在 2023 年 1 月和 3 月, 我们发布了一些博客文章,概述了 Cloudflare 在 Zero Trust 领域的表现如何超越其他竞争对手。结论是,在各种 Zero Trust 场景下,Cloudflare 的速度比 Zscaler 和 Netskope 更快。在 Speed Week 期间,我们重新进行这些测试,并提高了要求:测试涉及比以往更多的服务提供商,针对更多地区的更多公共互联网端点。
在这些测试中,我们测试了三种 Zero Trust 场景:安全 Web 网关(SWG)、Zero Trust 网络访问(ZTNA)和远程浏览器隔离(RBI)。我们针对三个竞争对手进行了测试:Zscaler、Netskope 和 Palo Alto Networks。我们从全球 12 个地区进行了以上场景的测试,比以前的 4 个地区有所增加。结果表明,Cloudflare 在 42% 的测试场景中是最快的安全网关,超过了其他任何供应商。Cloudflare 比 Zscaler 快 46%,比 Netskope 快 56%,比 Palo Alto for ZTNA 快 10%,并在 RBI 场景下比 Zscaler 快 64%。
本文中,我们将再次阐述为什么性能很重要,深入探讨我们在每个场景中如何更快,并介绍我们如何测试每个产品的性能。
性能是一种威胁手段
Zero Trust 的性能很重要;当 Zero Trust 性能欠佳时,用户就会禁用它,使组织面临风险。Zero Trust 服务应该不应造成任何干扰,否则将会阻止用户完成工作。
Zero Trust 服务可能拥有诸多功能以帮助保护客户,但如果员工不能快速、高效地使用这些服务来完成工作,那么这些功能将毫无意义。快速的性能有助于推动采用并使最终用户感觉不到安全措施的存在。Cloudflare 优先使产品快速、无摩擦,结果不言自明。现在让我们谈一下结果,从安全 Web 网关开始。
Cloudflare Gateway:通往互联网的安全门
安全 Web 网关需要速度快,因为组织所有前往互联网流量都要通过这里。如果安全 Web 网关运行缓慢,那么用户任何前往互联网的流量将变慢。如果前往互联网的流量缓慢,用户可能发现网页加载缓慢,视频通话卡顿或丢包,或者无法完成工作。用户可能决定关闭网关,使组织面临遭受攻击的风险。
但除了接近用户之外,高性能 Web 网关还需要与互联网的其他部分进行良好的对等连接,以避免用户前往目标网站的路径变慢。许多网站使用CDN来加速内容并提供更好的体验。这些 CDN 通常拥有良好的对等连接,并嵌入到最后一英里网络中。但是,通过安全网关的流量遵循前向代理路径:用户连接到代理,代理连接到用户尝试访问的网站。如果代理与目标网站的对等连接程度低于目标网站,则用户流量到达代理的距离可能比直接访问网站时更远,从而产生所谓的“发夹”,如下图所示:
连接良好的代理可以确保用户流量传输的距离更短,从而使其尽可能快。
为了比较安全网关产品,我们将 Cloudflare Gateway 和 WARP 客户端与 Zscaler、Netskope 和 Palo Alto 进行了比较,这些公司都有执行相同功能的产品。Gateway 和 Cloudflare 的网络嵌入到靠近用户的最后一英里网络中,并与超过 12000 个网络建立了对等连接,Cloudflare 用户受益于此。这种增强连接的效果显而易见,因为 Cloudflare 网关在 42% 的测试场景中是最快的网络:
| 每家提供商在第 95 百分位(P95) HTTP 响应时间最快的测试场景数(越高越好) | |
|---|---|
| 提供商 | 此提供商最快的场景 |
| Cloudflare | 48 |
| Zscaler | 14 |
| Netskope | 10 |
| Palo Alto Networks | 42 |
数据显示,与竞争对手相比,我们从更多地方更快访问更多网站。为了衡量这一点,我们查看了 P95 HTTP 响应时间:用户通过代理,由代理向一个网站发出请求,并最终返回响应的时间。这个测量非常重要,因为它准确地代表了用户所看到的情况。查看所有测试中的 P95 值时,我们发现与 Cloudflare 比 Palo Alto Networks 快 2.5%,比 Zscaler 快13%,比 Netskope 快6.5%。
| 所有测试的 P95 HTTP 响应时间 | |
|---|---|
| 提供商 | 第 95 个百分位(毫秒) |
| Cloudflare | 515 |
| Zscaler | 595 |
| Netskope | 550 |
| Palo Alto Networks | 529 |
Cloudflare 之所以胜出,是因为 Cloudflare 拥有出色的对等连接,能够在其他公司无法成功的地方获得成功。我们能够在全球难以到达实现本地对等连接,为我们提供了优势。例如,看一下 Cloudflare 在澳大利亚相对其他提供商的性能:我们比位居第二的提供商快 30%:
