Im Januar und im März 2023 haben wir in Blogartikeln dargelegt, wie Cloudflare im Vergleich zu anderen Anbietern bei Zero Trust abschneidet. Das Ergebnis war in beiden Fällen, dass Cloudflare in einer Vielzahl von Zero Trust-Szenarien schneller war als Zscaler und Netskope. Für die Speed Week bringen wir diese Tests zurück und legen noch eine Schippe drauf: Wir testen mehr Anbieter gegen mehr öffentliche Internet-Endpunkte in mehr Regionen als in der Vergangenheit.
Für diese Tests haben wir drei Zero Trust-Szenarien erprobt: Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA) und Remote-Browserisolierung (RBI). Wir haben gegen drei Konkurrenten getestet: Zscaler, Netskope und Palo Alto Networks. Wir haben diese Szenarien in 12 Regionen auf der ganzen Welt getestet, statt wie bisher in vier. Die Ergebnisse zeigen, dass Cloudflare in 42 % der Testszenarien das schnellste Secure Web Gateway ist, das ist der höchste Wert aller Anbieter. Cloudflare ist 46 % schneller als Zscaler, 56 % schneller als Netskope und 10 % schneller als Palo Alto Networks für ZTNA und 64 % schneller als Zscaler für RBI-Szenarien.
In diesem Blog erfahren Sie, warum Performance wichtig ist, wie wir für jedes Szenario schneller sind und wie wir die Performance der einzelnen Produkte gemessen haben.
Performance ist ein Bedrohungsvektor
Ihre Zero Trust-Lösung sollte eine tolle Performance bieten. Wenn Zero Trust nicht gut funktioniert, werden die Nutzer die Funktion deaktivieren und das Unternehmen unnötigen Risiken aussetzen. Zero-Trust-Dienste sollten unauffällig sein. Wenn die Dienste auffällig werden, hindern sie die Nutzer daran, ihre Arbeit zu erledigen.
Zero Trust-Dienste bieten zwar eine Menge praktischer Funktionen zum Schutz ihrer Kunden; all das nützt jedoch nichts, wenn sie ihre Mitarbeitenden daran hindern, ihre Arbeit schnell und effizient zu erledigen. Eine schnelle Performance fördert den Einsatz und macht die Sicherheit für die Nutzer transparent. Bei Cloudflare legen wir großen Wert darauf, dass unsere Produkte schnell und reibungslos funktionieren. Unsere Ergebnisse sprechen für sich. Kommen wir nun zu den Ergebnissen, beginnend mit unserem Secure Web-Gateway.
Cloudflare Gateway: Sicherheit im Internet
Ein Secure Web Gateway muss schnell sein, da es als Trichter für den gesamten Internetdatenverkehr eines Unternehmens fungiert. Wenn ein Secure Web-Gateway langsam sein sollte, so gilt das auch für den für das Internet bestimmten Nutzer-Traffic. Wenn der Traffic ins Internet zu langsam ist, laden Webseiten nur langsam, Videoanrufe werden gestört oder abgebrochen, und die Nutzer können ihre Arbeit nicht mehr erledigen. Nutzer können sich entscheiden, das Gateway zu deaktivieren, wodurch das Unternehmen Angriffsrisiken ausgesetzt wird.
Ein leistungsfähiges Web Gateway muss sich also in der Nähe der Nutzer befinden. Darüber hinaus muss es aber auch mit dem Rest des Internets gut vernetzt sein, um langsame Routen zu den von den Nutzern angesteuerten Websites zu vermeiden. Viele Websites verwenden CDNs, um ihre Inhalte zu beschleunigen und ein besseres Erlebnis zu bieten. Diese CDNs sind oft gut erprobt und in die Netzwerke der letzten Meile eingebettet. Der über ein Secure Web-Gateway laufende Datenverkehr folgt jedoch einem Forward-Proxy-Pfad: Die Nutzer stellen eine Verbindung zum Proxy her und der Proxy stellt eine Verbindung zu den Websites her, auf die zugegriffen werden soll. Wenn dieser Proxy nicht so gut überwacht ist wie die Ziel-Websites, muss der Traffic des Nutzers womöglich einen weiteren Weg zum Proxy zurücklegen, als wenn er nur die Website selbst ansteuern würde. Dadurch entsteht eine Serpentine, wie im folgenden Diagramm zu sehen ist:
Ein gut angebundener Proxy sorgt dafür, dass der Nutzer-Traffic eine geringere Distanz zurücklegt und somit so schnell wie möglich ist.
