Das Internet als internationale Geschäftsplattform Application Delivery Networking stärkt Performance und Sicherheit

Autor / Redakteur: Harald Prokop, Akamai Technologies / Stephan Augsten

Nur weil das Internet als Geschäftsplattform genutzt wird, ist es noch lange nicht für diesen Zweck geeignet. Denn trotz seiner Flexibilität und Kosteneffizienz besticht das World Wide Web weder mit Hochverfügbarkeit noch Performance – und schon gar nicht mit Sicherheit. Einen möglichen Ausweg bilden Application Delivery Networks.

Firmen zum Thema

Mit Application Delivery Network Services lässt sich eine redundante Perimeter-Sicherheit im Internet herstellen.
Mit Application Delivery Network Services lässt sich eine redundante Perimeter-Sicherheit im Internet herstellen.
( Archiv: Vogel Business Media )

Hinsichtlich der Perimeter-Sicherheit oder auch der Latenz von HTTPS- und VPN-Verbindungen offenbart das Internet deutliche Schwähen. Um derartige Herausforderungen für Webapplikationen zu meistern, wird eine globale Infrastruktur benötigt, die auf dem Internet aufsetzt und so ein intelligentes Overlay-Netzwerk bildet.

Auf diese Weise entsteht eine virtuelle private WAN-Umgebung innerhalb des Internets. Diese ermöglicht eine sichere Verbindung mit Kunden, Partnern und Mitarbeitern und sorgt gleichzeitig für ein Höchstmaß an Verfügbarkeit und Leistungsfähigkeit.

Bildergalerie

Die Wirksamkeit der Strategie eines globalen Overlay-Netzwerks wird maßgeblich durch die Verteilung und räumliche Nähe intelligenter Kontrollpunkte am Rande der Internetwolke bestimmt. Durch eine geringe Entfernung von lediglich einem „Network Hop“ zum Endanwender beziehungsweise zur Anwendungsinfrastruktur lässt sich eine binodale, symmetrische Kontrolle der so genannten „Middle Mile“ erreichen. Dies bringt folgende Vorteile mit sich:

  • Schaffung von Remote- und lokalen Perimeter-Firewalls innerhalb der Internetwolke, um so den Zugang zu Unternehmensinhalten zu kontrollieren und Internetattacken abwehren zu können.
  • Intelligente Auswahl von Pfaden zwischen den Anwendern und dem Rechenzentrum zur Erzielung kürzester und konsistenter Latenzzeiten, um die Performance nachhaltig zu steigern.
  • Intelligentes Routing des Datenverkehrs zwischen den Anwendern und dem Rechenzentrum, um Engpässe und Verfügbarkeitsprobleme im Internet zu umgehen.
  • Anpassung der standardmäßigen TCP- und HTTP-Protokolle, sodass die Anzahl der Roundtrips verringert und der Datendurchsatz maximiert wird. Die wiederholte Übertragung angeforderter Inhalte sowie Client-Antwortzeiten werden minimiert.

Inhalt

  • Seite 1: Den Schwächen des Internets begegnen
  • Seite 2: Sichere Anwendungsbereitstellung per HTTPS
  • Seite 3: Sicherheit ohne Performance-Verlust
  • Seite 4: Das Application Delivery Network

Sichere Anwendungsbereitstellung per HTTPS

Da immer mehr Unternehmen ihre Anwendungen für Partner und Kunden über das Internet bereitstellen, steigt auch das unternehmerische Risiko durch immer neue Gefahren. Zu solchen Risiken gehören beispielsweise Hacker-Angriffe, Viren und Würmer ebenso wie Denial-of-Service-Attacken oder das böswillige Verfälschen von Inhalten.

Unternehmenslösungen im Internet werden daher an der Sicherheit im privaten WAN gemessen. Dieses verfügt über zahlreiche Kontrollpunkte außerhalb des Rechenzentrums, mit denen sich ein mindestens zweistufiges Sicherheitskonzept realisieren lässt. Da Kunden und Geschäftspartner aber meist außerhalb des privaten WAN angesiedelt sind und nicht zum Unternehmen gehören, scheidet für diesen Anwenderkreis die Nutzung von VPN-Technologie oftmals aus.

Die Einbindung von externen Parteien ist aufgrund der sich ständig verändernden Beziehungen zum Unternehmen über eine VPN-basierte Technologie äußerst schwierig. Erschwerend kommt hinzu, dass VPN-Gateways erheblich mehr Kosten als Nutzen verursachen können. Schließlich muss neben dem Gateway auch die Technik bei den Anwendern administriert werden.

Daher hat sich die Verschlüsselung über HTTPS-Verbindungen heutzutage breitflächig als Standard durchgesetzt. Diese Technologie bietet die nötige Flexibilität und hat sich bei der sicheren Bereitstellung von Unternehmensanwendungen bewährt.