Cloudflare 在世界各地建立了良好的对等连接合作关系:在澳大利亚,我们与所有主要的澳大利亚互联网提供商建立了本地对等连接,因此我们能够为全球许多用户提供快速的体验。在全球范围内,我们与超过 12000 个网络建立了对等连接,尽可能接近最终用户,能够缩短请求在公共互联网上的停留时间。这项工作以前让我们快速向用户交付内容,但在 Zero Trust 领域,它缩短了用户到达其 SW G的路径,这意味着他们可以快速访问所需的服务。
此前执行这些测试时,我们只测试从单个 Azure 区域到 5 个网站的速度。现有的测试框架(例如 Catchpoint)不适用于此任务,因为性能测试需要在测试端点上运行 SWG 客户端。我们还需要确保所有测试都在位于相似位置的相似机器上运行,以尽可能地准确地衡量性能。这使我们能够测量来自相同位置(两种测试环境均在此运行)的端到端响应。
在本轮评估的测试配置中,我们在 12 个云区域中并排放置了四个虚拟机:一个运行连接到我们网关的 Cloudflare WARP,一个运行 ZIA,一个运行 Netskope,一个运行 Palo Alto Networks。这些虚拟机每 5 分钟向以下 11 个不同的网站发出请求,并记录每个请求所需的 HTTP 浏览器计时。基于这个测试,我们能够获得一个对用户而言有意义的性能视图。以下是我们进行测试的位置、测试的网站以及哪个提供商更快的完整表格:
| 端点 | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| SWG 区域 | Shopify | Walmart | Zendesk | ServiceNow | Azure 站点 | Slack | Zoom | Box | M365 | GitHub | Bitbucket |
| 美国东部 | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | |||
| 美国西部 | Palo Alto Networks | Palo Alto Networks | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | |||
| 美国中南部 | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | |||
| 巴西南部 | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Zscaler | Zscaler | Palo Alto Networks | Cloudflare | Palo Alto Networks | Palo Alto Networks |
| 英国南部 | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks |
| 印度中部 | Cloudflare | Cloudflare | Cloudflare | Palo Alto Networks | Palo Alto Networks | Cloudflare | Cloudflare | Cloudflare | |||
| 亚洲东南部 | Cloudflare | Cloudflare | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Cloudflare | Cloudflare | |||
| 加拿大中部 | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Cloudflare | Zscaler |
| 瑞士北部 | netskope | Zscaler | Zscaler | Cloudflare | netskope | netskope | netskope | netskope | Cloudflare | Cloudflare | netskope |
| 澳大利亚东部 | Cloudflare | Cloudflare | netskope | Cloudflare | Cloudflare | Cloudflare | Cloudflare | Cloudflare | |||
| 阿联酋迪拜 | Zscaler | Zscaler | Cloudflare | Cloudflare | Zscaler | netskope | Palo Alto Networks | Zscaler | Zscaler | netskope | netskope |