Um die Produkte für Secure Web-Gateways zu vergleichen, haben wir das Cloudflare Gateway und den WARP-Client gegen Zscaler, Netskope und Palo Alto Networks antreten lassen, die alle über Produkte mit den gleichen Funktionen verfügen. Cloudflare-Nutzer profitieren davon, dass Gateway und das Cloudflare-Netzwerk tief in die Netzwerke der letzten Meile in der Nähe der Nutzer eingebettet sind und mit über 12.000 Netzwerken verbunden werden. Diese erhöhte Konnektivität spiegelt sich darin wider, dass Cloudflare Gateway in 42 % der getesteten Szenarien das schnellste Netzwerk ist:
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-lqy6{text-align:right;vertical-align:top} .tg .tg-amwm{font-weight:bold;text-align:center;vertical-align:top} .tg .tg-l2oz{font-weight:bold;text-align:right;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
| Number of testing scenarios where each provider is fastest for 95th percentile HTTP Response time (higher is better) | |
|---|---|
| Provider | Scenarios where this provider is fastest |
| Cloudflare | 48 |
| Zscaler | 14 |
| Netskope | 10 |
| Palo Alto Networks | 42 |
Anzahl der Testszenarien, in denen jeder Anbieter die HTTP-Antwortzeit im 95. Perzentil erreicht (höher ist besser)
| 95th percentile HTTP response across all tests | |
|---|---|
| Provider | 95th percentile response (ms) |
| Cloudflare | 515 |
| Zscaler | 595 |
| Netskope | 550 |
| Palo Alto Networks | 529 |
Provider
Szenarien, in denen dieser Anbieter am schnellsten ist
Cloudflare
48
| Endpoints | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| SWG Regions | Shopify | Walmart | Zendesk | ServiceNow | Azure Site | Slack | Zoom | Box | M365 | GitHub | Bitbucket |
| East US | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | |||
| West US | Palo Alto Networks | Palo Alto Networks | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | |||
| South Central US | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | Palo Alto Networks | Cloudflare | |||
| Brazil South | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Zscaler | Zscaler | Palo Alto Networks | Cloudflare | Palo Alto Networks | Palo Alto Networks |
| UK South | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks |
| Central India | Cloudflare | Cloudflare | Cloudflare | Palo Alto Networks | Palo Alto Networks | Cloudflare | Cloudflare | Cloudflare | |||
| Southeast Asia | Cloudflare | Cloudflare | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Cloudflare | Cloudflare | |||
| Canada Central | Cloudflare | Cloudflare | Palo Alto Networks | Cloudflare | Cloudflare | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Cloudflare | Zscaler |
| Switzerland North | netskope | Zscaler | Zscaler | Cloudflare | netskope | netskope | netskope | netskope | Cloudflare | Cloudflare | netskope |
| Australia East | Cloudflare | Cloudflare | netskope | Cloudflare | Cloudflare | Cloudflare | Cloudflare | Cloudflare | |||
| UAE Dubai | Zscaler | Zscaler | Cloudflare | Cloudflare | Zscaler | netskope | Palo Alto Networks | Zscaler | Zscaler | netskope | netskope |
| South Africa North | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Palo Alto Networks | Zscaler | Palo Alto Networks | Palo Alto Networks |
Zscaler
14
Netskope
10
Palo Alto Networks
| Zero Trust Network Access P95 HTTP Response times | |
|---|---|
| Provider | P95 HTTP response (ms) |
| Cloudflare | 1252 |
| Zscaler | 2388 |
| Netskope | 2974 |
| Palo Alto Networks | 1471 |
42
Diese Daten zeigen, dass wir zu mehr Websites von mehr Orten aus schneller sind als jeder unserer Wettbewerber. Um dies zu messen, betrachten wir die HTTP-Antwortzeit im 95. Perzentil: wie lange es dauert, bis ein Nutzer den Proxy durchläuft, der Proxy eine Anfrage an eine Website im Internet stellt und schließlich die Antwort zurückgibt. Diese Messung ist wichtig, weil sie ein genaues Abbild dessen ist, was die Nutzer erleben. Wenn wir das 95. Perzentil über alle Tests hinweg betrachten, sehen wir, dass Cloudflare 2,5 % schneller ist als Palo Alto Networks, 13 % schneller als Zscaler und 6,5 % schneller als Netskope.
