037 | 2577 |
| Netskope | 6722 | 3834 | 3040 |
| Palo Alto Networks | |||
| GCP (Singapur) | |||
| Cloudflare | 2820 | 1641 | 1355 |
| Zscaler | 5499 | 3037 | 2412 |
| Netskope | 6525 | 3713 | 2992 |
| Palo Alto Networks | 2293 | 922 | 1476 |
Una crítica a estos datos podría ser que estamos añadiendo los tiempos de todos los nodos Catchpoint juntos en el percentil 95, y no estamos examinando el percentil 95 de los nodos Catchpoint en la misma región que la aplicación. También lo hemos analizado, y el rendimiento ZTNA de Cloudflare sigue siendo mejor. Si solo nos fijamos en los nodos Catchpoint con sede en Norteamérica, el rendimiento de Cloudflare es un 50 % superior al de Netskope, un 40 % mejor que el de Zscaler y un 10 % mayor que Palo Alto Networks en el percentil 95 para conexiones en caliente:
| Percentil 95 de los tiempos de respuesta HTTP de ZTNA para conexiones en caliente con ubicaciones de prueba en Norteamérica | |
|---|---|
| proveedor | Percentil 95 del tiempo de respuesta HTTP (m/s) |
| Cloudflare | 810 |
| Zscaler | 1290 |
| Netskope | 1351 |
| Palo Alto Networks | 871 |
Por último, algo que queríamos mostrar sobre el rendimiento de nuestra solución ZTNA era el rendimiento de Cloudflare por nube y por región. El siguiente gráfico muestra la matriz de proveedores de nubes y regiones probadas:
| Proveedor de ZTNA más rápido en cada proveedor de nube y región por percentil 95 del tiempo de respuesta HTTP | |||
|---|---|---|---|
| AWS | Azure | GCP | |
| Australia (este) | Cloudflare | Cloudflare | Cloudflare |
| Brasil (sur) | Cloudflare | Cloudflare | n/a |
| Canadá (Central) | Cloudflare | Cloudflare | Cloudflare |
| India (centro) | Cloudflare | Cloudflare | Cloudflare |
| Estados Unidos (este) | Cloudflare | Cloudflare | Cloudflare |
| Sudáfrica (norte) | Cloudflare | Cloudflare | n/a |
| Estados Unidos (sur-centro) | n/a | Cloudflare | Zscaler |
| Sudeste asiático | Cloudflare | Cloudflare | Cloudflare |
| Suiza (norte) | n/a | n/a | Cloudflare |
| Emiratos Árabes Unidos (Dubái) | Cloudflare | Cloudflare | Cloudflare |
| Reino Unido (sur) | Cloudflare | Cloudflare | Netskope |
| Estados Unidos (oeste) | Cloudflare | Cloudflare | n/a |
Identificamos algunas máquinas virtuales en algunas nubes que funcionaron mal y no arrojaron datos precisos. Sin embargo de las 30 regiones de nubes disponibles con datos precisos, Cloudflare fue el proveedor de ZT más rápido en 28 de ellas, lo que significa que fuimos más rápidos en el 93 % de las regiones de nubes probadas.
En resumen, Cloudflare también proporciona la mejor experiencia de acceso a la red Zero Trust. Pero, ¿qué hay del aislamiento remoto del navegador (RBI), la otra pieza del rompecabezas?
Aislamiento remoto del navegador, un navegador seguro alojado en la nube
Los productos de aislamiento remoto del navegador tienen una fuerte dependencia de la red pública: si tu conexión al producto de aislamiento remoto del navegador no es buena, tu experiencia con el navegador te parecerá rara y lenta. El aislamiento remoto del navegador depende extremadamente del rendimiento para que la experiencia de los usuarios sea fluida y normal: si todo es tan rápido como debería, los usuarios no deberían notar que están utilizando esta función.