| 南非北部 | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Palo Alto Networks | Palo Alto Networks |
空格表示对该特定网站的测试未报告准确的结果,或在超过 50% 的测试期间内遭遇失败。根据这些数据,Cloudflare 总体上更快,但还没有达到我们所期望的那么快。仍有一些地区是我们需要改进的,尤其是在南非、阿联酋和巴西。到 9 月的 Birthday Week,我们希望在每个地区到所有这些网站都成为最快的网络,这将使我们速度最快的测试占比从 54% 提高到 79%。
总而言之,Cloudflar 的 Gateway 仍然是互联网上最快的 SWG。但是 Zero Trust 并不只涉及SWG。让我们谈谈 Cloudflare 在 Zero Trust 网络访问场景中的表现。
即时(Zero Trust)访问
访问控制需要对用户无缝和透明:对于 Zero Trust 解决方案来说,最好的赞誉是员工几乎没有注意到它的存在。像 Cloudflare Access 这样的服务可以在公共互联网上保护应用程序,允许基于角色的身份验证访问,而不是依赖于诸如 VPN 之类的东西来限制和保护应用程序。这种访问管理更加安全,但是通过高性能的 ZTNA 服务,它甚至可以更快。
Cloudflare 在这个领域的表现优于我们的竞争对手,比 Zscaler 快 46%,比 Netskope 快 56%,比 Palo Alto Networks 快 10%:
| Zero Trust 网络访问 P95 HTTP 响应时间 | |
|---|---|
| 提供商 | P95 HTTP 响应时间(毫秒) |
| Cloudflare | 1252 |
| Zscaler | 2388 |
| Netskope | 2974 |
| Palo Alto Networks | 1471 |
为此测试,我们在 12 个不同的位置中创建了托管在三个不同云平台(AWS、GCP 和 Azure)上的应用程序。但需要注意的是,Palo Alto Networks 是例外。由于设置测试时遇到的困难,我们只能使用托管在一个云平台上的应用程序,从两个区域进行测试:美国东部和新加坡。
对于每个应用程序,我们创建了来自 Catchpoint 的测试,从全球 400 个位置访问应用程序。每个 Catchpoint 节点尝试进行两个操作:
- 新会话:登录应用程序并接收身份验证令牌
- 现有会话:刷新页面并通过先前获得的凭据进行登录。
我们希望分别测量这些场景,因为当我们查看 P95 值时,如果将新会话和现有会话合并起来,几乎总是看到新会话。为了完整起见,我们还将显示新会话和现有会话 P95 延迟的合并结果。
Cloudflare 在美国东部和新加坡都更快,但让我们重聚焦于其中几个地区以进行深入剖析。首先是一个各竞争对手的资源同等紧密互连的区域:美国东部,具体来说是弗吉尼亚州阿什本。
在弗吉尼亚州阿什本,Cloudflare 的 ZTNA P95 HTTP 响应时间轻松击败了 Zscaler 和 Netskope:
| 弗吉尼亚州阿什本托管应用程序的 P95 HTTP 响应时间 (ms) | |||
|---|---|---|---|
| AWS 美国东部 | 总时间 (ms) | 新会话 (ms) | 现有会话 (ms) |
| Cloudflare | 2849 | 1749 | 1353 |
| Zscaler | 5340 | 2953 | 2491 |
| Netskope | 6513 | 3748 | 2897 |
| Palo Alto Networks | |||
| Azure 美国东部 | |||
| Cloudflare | 1692 | 989 | 1169 |
| Zscaler | 5403 | 2951 | 2412 |
| Netskope | 6601 | 3805 | 2964 |
| Palo Alto Networks | |||
| GCP 美国东部 | |||
| Cloudflare | 2811 | 1615 | 1320 |
| Zscaler | |||
| Netskope | 6694 | 3819 | 3023 |
| Palo Alto Networks | 2258 | 894 | 1464 |
您可能会注意到 Palo Alto Networks 在现有会话(及因此在 P95 总体时间)方面似乎领先于 Cloudflare。但这些数字是误导性的,因为 Palo Alto Networks 的 ZTNA 行为与我们、Zscaler 或 Netskope 的略有不同。Palo Alto Networks 执行新会话时,它会进行完整的连接拦截,并从其处理器返回响应,而不是将用户重定向到其尝试访问的应用程序的登录页面。
