Дослідження компромісу між продуктивністю та безпекою при використанні сайдкар-проксі для управління трафіком мікросервісів

Abstract

У статті проведено дослідження компромісу між продуктивністю та безпекою під час використання сайдкар-проксі та сервіс-меш рішень для управління трафіком у мікросервісних архітектурах. Актуальність роботи зумовлена стрімким поширенням мікросервісної моделі, де стабільність обробки запитів, ефективне балансування навантаження та захист комунікацій визначають надійність спеціалізованих комп’ютерних систем. У роботі розглянуто сучасні open-source інструменти – Envoy, Istio (mTLS та ambient-модель) і Linkerd. Для порівняння застосовано експериментальне середовище з навантажувальними тестами, у яких вимірювалися ключові метрики: затримки обробки запитів (p95/p99), пропускна здатність, ресурсні накладні витрати (CPU/RAM) та рівень безпеки (наявність mTLS, політики доступу). Для узагальнення результатів використано композитний індекс із SLO-орієнтованою нормалізацією. Досліджено вплив різних вагових коефіцієнтів, зокрема підвищеної ваги p99 latency як критичного SLA-показника. Результати довели, що Envoy і Linkerd демонструють оптимальний баланс продуктивності та простоти інтеграції, Istio (ambient) виступає компромісом між безпекою та ефективністю, а Istio (mTLS) забезпечує найвищий рівень безпеки ціною зниження продуктивності. На основі проведеного аналізу сформульовано практичні рекомендації: Envoy і Linkerd доцільно застосовувати в latency-чутливих і ресурсообмежених середовищах, Istio (mTLS) – у корпоративних системах з підвищеними вимогами до безпеки, а Istio (ambient) – у гібридних сценаріях. Загалом, open-source інструменти довели свою здатність забезпечити гнучкий вибір між продуктивністю та безпекою, залишаючись економічно привабливою альтернативою комерційним продуктам.The article presents an in-depth study of the trade-off between performance and security when using sidecar proxies and service mesh solutions for traffic management in microservice architectures. The relevance of this research is driven by the rapid adoption of the microservice model in modern information systems, where request stability, effective load balancing, and secure communication are key to ensuring the reliability and resilience of specialized computer systems. The complexity of such architectures arises from the large number of services interacting through networks, making them vulnerable to delays, overloads, and attacks. The study focuses on state-of-the-art open-source tools, including Envoy, Istio (in two configurations: mTLS and the ambient model), and Linkerd, which are widely adopted in service communication management. To objectively evaluate their effectiveness, an experimental environment was created with representative load-testing scenarios. Key performance and security metrics were measured, including request processing delays at the p95/p99 levels, throughput, resource overhead, and the degree of communication security assessed by the presence of mTLS, access policies, and additional control mechanisms. To generalize the results, a composite index was applied using SLO-oriented normalization. Special attention was given to the impact of weighting factors, with an emphasis on p99 latency as a critical SLA metric that directly affects user experience in high-load systems. The results demonstrated different balances between performance and security. Envoy and Linkerd proved to be the most effective in environments where minimizing latency and resource efficiency are critical. Istio in the ambient model offered an acceptable compromise between security and efficiency, making it suitable for hybrid scenarios. In contrast, Istio with mTLS confirmed its superiority in terms of maximum communication security, but at the cost of reduced throughput and increased latency. Based on the analysis, practical recommendations were formulated: Envoy and Linkerd are preferable for latencysensitive and resource-constrained environments; Istio (mTLS) is recommended for corporate systems with strict confidentiality and security requirements; Istio (ambient) is best suited for cases where flexibility and reliability must be balanced. Overall, the results confirm that open-source tools can provide a wide range of capabilities for managing microservice communications, allowing organizations to select optimal strategies depending on whether performance or security is prioritized, while remaining a cost-effective alternative to commercial products.