Para esta prueba, volvemos a comparar Cloudflare con Zscaler. Aunque Netskope tiene una solución RBI, no pudimos probarla porque requiere un cliente SWG, lo que significa que no podríamos obtener con total exactitud las ubicaciones de prueba como haríamos al probar Cloudflare y Zscaler. Nuestras pruebas mostraron que Cloudflare es un 64 % más rápido que Zscaler en escenarios de navegación remota. A continuación, te mostramos una matriz del proveedor más rápido por nube y por región para nuestras pruebas de RBI:
| Proveedor de RBI más rápido en cada proveedor de nube y región por percentil 95 del tiempo de respuesta HTTP | |||
|---|---|---|---|
| AWS | Azure | GCP | |
| Australia (este) | Cloudflare | Cloudflare | Cloudflare |
| Brasil (sur) | Cloudflare | Cloudflare | Cloudflare |
| Canadá (Central) | Cloudflare | Cloudflare | Cloudflare |
| India (centro) | Cloudflare | Cloudflare | Cloudflare |
| Estados Unidos (este) | Cloudflare | Cloudflare | Cloudflare |
| Sudáfrica (norte) | Cloudflare | Cloudflare | |
| Estados Unidos (sur-centro) | Cloudflare | Cloudflare | |
| Sudeste asiático | Cloudflare | Cloudflare | Cloudflare |
| Suiza (norte) | Cloudflare | Cloudflare | Cloudflare |
| Emiratos Árabes Unidos (Dubái) | Cloudflare | Cloudflare | Cloudflare |
| Reino Unido (sur) | Cloudflare | Cloudflare | Cloudflare |
| Estados Unidos (oeste) | Cloudflare | Cloudflare | Cloudflare |
Este gráfico muestra los resultados de todas las pruebas realizadas en Cloudflare y Zscaler a aplicaciones alojadas en tres nubes diferentes en 12 ubicaciones distintas desde los mismos 400 nodos Catchpoint de las pruebas sobre ZTNA. En todos los escenarios, Cloudflare fue más rápido. De hecho, ninguna prueba contra un punto final protegido por Cloudflare tuvo un percentil 95 del tiempo de respuesta HTTP superior a 2105 m/s, mientras que ningún punto final protegido por Zscaler tuvo un percentil 95 del tiempo de respuesta HTTP inferior a 5000 m/s.
Para obtener estos datos, aprovechamos las mismas máquinas virtuales para alojar aplicaciones a las que se accedía a través de los servicios RBI. Cada nodo Catchpoint intentaba acceder a la aplicación a través de RBI, recibía credenciales de autenticación y, a continuación, intentaba acceder a la página con las credenciales. Analizamos las mismas sesiones nuevas y existentes que para ZTNA, y Cloudflare resultó ser más rápido tanto en los escenarios de sesiones nuevas como en los de sesiones existentes.
Mayor rapidez
Los clientes de nuestras soluciones Zero Trust quieren que seamos rápidos no porque quieran acelerar el acceso a Internet, sino porque quieren saber que la productividad de los empleados no se verá afectada por el cambio a Cloudflare. Eso no significa necesariamente que lo más importante para nosotros sea ser más rápidos que nuestros competidores, aunque lo somos. Lo que más nos importa es mejorar nuestra experiencia para que nuestros usuarios se sientan cómodos sabiendo que nos tomamos en serio su experiencia. Cuando en septiembre publiquemos las nuevas cifras de la Semana aniversario y seamos más rápidos que antes, no solo significará que hemos mejorado los resultados, sino que estamos evaluando y mejorando constantemente nuestro servicio para ofrecer la mejor experiencia a nuestros clientes. Nos importa más que nuestros clientes de los Emiratos Árabes Unidos tengan una mejor experiencia con Office365 que superar a un competidor en una prueba. Te enseñamos estas cifras para demostrarte que nos importa el rendimiento, y que nos comprometemos a mejorar tu experiencia, estés donde estés.