这意味着 Palo Alto Networks 的新会话响应时间实际上并没有测量我们正在寻找的端到端延迟。由于这个原因,他们的新会话延迟和总会话延迟数字是具有误导性的,这意味着我们只能在现有会话延迟方面与他们进行有意义的比较。现有会话方面,当 Palo Alto Networks 充当传递者时,Cloudflare 仍然领先 10%。
新加坡情况相同,在那里,Cloudflare 比 Zscaler 和 Netskope 快 50%,并在现有会话方面比 Palo Alto Networks 快10%:
| 新加坡托管应用程序的 P95 HTTP 响应时间 (ms) | |||
|---|---|---|---|
| AWS 新加坡 | 总时间 (ms) | 新会话 (ms) | 现有会话 (ms) |
| Cloudflare | 2748 | 1568 | 1310 |
| Zscaler | 5349 | 3033 | 2500 |
| Netskope | 6402 | 3598 | 2990 |
| Palo Alto Networks | |||
| Azure 新加坡 | |||
| Cloudflare | 1831 | 1022 | 1181 |
| Zscaler | 5699 | 3037 | 2577 |
| Netskope | 6722 | 3834 | 3040 |
| Palo Alto Networks | |||
| GCP 新加坡 | |||
| Cloudflare | 2820 | 1641 | 1355 |
| Zscaler | 5499 | 3037 | 2412 |
| Netskope | 6525 | 3713 | 2992 |
| Palo Alto Networks | 2293 | 922 | 1476 |
对这些数据的一种批评可能是,我们将所有 Catchpoint 节点的时间汇总于 P95,以及我们没有查看与应用程序相同地区的 Catchpoint 节点的 P95。我们也考虑了这一点,而且 Cloudflare 的性能依然是更好的。仅从北美 Catchpoint 节点来看,Cloudflare 性能比 Netskope 快 50%,比 Zscaler 快 40%,并在现有连接方面的 P95 比 Palo Alto Networks 快 10%:
| 北美测试位置 Zero Trust 网络访问现有会话的 P95 HTTP 响应时间 | |
|---|---|
| 提供商 | P95 HTTP 响应时间 (ms) |
| Cloudflare | 810 |
| Zscaler | 1290 |
| Netskope | 1351 |
| Palo Alto Networks | 871 |
最后,我们希望展示 Cloudflare 的 ZTNA 在每个地区每个云平台上的性能表现情况。如下是包含云提供商和测试区域的表格:
| 每个云平台和每个区域按 P95 HTTP 响应时间衡量最快的 ZTNA 提供商 | |||
|---|---|---|---|
| AWS | Azure | GCP | |
| 澳大利亚东部 | Cloudflare | Cloudflare | Cloudflare |
| 巴西南部 | Cloudflare | Cloudflare | 不适用 |
| 加拿大中部 | Cloudflare | Cloudflare | Cloudflare |
| 印度中部 | Cloudflare | Cloudflare | Cloudflare |
| 美国东部 | Cloudflare | Cloudflare | Cloudflare |
| 南非北部 | Cloudflare | Cloudflare | 不适用 |
| 美国中南部 | 不适用 | Cloudflare | Zscaler |
| 亚洲东南部 | Cloudflare | Cloudflare | Cloudflare |
| 瑞士北部 | 不适用 | 不适用 | Cloudflare |
| 阿联酋迪拜 | Cloudflare | Cloudflare | Cloudflare |
| 英国南部 | Cloudflare | Cloudflare | netskope |
| 美国西部 | Cloudflare | Cloudflare | 不适用 |
在某些云中,部分虚拟机出现了故障,没有报告准确的数据。但在获得准确数据的 30 个可用云区域中,Cloudflare 在其中 28 个为最快的 Zero Trust 提供商,意味着我们在 93% 的测试云区域中位于第一。
总结一下,Cloudflare 在评估 Zero Trust 网络访问时也提供了最佳体验。但是,在另一个组成部分:远程浏览器隔离(RBI)方面情况如何呢?