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-lqy6{text-align:right;vertical-align:top} .tg .tg-amwm{font-weight:bold;text-align:center;vertical-align:top} .tg .tg-l2oz{font-weight:bold;text-align:right;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
HTTP-Antwort im 95. Perzentil über alle Tests
Provider
Reaktionszeit im 95. Perzentil (ms)
| 95th percentile HTTP Response times (ms) for applications hosted in Ashburn, VA | |||
|---|---|---|---|
| AWS East US | Total (ms) | New Sessions (ms) | Existing Sessions (ms) |
| Cloudflare | 2849 | 1749 | 1353 |
| Zscaler | 5340 | 2953 | 2491 |
| Netskope | 6513 | 3748 | 2897 |
| Palo Alto Networks | |||
| Azure East US | |||
| Cloudflare | 1692 | 989 | 1169 |
| Zscaler | 5403 | 2951 | 2412 |
| Netskope | 6601 | 3805 | 2964 |
| Palo Alto Networks | |||
| GCP East US | |||
| Cloudflare | 2811 | 1615 | 1320 |
| Zscaler | |||
| Netskope | 6694 | 3819 | 3023 |
| Palo Alto Networks | 2258 | 894 | 1464 |
Cloudflare
515
Zscaler
| 95th percentile HTTP Response times (ms) for applications hosted in Singapore | |||
|---|---|---|---|
| AWS Singapore | Total (ms) | New Sessions (ms) | Existing Sessions (ms) |
| Cloudflare | 2748 | 1568 | 1310 |
| Zscaler | 5349 | 3033 | 2500 |
| Netskope | 6402 | 3598 | 2990 |
| Palo Alto Networks | |||
| Azure Singapore | |||
| Cloudflare | 1831 | 1022 | 1181 |
| Zscaler | 5699 | 3037 | 2577 |
| Netskope | 6722 | 3834 | 3040 |
| Palo Alto Networks | |||
| GCP Singapore | |||
| Cloudflare | 2820 | 1641 | 1355 |
| Zscaler | 5499 | 3037 | 2412 |
| Netskope | 6525 | 3713 | 2992 |
| Palo Alto Networks | 2293 | 922 | 1476 |
595
| Zero Trust Network Access 95th percentile HTTP Response times for warm connections with testing locations in North America | |
|---|---|
| Provider | P95 HTTP response (ms) |
| Cloudflare | 810 |
| Zscaler | 1290 |
| Netskope | 1351 |
| Palo Alto Networks | 871 |
Netskope
| Fastest ZTNA provider in each cloud provider and region by 95th percentile HTTP Response | |||
|---|---|---|---|
| AWS | Azure | GCP | |
| Australia East | Cloudflare | Cloudflare | Cloudflare |
| Brazil South | Cloudflare | Cloudflare | N/A |
| Canada Central | Cloudflare | Cloudflare | Cloudflare |
| Central India | Cloudflare | Cloudflare | Cloudflare |
| East US | Cloudflare | Cloudflare | Cloudflare |
| South Africa North | Cloudflare | Cloudflare | N/A |
| South Central US | N/A | Cloudflare | Zscaler |
| Southeast Asia | Cloudflare | Cloudflare | Cloudflare |
| Switzerland North | N/A | N/A | Cloudflare |
| UAE Dubai | Cloudflare | Cloudflare | Cloudflare |
| UK South | Cloudflare | Cloudflare | netskope |
| West US | Cloudflare | Cloudflare | N/A |
550
Palo Alto Networks
529
Cloudflare gewinnt hier, weil das außergewöhnliche Peering von Cloudflare es uns ermöglicht, an Orten erfolgreich zu sein, an denen andere nicht erfolgreich sein konnten. Wir können uns an schwer zugänglichen Orten in aller Welt anschließen bzw. verbinden, was uns einen Vorteil verschafft. Sehen Sie sich zum Beispiel an, wie Cloudflare im Vergleich zu den anderen Anbietern in Australien abschneidet: Wir sind 30 % schneller als der nächstbeste Anbieter:
Cloudflare unterhält großartige Peering-Beziehungen in Ländern auf der ganzen Welt: In Australien haben wir lokale Peerings mit allen großen australischen Internetanbietern und können so vielen Nutzern auf der ganzen Welt ein schnelles Erlebnis bieten. Wir arbeiten weltweit mit über 12.000 Netzwerken zusammen und sind so nah wie möglich an den Nutzern dran, um die Zeit zu verkürzen, die Anfragen im öffentlichen Internet verbringen. Diese Arbeit hat es uns bisher ermöglicht, den Nutzern Inhalte schnell bereitzustellen, aber in einer Zero Trust-Welt verkürzt sie den Weg der Nutzer zu ihrem SWG, d. h. sie können schnell zu den Diensten gelangen, die sie benötigen.
