Riverbed erhält die Vertrauenskette
Beschleunigung von SSL-Verkehr im WAN
WAN-Beschleuniger Riverbed verkündet, mit der aktuellen Version 4.0 seines Appliance-Betriebssystem RIOS über eine Optimierung des SSL-Verkehrs im WAN eine sichere Ende-zu-Ende-Beschleunigung zu bieten, ohne dass dabei das SSL Trust Model zu ändern wäre. Für die Beschleunigung von Datenverkehr über WAN-Strecken, wie sie auch Cisco, Juniper, Packeteer und diverse andere Hersteller anbieten, stellt SSL-Verkehr bislang eine Hürde dar: Die WOC-Appliances (WAN Optimization Controller) konnten nur unverschlüsselten WAN-Verkehr beschleunigen. Andernfalls hätte ein Unternehmen zur Beschleunigung die SSL-Zertifikate und -Schlüssel an die Endgeräte in den Filialen vergeben müssen (Certificate Spoofing). Als einziger Beschleunigungsmechanismus blieb somit der SSL Offload: Hier nehmen AFEs (Application Frontends) den Applikations- oder Webservern als Full SSL Proxies die Ver- und Entschlüsselungsarbeit ab. Dies ist allerdings ein asymmetrisches Optimierungsverfahren, das von der symmetrischen TCP-Beschleunigung der WOCs entkoppelt ist.
Riverbed gibt nun an, durch ein Verfahren namens "Split Termination" als erster Anbieter SSL-Verkehr auch im WAN beschleunigen zu können, ohne die Vertrauenskette durch Zertifikats-Spoofing zu kompromittieren. Diese SSL-Beschleunigung ist nun Bestandteil der VPN- und IPSec-Option von Riverbeds Steelhead Appliances. Dabei entschlüsseln die WOCs laut Hersteller den SSL-Verkehr, codieren ihn für die WAN-Beschleunigung, um ihn dann für den Transfer erneut zu verschlüsseln. Am anderen Ende der WAN-Leitung wiederholt sich dann dieser Ablauf in umgekehrter Reihenfolge. RIOS 4.0 kopiert dabei die SSL-Zertifikate und privaten Schlüssel auf die serverseitigen Steelhead-Geräte, nicht jedoch auf die Client-seitigen. Die Steelhead Appliances wiederum benutzen ihre eigenen Zertifikate zur Errichtung einer sicheren Verbindung zwischen der Server- und der Client-Seite. Der Vorteil laut Riverbed: Die SSL-Zertifikate verbleiben auf der RZ-Seite, ohne die Filialen involvieren zu müssen. Es seien keine Zertifikate an die Clients zu verteilen und die Client-seitigen Steelhead-Geräte vor Fälschungen sicher. Zum Anfordern von Daten initiiert der Client eine SSL-Session mit der serverseitigen Steelhead und erhält einen temporären SSL-Schlüssel. Damit ergebe sich eine durchgängig und bidirektional optimierte SSL-Übertragung. Auf Wunsch lässt sich die Strecke zwischen serverseitiger Steelhead und dem Server mit einem Null-Schlüssel versehen.
Ein ähnliches Verfahren zur Beschleunigung von SSL unterstützt auch Konkurrent Blue Coat mit seinen auf das Zusammenspiel von Bandbreitenoptimierung und Security ausgelegten SG-Appliances. AFE-Marktführer F5 hingegen kann hier nur auf den SSL-Offload durch die Big-IP-Geräte verweisen. Allerdings plant F5, seinen WAN-Beschleuniger namens Wanjet als Modul auf die Big-IP-Plattform zu portieren, sodass dann zumindest SSL-Offload und WAN-Beschleunigung in einer Box gemeinsam ablaufen.
Im Zusammenhang mit dieser SSL-Optimierung hat Riverbed zudem die Beschleunigung von HTTPS-Verkehr für Business-Applikationen wie SAP bekanntgegeben. Außerdem habe man die HTTP-Beschleuigung verbessert: RIOS 4.0 biete nun lernfähige Mechanismen, um Objekte wie Bilder, Skripte oder CSS (Cascading Style Sheets) auf Webseiten zu tracken. Nach dem Caching der Objekte kann die Steelhead Applicance solche Objekte parallel übertragen und so die Chattiness (Geschwätzigkeit) von Webapplikationen minimieren – ein als "HTTP Acceleration" bezeichnetes Verfahren, das laut Riverbed auch mit dynamischen Webseiten funktioniert.
Den grundlegenden TCP-Beschleunigungsprozess verbessert MX-TCP (Max-Speed TCP): Dieses Feature umgeht die TCP-eigenen Congestion-Control-Mechanismen und dient dazu, zum Beispiel für Replikationsläufe eine TCP-Strecke mit bis zu 100 Prozent auszulasten. Laut Hersteller ermöglicht es zudem ein verbesserter Auto-Discovery-Mechanismus nun, automatisch WAN-Verkehr zwischen den am weitesten entfernten Appliances zu lokalisieren. Der Admin erspare sich damit manuelles Peering und das Management von Multi-Hop-Umgebungen. Zur Garantie von Hochverfügbarkeit stehen Active-/Active-Synchronisationsmechanismen mit kontinuierlichem Abgleich der Cache-Datenbestände zur Verfügung.
RIOS 4.0 soll noch im März erhältlich werden. Das Upgrade auf Version 4.0 ist für Riverbed-Kunden mit Wartungsvertrag kostenlos.
LANline/wg
Lesen Sie mehr zum Thema