Ein hohes Maß an Sicherheit, ähnlich einer VPN-Verbindung, wird über eine Verlagerung der Kontrolle in die Internet-Wolke erreicht. Über einen solchen Edge-Perimeter-Ansatz vom Rande des Internet aus können Angriffe bereits abgefangen werden, noch bevor sie die Unternehmensinfrastruktur erreichen. Ein Overlay-Netzwerk schafft eine intelligente, mehrstufige Perimeter-Sicherheit:

  • Blockierung von „Malformed Requests“: Da das Overlay-Netzwerk als Proxy für eine Anfrage dient, kann der vorgelagerte, intelligente Abwehrmechanismus diese Art von Anfragen und Datenpaketen bereits im Vorfeld abfangen, bevor sie die eigentliche Applikationsinfrastruktur erreichen.
  • Zugriffskontrolllisten: Da die Anwender über das Overlay-Netzwerk eine Verbindung mit dem Firmennetz herstellen, können Zugriffskontrolllisten in den Edge-Bereich verschoben werden, um so den Zugriff einzelner Anwender zu gestatten bzw. zu unterbinden.
  • Schutz des Ausgangsservers: Der Applikationsserver befindet sich hinter dem Overlay-Netzwerk, das so einen wirksamen Schutz bietet. Der Zugriff auf die IP-Adresse des Servers von außen wird blockiert, nur der von einem nahegelegenen Edge-Kontrollpunkt des Overlay-Netzwerks stammende Traffic erreicht den Applikationsserver.
  • Schutz gegen DDOS-Attacken: Da das Overlay-Netzwerk die Auslieferung von Inhalten und Daten für den Ausgangsserver übernimmt, kann es auch DDOS-bedingte Traffic-Spitzen abwehren und den Ausgangsserver vor Angriffen, die andernfalls durch ihre Tarnung als gewöhnliche Dateien oder Objekte als valide zugelassen werden, schützen.

Inhalt

  • Seite 1: Den Schwächen des Internets begegnen
  • Seite 2: Sichere Anwendungsbereitstellung per HTTPS
  • Seite 3: Sicherheit ohne Performance-Verlust
  • Seite 4: Das Application Delivery Network

Sicherheit ohne Performance-Verlust

Kunden, Partner und Angestellte sind im Allgemeinen weit verstreut. Wie Bild 1 der Bildergalerie zeigt, verschlechtert sich die Antwortzeit für den Endanwender, je weiter dieser von der Webapplikation entfernt ist. Die Antwortzeit von Webanwendungen für weit entfernte Nutzer kann bis zu zehn Mal höher sein als für diejenigen, die näher dran sind. Dies führt entweder zu einem schlechten Anwendererlebnis oder macht die Applikation für eine globale Zielgruppe sogar völlig unbrauchbar.

Der Grund für die Performance-Verschlechterung liegt an Border GatewayProtocol (BGP), das Transmission Control Protocol (TCP) und das Hypertext Transfer Protocol (HTTP). Die Internet-Protokolle sind schlichtweg nicht geeignet, eine optimale Performance und Skalierung sicherzustellen, was sich mit zunehmender Entfernung immer deutlicher zeigt.

Diese Engpässe werden oftmals auch als „Middle Mile Bottlenecks“ bezeichnet, da sie in der Middle Mile der Internet Cloud zwischen dem Webbrowser des Endanwenders und der Webapplikation anzusiedeln sind. Folgende Ansätze zur Verbesserung der Anwendungsauslieferung werden bisher verfolgt:

1. Ausbau des Rechenzentrums

Der Ausbau von Rechenzentren dient dazu, den Umfang an Servern und Bandbreite zu erhöhen und die Nachfrage besser bedienen zu können. Anwendungen und Inhalte werden dabei näher an räumlich weit verteilte Endanwender herangebracht. Allerdings sind mit dieser Methode mehrere Probleme verbunden.

Erstens ist ein Ausbau der Infrastruktur zum Abfedern von Trafficspitzen kostenintensiv. Zudem wird es immer Phasen geben, in denen diese Infrastruktur nicht oder nicht erschöpfend genutzt wird und dadurch das Unternehmen als brachliegendes Kapital belastet. Auch erfordert die Behebung von Middle-Mile-Engpässen für Nutzer in der Nähe des Rechenzentrums eine Datenreproduktion und -synchronisierung, was wiederum zusätzliche Kosten, mehr Komplexität und höhere Compliance-Risiken mit sich bringt.

2. Application Delivery Appliances

Spezielle Appliances erhöhen die Skalierbarkeit und optimieren die Anwendungsauslieferung. Application Delivery Controllers (ADC) ermöglichen ein L4- bis L7-Switching und bieten Funktionen wie Local Load Balancing, SSL Offload und Kompression. Dabei handelt es sich um zentrale Lösungen, da sie im Rechenzentrum des Unternehmens direkt vor den Webserver geschaltet und nicht in der Internet Cloud angesiedelt sind.