| Fastest RBI provider in each cloud provider and region by 95th percentile HTTP Response | |||
|---|---|---|---|
| AWS | Azure | GCP | |
| Australia East | Cloudflare | Cloudflare | Cloudflare |
| Brazil South | Cloudflare | Cloudflare | Cloudflare |
| Canada Central | Cloudflare | Cloudflare | Cloudflare |
| Central India | Cloudflare | Cloudflare | Cloudflare |
| East US | Cloudflare | Cloudflare | Cloudflare |
| South Africa North | Cloudflare | Cloudflare | |
| South Central US | Cloudflare | Cloudflare | |
| Southeast Asia | Cloudflare | Cloudflare | Cloudflare |
| Switzerland North | Cloudflare | Cloudflare | Cloudflare |
| UAE Dubai | Cloudflare | Cloudflare | Cloudflare |
| UK South | Cloudflare | Cloudflare | Cloudflare |
| West US | Cloudflare | Cloudflare | Cloudflare |
Bisher haben wir bei diesen Tests nur von einer einzigen Azure-Region aus bis zu fünf Websites getestet. Bestehende Test-Frameworks wie Catchpoint sind für diese Aufgabe ungeeignet, da Performance-Tests erfordern, dass man den SWG-Client auf dem Test-Endpunkt ausführt. Außerdem mussten wir sicherstellen, dass alle Tests auf ähnlichen Rechnern an denselben Orten ausgeführt werden, um die Performance so gut wie möglich zu messen. Auf diese Weise können wir jene Ende-zu-Ende-Antworten messen, die von demselben Ort kommen, an dem beide Testumgebungen ausgeführt werden.
In unserer Testkonfiguration für diese Evaluierungsrunde haben wir vier VMs (virtuelle Maschinen) in 12 Cloud-Regionen nebeneinander gestellt: eine mit Cloudflare WARP, die sich mit unserem Gateway verbindet, eine mit ZIA, eine mit Netskope und eine mit Palo Alto Networks. Diese VMs haben alle fünf Minuten Anfragen an die 11 unten genannten Websites gestellt und die HTTP-Browser-Zeiten für die Dauer jeder Anfrage protokolliert. So erhalten wir einen aussagekräftigen Überblick über die Performance aus Nutzerperspektive. Hier finden Sie eine vollständige Matrix der Standorte, von denen aus wir getestet haben, welche Websites wir verglichen haben und welcher Anbieter schneller war:
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-kziw{background-color:#F9CB9C;text-align:left;vertical-align:top} .tg .tg-e0oo{background-color:#EA9999;text-align:left;vertical-align:top} .tg .tg-f41v{background-color:#D9EAD3;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-4dna{background-color:#B6D7A8;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top} .tg .tg-skn0{background-color:#A4C2F4;text-align:left;vertical-align:top}
Endpunkte
SWG-Regionen
Shopify
Walmart
Zendesk
ServiceNow
Azure Site
Slack
Zoom
Box
M365
GitHub
Bitbucket
US-Osten
Cloudflare
Cloudflare
Palo Alto Networks
Cloudflare
Palo Alto Networks
Cloudflare
Palo Alto Networks
Cloudflare
US-Westen
Palo Alto Networks
Palo Alto Networks
Cloudflare
Cloudflare
Palo Alto Networks
Cloudflare
Palo Alto Networks
Cloudflare
USA (zentraler Süden)
Cloudflare
Cloudflare
Palo Alto Networks
Cloudflare
Palo Alto Networks
Cloudflare
Palo Alto Networks
Cloudflare
Brasilien (Süden)
Cloudflare
Palo Alto Networks
Palo Alto Networks
Palo Alto Networks
Zscaler
Zscaler
Zscaler
Palo Alto Networks
Cloudflare
Palo Alto Networks
Palo Alto Networks
UK (Süden)
Cloudflare
Palo Alto Networks
Palo Alto Networks
Palo Alto Networks
Palo Alto Networks
Palo Alto Networks
Palo Alto Networks
Cloudflare
Palo Alto Networks
Palo Alto Networks
Palo Alto Networks
Indien (zentral)