远程浏览器隔离:托管于云端的安全浏览器
远程浏览器隔离产品高度依赖于公共互联网:如果您与浏览器隔离产品的连接不好,那么您的浏览器体验就会感觉奇怪和缓慢。远程浏览器隔离极其依赖于性能来为用户提供流畅、无缝的感觉:如果一切都达到应有的速度,用户甚至不应该注意到他们正在使用浏览器隔离。
为此测试,我们再次将 Cloudflare 与 Zscaler 行了对比。虽然 Netskope 确实有 RBI 产品,但我们无法对此进行测试,因为它需要一个 SWG 客户端,意味着我们对测试位置所获得的结果将会失真,无法完全与测试 Cloudflare 和 Zscaler 的测试完全一致。我们的测试显示,Cloudflare 在远程浏览场景比 Zscaler 快 64%,如下表格显示我们 RBI 测试中各云平台和各地区的最快提供商:
| 每个云平台和每个区域按 P95 HTTP 响应时间衡量最快的 RBI 提供商 | |||
|---|---|---|---|
| AWS | Azure | GCP | |
| 澳大利亚东部 | Cloudflare | Cloudflare | Cloudflare |
| 巴西南部 | Cloudflare | Cloudflare | Cloudflare |
| 加拿大中部 | Cloudflare | Cloudflare | Cloudflare |
| 印度中部 | Cloudflare | Cloudflare | Cloudflare |
| 美国东部 | Cloudflare | Cloudflare | Cloudflare |
| 南非北部 | Cloudflare | Cloudflare | |
| 美国中南部 | Cloudflare | Cloudflare | |
| 亚洲东南部 | Cloudflare | Cloudflare | Cloudflare |
| 瑞士北部 | Cloudflare | Cloudflare | Cloudflare |
| 阿联酋迪拜 | Cloudflare | Cloudflare | Cloudflare |
| 英国南部 | Cloudflare | Cloudflare | Cloudflare |
| 美国西部 | Cloudflare | Cloudflare | Cloudflare |
本表显示了从 Cloudflare 和 Zscaler 对托管在 12 个不同位置的三个不同云平台的应用程序运行的所有测试的结果,这些测试来自与 ZTNA 测试相同的 400 个 Catchpoint 节点。在每一个场景,Cloudflare 都更快。事实上,对任何 Cloudflare 保护端点进行的测试所获得的 P95 HTTP 响应时间都低于 2105 ms,而对任何 Zscaler 保护端点进行的测试所获得的 P95 HTTP 响应时间都高于 5000 ms。
为了获得这些数据,我们利用相同的虚拟机来托管通过 RBI 服务访问的应用程序。每个 Catchpoint 节点都会尝试通过 RBI 登录应用程序,接收身份验证凭据,然后尝试通过传递凭据来访问页面。与 ZTNA 测试一样,我们也查看新会话和现有会话。同样,Cloudflare 在新会话和现有会话场景都是更快的。
必须(更)快
我们的 Zero Trust 客户希望我们速度快,不是因为他们想要最快的互联网访问速度,而是因为他们希望知道员工的生产力不会因切换到 Cloudflare 而受到影响。这并不意味着,对我们来说最重要的是比竞争对手更快,尽管我们确实如此。对我们来说,最重要的是改善我们的体验,以便我们的用户放心,知道我们认真对待他们的体验。当我们在 9 月 Birthday Week 公布新的数字并显示我们比之前更快时,这并不意味着我们只是提高了数字:而是意味着我们不断评估和改进我们的服务,以便为客户提供最佳的体验。我们更关心的是,让我们位于阿联酋的客户在使用 Office365 时获得更佳体验,而不是在测试中击败竞争对手。我们展示这些数字是为了向您展示:我们认真对待性能,并致力于为您提供最佳体验,无论您身在何处。