Application-Delivery-Controller
Sicherheit und Geschwindigkeit
Fortsetzung des Artikels von Teil 1
DDoS
2011 und 2012 erlebten unzählige Unternehmen einen Anstieg bei ausgeklügelten, verteilten Denial-of-Service (DDoS)-Angriffen. In vielen Fällen waren traditionelle Firewalls nicht in der Lage, mit dem Volumen und der Bandbreite der Angriffe fertigzuwerden, sodass sie kläglich versagten — die DDoS-Attacke war erfolgreich; es wurden gültige Kundenverbindungen abgewiesen, da die Firewall zu sehr mit der Bearbeitung von Angreiferverbindungen beschäftigt war.
Allerdings waren nicht alle dieser Angriffe erfolgreich. Einige Unternehmen konnten auf ein fortgeschritteneres System zurückgreifen, das mit dem Volumen fertig wurde, böswillige Verbindungen aufspürte und diese ins Nirwana schickte.
Diese Unternehmen haben davon profitiert, dass sie einen F5 BIG-IP Application-Delivery-Controller (ADC) wie beispielsweise „BIG-IP Local Traffic Manager“ (LTM) in ihren Netzwerken einsetzen. Wenn Verbindungen, die über die Load-Balancer-/Firewall-Services hereinkommen, als Teil eines eingehenden Angriffs (etwa eine DDoS-Attacke) erkannt werden, landen sie auf einer Seite außerhalb des Produktionsnetzwerks, anstatt über das IPS auf die Produktionsserver geleitet zu werden. Die Stärke dieser Methodik liegt im Design der TMOS-Architektur und Hardware. In einem DoS-Szenario kann das BIG-IP-Gerät aufgrund seines leistungsstarken Routings und der Manipulation Engines, die durch kundenspezifische Hardware ermöglicht werden, erheblich mehr Datenverkehr als traditionelle Firewalls bearbeiten. Gleichzeitig werden gültige Verbindungen über die anderen Funktionen des BIG-IP-ADC geleitet, um gültige Benutzer mit den gewünschten Anwendungen zu verbinden. Da diese gütigen Verbindungen beschleunigt werden, ist die wahrgenommene Gesamt-Performance auf gültigen Client-Maschinen hoch, während Angreifer auf eine spezielle Seite geschickt werden, die ihnen den Zugang zu kritischer Infrastruktur verwehrt.
Schnellere Anwendungen, Sicherung des Perimeters
Schutz vor DDoS-Attacken ist wichtig, aber nur die Spitze des Eisbergs. DDoS ist ein beängstigender, aber nur gelegentlich stattfindender Angriff, aber an den Tagen ohne DDoS-Aktivität wird die Performance von Webanwendungen durch eine ganze Reihe von Verbesserungen im Bereich Datenkommunikation und -verarbeitung gesteigert.
- SSL-Offload verbessert die Gesamt-Performance von Webanwendungen, da die Server-CPU entlastet wird und Verbindungsanfragen bearbeiten kann.
- Web-Application-Firewall-Services erhöhen die Sicherheit für alle Webanwendungen, unabhängig davon, ob diese zugekauft oder inhouse entwickelt wurden.
- TCP-Optimierungen verringern den Overhead von TCP-Verbindungen - vor allem in einem verlustbehafteten Netzwerk - ganz erheblich.
- Komprimierung verringert die Anzahl der übertragenen Bytes, wenn Clients dies unterstützen, was die wahrgenommene Performance verbessert.
- SPDY verbessert die Performance auf die gleiche Weise wie Unix TAR-Dateien Speicherplatz sparen: bei mehreren Verbindungen wird Overhead vermieden, so wie TAR mehrere Dateien platzsparend archiviert.
- Deduplizierung reduziert die übertragene Datenmenge noch weiter, wenn zwei Rechenzentren Daten austauschen müssen, was z.B. bei einer Replizierung oder anderen Backup-Methoden vorkommt. Das wiederum reduziert das Volumen bei Internetverbindungen, wovon Kunden profitieren, die Zugang zu Anwendungen haben möchten.
- Bildoptimierung reduziert den Overhead von übertragenen Bildern, indem die Dateigröße durch Löschen unnötiger Metadaten und Komprimierung (falls das Bild nicht bereits komprimiert ist) verringert wird.
Unternehmen müssen die Nutzung ihrer Netzwerkressourcen heute in dem Maße verbessern, in dem die Virtualisierung die Nutzung von Serverressourcen verbessert hat. Wenn IT-Abteilungen die zu übertragenden Datenmengen auf ein Minimum reduzieren und die Serverressourcen reaktionsschneller machen, vermittelt das den Benutzern den Eindruck, dass die Performance der Anwendungen besser ist, während es gleichzeitig die Kosten für zusätzliche Server und leistungsstärkere Internetverbindungen, die mehr Volumen verkraften, senkt.
Lesen Sie mehr zum Thema