Cloudflare
Cloudflare
Cloudflare
Palo Alto Networks
Palo Alto Networks
Cloudflare
Cloudflare
Cloudflare
Südostasien
Cloudflare
Cloudflare
Cloudflare
Cloudflare
Palo Alto Networks
Cloudflare
Cloudflare
Cloudflare
Kanada (zentral)
Cloudflare
Cloudflare
Palo Alto Networks
Cloudflare
Cloudflare
Palo Alto Networks
Palo Alto Networks
Palo Alto Networks
Zscaler
Cloudflare
Zscaler
Schweiz (Norden)
Netskope
Zscaler
Zscaler
Cloudflare
Netskope
Netskope
Netskope
Netskope
Cloudflare
Cloudflare
Netskope
Australien (Osten)
Cloudflare
Cloudflare
Netskope
Cloudflare
Cloudflare
Cloudflare
Cloudflare
Cloudflare
VAE (Dubai)
Zscaler
Zscaler
Cloudflare
Cloudflare
Zscaler
Netskope
Palo Alto Networks
Zscaler
Zscaler
Netskope
Netskope
Südafrika (Norden)
Palo Alto Networks
Palo Alto Networks
Palo Alto Networks
Zscaler
Palo Alto Networks
Palo Alto Networks
Palo Alto Networks
Palo Alto Networks
Zscaler
Palo Alto Networks
Palo Alto Networks
Leere Zellen bedeuten, dass die Tests für diese bestimmte Website keine genauen Ergebnisse lieferten oder während mehr als 50 % des Testzeitraums fehlgeschlagen sind. Basierend auf diesen Daten ist Cloudflare im Allgemeinen schneller, aber wir sind nicht so schnell, wie wir es gerne wären. Es gibt noch einige Bereiche, in denen wir uns verbessern müssen, insbesondere in Südafrika, den Vereinigten Arabischen Emiraten und Brasilien. Bis zur Birthday Week im September wollen wir die schnellste Verbindung zu all diesen Websites in jeder dieser Regionen sein. Damit werden wir uns von der schnellsten Verbindung in 54 % der Tests auf die schnellste Verbindung in 79 % der Tests verbessern.
Zusammenfassend kann man festhalten, dass der Gateway von Cloudflare weiterhin der schnellste SWG im Internet ist. Bei Zero Trust geht es aber nicht nur um SWG. Sehen wir uns an, wie Cloudflare in Zero Trust Network Access-Szenarien performt.
Sofortiger (Zero Trust)-Zugriff
Die Zugriffskontrolle muss nahtlos und für den Nutzer transparent sein: Das beste Kompliment für eine Zero Trust-Lösung ist, dass die Mitarbeiter sie kaum bemerken. Dienste wie Cloudflare Access schützen Anwendungen über das öffentliche Internet und ermöglichen einen rollenbasierten Authentifizierungszugang, anstatt sich auf Dinge wie ein VPN zu verlassen, um Anwendungen einzuschränken und zu sichern. Diese Form der Zugriffsverwaltung ist sicherer, aber mit einem performanten ZTNA-Service kann sie sogar schneller sein.
Cloudflare übertrifft unsere Konkurrenten in diesem Bereich und ist 46 % schneller als Zscaler, 56 % schneller als Netskope und 10 % schneller als Palo Alto Networks:
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-lqy6{text-align:right;vertical-align:top} .tg .tg-amwm{font-weight:bold;text-align:center;vertical-align:top} .tg .tg-l2oz{font-weight:bold;text-align:right;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
Zero Trust Network Access 95.P HTTP-Antwortzeiten
Provider
95.P HTTP-Antwort (ms)
Cloudflare
1252
Zscaler
2388
Netskope
2974
Palo Alto Networks
1471
Für diesen Test haben wir Anwendungen erstellt, die in drei verschiedenen Clouds an 12 verschiedenen Standorten gehostet werden: AWS, GCP und Azure. Es ist jedoch anzumerken, dass Palo Alto Networks die Ausnahme war, da wir aufgrund logistischer Herausforderungen bei der Einrichtung der Tests nur Anwendungen messen konnten, die in einer Cloud aus zwei Regionen gehostet wurden: US-Osten und Singapur.
Für jede dieser Anwendungen haben wir mit Catchpoint Tests erstellt, die von 400 Standorten auf der ganzen Welt aus auf die Anwendung zugriffen. Jeder dieser Catchpoint-Knoten hat zwei Aktionen versucht:
Neue Sitzung: Anmeldung bei einer Anwendung und Erhalt eines Authentifizierungstokens
Bestehende Sitzung: Aktualisieren der Seite und Einloggen mit den zuvor erhaltenen Anmeldedaten
Wir messen diese Szenarien gerne getrennt, da wir bei der Betrachtung der Werte im 95. Perzentil fast immer neue Sitzungen ansehen würden, wenn wir neue und bestehende Sitzungen zusammenfassen. Der Vollständigkeit halber zeigen wir die Latenz im 95. Perzentil von neuen und bestehenden Sitzungen zusammen.
Cloudflare war sowohl im US-Osten als auch in Singapur schneller, aber lassen Sie uns ein paar Regionen näher beleuchten. Werfen wir einen Blick auf eine Region, in der die Ressourcen gleichmäßig zwischen den Wettbewerbern verteilt sind: US-Osten, genauer gesagt Ashburn, Virginia.
In Ashburn, Virginia, schlägt Cloudflare Zscaler und Netskope bei der ZTNA HTTP-Antwortzeit im 95. Perzentil mit Leichtigkeit:
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-baqh{text-align:center;vertical-align:top} .tg .tg-lqy6{text-align:right;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
HTTP-Antwortzeiten (ms) im 95. Perzentil für Anwendungen, die in Ashburn, VA, gehostet werden
AWS US-Osten
Gesamt (ms)
Neue Sitzungen (ms)
Bestehende Sitzungen (ms)
Cloudflare
2849
1749
1353
Zscaler
5340
2953
2491
Netskope
6513
3748
2897
Palo Alto Networks
Azure US-Osten
Cloudflare
1692
989
1169
Zscaler
5403
2951
2412
Netskope
6601
3805
2964
Palo Alto Networks
GCP US-Osten
Cloudflare
2811
1615
1320
Zscaler
Netskope
6694
3819
3023
Palo Alto Networks
2258
894
1464
Vielleicht fällt Ihnen auf, dass Palo Alto Networks bei den bestehenden Sitzungen (und damit beim gesamten 95. Perzentil) vor Cloudflare zu liegen scheint. Diese Zahlen sind jedoch irreführend, da sich das ZTNA-Verhalten von Palo Alto Networks geringfügig von unserem, dem von Zscaler oder dem von Netskope unterscheidet. Wenn sie eine neue Sitzung durchführen, fängt es die Verbindung vollständig ab und gibt eine Antwort von seinen Prozessoren zurück, anstatt die Nutzer auf die Anmeldeseite der Anwendung zu leiten, auf die sie zugreifen wollen.
Das bedeutet, dass die neuen Sitzungsantwortzeiten von Palo Alto Networks nicht wirklich die End-to-End-Latenz messen, nach der wir suchen. Aus diesem Grund sind ihre Zahlen für die Latenzzeit für neue Sitzungen und die Gesamtlatenzzeit für Sitzungen irreführend, sodass wir uns nur bei der Latenzzeit für bestehende Sitzungen sinnvoll mit ihnen vergleichen können. Wenn wir uns bestehende Sitzungen ansehen, bei denen Palo Alto Networks als Pass-Through fungiert, liegt Cloudflare immer noch 10 % vorn.
Dies gilt auch für Singapur, wo Cloudflare 50 % schneller ist als Zscaler und Netskope und auch 10 % schneller als Palo Alto Networks für bestehende Sitzungen:
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-baqh{text-align:center;vertical-align:top} .tg .tg-lqy6{text-align:right;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
HTTP-Antwortzeiten (ms) im 95. Perzentil für in Singapur gehostete Anwendungen
AWS Singapur
Gesamt (ms)
Neue Sitzungen (ms)
Bestehende Sitzungen (ms)
Cloudflare
2748
1568
1310
Zscaler
5349
3033
2500
Netskope
6402
3598
2990
Palo Alto Networks
Azure Singapur
Cloudflare
1831
1022
1181
Zscaler
5699
3037
2577
Netskope
6722
3834
3040
Palo Alto Networks
GCP Singapur
Cloudflare
2820
1641
1355
Zscaler
5499
3037
2412
Netskope
6525
3713
2992
Palo Alto Networks
2293
922
1476
Ein Kritikpunkt an diesen Daten könnte sein, dass wir die Zeiten aller Catchpoint-Knoten im 95. Perzentil zusammenfassen und nicht das 95. Perzentil der Catchpoint-Knoten in derselben Region wie die Anwendung betrachten. Wir haben uns auch das angesehen, und die ZTNA-Performance von Cloudflare ist immer noch besser. Betrachtet man nur die nordamerikanischen Catchpoint-Knoten, so schneidet Cloudflare bei P95 für bestehende Verbindungen 50 % besser ab als Netskope, 40 % besser als Zscaler und 10 % besser als Palo Alto Networks:
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-lqy6{text-align:right;vertical-align:top} .tg .tg-amwm{font-weight:bold;text-align:center;vertical-align:top} .tg .tg-l2oz{font-weight:bold;text-align:right;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
Zero Trust Network Access HTTP-Antwortzeiten im 95. Perzentil für bestehende Verbindungen mit Teststandorten in Nordamerika
Provider
95.P HTTP-Antwort (ms)
Cloudflare
810
Zscaler
1290
Netskope
1351
Palo Alto Networks
871
Schließlich wollten wir noch zeigen, wie gut die ZTNA-Performance von Cloudflare pro Cloud und Region ist. Die folgende Tabelle zeigt die Matrix der Cloud-Anbieter und der getesteten Regionen:
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-kziw{background-color:#F9CB9C;text-align:left;vertical-align:top} .tg .tg-4dna{background-color:#B6D7A8;text-align:left;vertical-align:top} .tg .tg-7yig{background-color:#FFF;text-align:center;vertical-align:top} .tg .tg-ktyi{background-color:#FFF;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top} .tg .tg-skn0{background-color:#A4C2F4;text-align:left;vertical-align:top}
Schnellster ZTNA-Anbieter bei jedem Cloud-Anbieter und in jeder Region nach HTTP-Antwortzeit im 95. Perzentil
AWS
Azure
GCP
Australien (Osten)
Cloudflare
Cloudflare
Cloudflare
Brasilien (Süden)
Cloudflare
Cloudflare
Keine Angaben
Kanada (zentral)
Cloudflare
Cloudflare
Cloudflare
Indien (zentral)
Cloudflare
Cloudflare
Cloudflare
US-Osten
Cloudflare
Cloudflare
Cloudflare
Südafrika (Norden)
Cloudflare
Cloudflare
Keine Angaben
USA (zentraler Süden)
Keine Angaben
Cloudflare
Zscaler
Südostasien
Cloudflare
Cloudflare
Cloudflare
Schweiz (Norden)
Keine Angaben
Keine Angaben
Cloudflare
VAE (Dubai)
Cloudflare
Cloudflare
Cloudflare
UK (Süden)
Cloudflare
Cloudflare
Netskope
US-Westen
Cloudflare
Cloudflare
Keine Angaben
Es gab einige VMs in einigen Clouds, die nicht richtig funktionierten und keine genauen Daten meldeten. Aber in 28 der 30 verfügbaren Cloud-Regionen, für die wir genaue Daten hatten, war Cloudflare der schnellste ZT-Anbieter. Das bedeutet, dass wir in 93 % der getesteten Cloud-Regionen schneller waren.
Zusammenfassend kann man festhalten, dass Cloudflare auch bei der Bewertung von Zero Trust Network Access die beste Erfahrung bietet. Aber was ist mit einem weiteren Teil des Puzzles? Remote-Browserisolierung (RBI)?
Remote-Browserisolierung: ein sicherer, in der Cloud gehosteter Browser
Produkte zur Remote-Browserisolierung sind sehr stark vom öffentlichen Internet abhängig: Wenn die Verbindung zum Browserisolierungsprodukt schlecht ist, beeinträchtigt das die Nutzererfahrung, unter anderem aufgrund längerer Ladezeiten. Um für den Nutzer reibungs- und nahtlos funktionieren zu können, ist die Remote-Browserisolierung außerordentlich Performance-abhängig: Wenn alles so schnell ist, wie es sein sollte, dann sollten die Nutzer nicht einmal bemerken, dass Browserisolierung verwendet wird.
Für diesen Test treten wir erneut gegen Cloudflare und Zscaler an. Netskope hat zwar ein RBI-Produkt, aber wir konnten es nicht testen, da es einen SWG-Client erfordert. Das bedeutet, dass wir nicht in der Lage sind, die Teststandorte so genau zu bestimmen, wie wir es bei Cloudflare und Zscaler tun würden. Unsere Tests haben gezeigt, dass Cloudflare bei Remote-Browsing-Szenarien 64 % schneller ist als Zscaler: Hier ist eine Matrix der schnellsten Anbieter pro Cloud pro Region für unsere RBI-Tests:
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-kziw{background-color:#F9CB9C;text-align:left;vertical-align:top} .tg .tg-7yig{background-color:#FFF;text-align:center;vertical-align:top} .tg .tg-ktyi{background-color:#FFF;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
Schnellster ZTNA-Anbieter bei jedem Cloud-Anbieter und in jeder Region nach HTTP-Antwortzeit im 95. Perzentil
AWS
Azure
GCP
Australien (Osten)
Cloudflare
Cloudflare
Cloudflare
Brasilien (Süden)
Cloudflare
Cloudflare
Cloudflare
Kanada (zentral)
Cloudflare
Cloudflare
Cloudflare
Indien (zentral)
Cloudflare
Cloudflare
Cloudflare
US-Osten
Cloudflare
Cloudflare
Cloudflare
Südafrika (Norden)
Cloudflare
Cloudflare
USA (zentraler Süden)
Cloudflare
Cloudflare
Südostasien
Cloudflare
Cloudflare
Cloudflare
Schweiz (Norden)
Cloudflare
Cloudflare
Cloudflare
VAE (Dubai)
Cloudflare
Cloudflare
Cloudflare
UK (Süden)
Cloudflare
Cloudflare
Cloudflare
US-Westen
Cloudflare
Cloudflare
Cloudflare
Dieses Diagramm zeigt die Ergebnisse aller Tests, die mit Cloudflare und Zscaler für Anwendungen durchgeführt wurden, die in drei verschiedenen Clouds an 12 verschiedenen Standorten gehostet werden, und zwar von denselben 400 Catchpoint-Knoten wie bei den ZTNA-Tests. In jedem Szenario war Cloudflare schneller. Tatsächlich hatte kein Test gegen einen von Cloudflare geschützten Endpunkt eine HTTP-Antwortzeit im 95. Perzentil von über 2105 ms, während kein von Zscaler geschützter Endpunkt eine HTTP-Antwortzeit im 95. Perzentil von unter 5000 ms hatte.
Um diese Daten zu erhalten, haben wir dieselben VMs genutzt, um Anwendungen zu hosten, auf die über RBI-Dienste zugegriffen wird. Jeder Catchpoint-Knoten würde versuchen, sich über RBI bei der Anwendung anzumelden, Authentifizierungsdaten zu erhalten und dann versuchen, durch Übermittlung der Daten auf die Seite zuzugreifen. Wir betrachten dieselben neuen und bestehenden Sitzungen wie bei ZTNA, und Cloudflare ist sowohl bei neuen Sitzungen als auch bei bestehenden Sitzungen schneller.
Wir müssen schnell(er) sein
Unsere Zero Trust-Kunden wollen, dass wir schnell sind, nicht weil sie den schnellsten Internetzugang wollen, sondern weil sie wissen wollen, dass die Produktivität ihrer Mitarbeiter durch den Wechsel zu Cloudflare nicht beeinträchtigt wird. Das bedeutet nicht unbedingt, dass unsere oberste Priorität darin besteht, schneller als unsere Konkurrenten zu sein, obwohl wir das sind. Das Wichtigste ist für uns, die Erfahrung zu verbessern, damit sich unsere Nutzer wohlfühlen und wissen, dass wir ihre Nutzererfahrung ernst nehmen. Wenn wir im September in der Birthday Week neue Zahlen veröffentlichen und schneller sind als zuvor, bedeutet das nicht, dass wir die Zahlen einfach nach oben geschraubt haben: Es bedeutet, dass wir unseren Service ständig evaluieren und verbessern, um unseren Kunden das beste Erlebnis zu bieten. Es ist uns wichtiger, dass unsere Kunden in den Vereinigten Arabischen Emiraten eine bessere Office365-Erfahrung haben, als einen Mitbewerber in einem Test zu schlagen. Wir zeigen diese Zahlen, um Ihnen zu verdeutlichen, dass wir Performance ernst nehmen und uns dafür einsetzen, Ihnen das beste Erlebnis zu bieten, egal wo Sie sind.