Die Auswirkungen eines Application Delivery Controllers sind auf das Rechenzentrum beschränkt, er kann keine binodale Optimierung durch die Positionierung von Prozessintelligenz oder Services in der Nähe des Endnutzers leisten. Somit sind die Möglichkeiten, Middle-Mile-Engpässe auszugleichen, begrenzt, was zu suboptimalen RTT (Round Trip Time) und RTT-Multiplikatoren führt.

3. Traditionelle Content Delivery Network (CDN) Services

Traditionelle CDNs sind in der Lage, statischen Content näher am Endnutzer zwischenzuspeichern und setzen dafür gewöhnlich eine zentralisierte Architektur mit einer geringen Anzahl an Server Locations ein. Diese Netzwerke sind dagegen nicht geeignet, dynamische, webfähige Unternehmensanwendungen schnell und sicher auszuliefern, da sie nicht die damit einhergehenden Middle-Mile-Engpässe adressieren.

4. Application Delivery Network (ADN) Services

ADN Services haben sich als umfassende Internet-basierte Plattform zur Performance-Verbesserung von Webapplikationen profiliert. ADNs übertreffen traditionelle CDNs und Application Delivery Appliances, indem sie helfen, First-Mile- und Middle-Mile-Engpässe gleichermaßen zu überwinden und darüber hinaus die Auslieferung von dynamischen Anwendungen, statischem Content sowie Webservices zu optimieren.

Als „zweite Haut über dem Internet“ kombinieren ADN Service Provider die von Application Delivery Appliances und CDNs eingesetzten Techniken, um das Internet in eine hochperformante Auslieferungsplattform für Web- und IP-basierte Anwendungen umzuwandeln.

Inhalt

  • Seite 1: Den Schwächen des Internets begegnen
  • Seite 2: Sichere Anwendungsbereitstellung per HTTPS
  • Seite 3: Sicherheit ohne Performance-Verlust
  • Seite 4: Das Application Delivery Network

Das Application Delivery Network

Die Grundlage eines ADN ist ein globales Netzwerk aus spezialisierten Servern, die durch optimierte Protokolle miteinander verbunden sind. Somit entsteht eine auf dem Internet aufsetzende, transparente Plattform, über die die Auslieferung von Anwendungen und Inhalten bedarfsgerecht optimiert wird.

Eine flächendeckende Verteilung der Server ist dabei entscheidend, um intelligente Endpunkte möglichst nah am Endnutzer und gleichzeitig am Anwendungsserver zu positionieren. Mit der Errichtung dieser beiden Endpunkte ist das ADN in der Lage, ineffizientes Protokollverhalten über das weitläufige Middle-Mile-Segment, in dem die große Mehrheit der Performance-Verschlechterung passiert, umzuwandeln.

ADN-Techniken teilen sich in drei Hauptkategorien:

  • Route Optimization: Behebung von BGP-Ineffizienz, die ein langsames Routing verursacht, indem über die Edge-Server-Plattform eine Echtzeit-Zustandskarte des Internets als Grundlage für Performance-basierte Routing-Entscheidungen zur Verfügung gestellt wird
  • Transport Optimization: Vermeidung des Round-Trip-Multiplier-Effekts durch eine effizientere Kommunikationstechnik innerhalb von TCP und HTTP zwischen Anwendungs- und Edge-Server in der Nähe des Endnutzers
  • Application Optimization

Das ADN erfüllt dabei die wichtigsten Voraussetzungen für die Optimierung der Protokollkommunikation. So wird eine Reihe beständiger Kommunikationsverbindungen zwischen Anwendungsserver und Endnutzer hergestellt, über die wiederum die Bündelung mehrerer HTTP-Anfragen über eine einzige Verbindung (Pipelining) möglich ist. Über genaues Wissen zum aktuellen Netzwerkzustand (z.B. Bandbreite, Latenz) kann in der optimalen Fenstergröße kommuniziert werden, was lange Startzeiten vermeidet.

Zu den Techniken, die ausschlaggebend für eine performante Bereitstellung von Webapplikationen sind, gehören:

  • Intelligentes Pre-Fetching: Bei einer Abfrage der Basisseite über den ADN-Edge-Server wird gleichzeitig eine Vorabfrage für die eingebetteten Objekte getätigt. Der gesamte Inhalt wird dann mithilfe des optimierten Protokolls in einer einzigen Transaktion zum Edge-Server geleitet. Wenn der Browser die Basisseite empfängt und dann die fehlenden Elemente der Seite anfragt, stehen diese schon zum Abruf auf dem Edge-Server in der Nähe des Endnutzers bereit und werden so innerhalb von Millisekunden ausgeliefert.
  • Komprimierung: Die Daten werden unterwegs komprimiert, wodurch sich die benötigte Bandbreite verringert.
  • Caching: Jeder cachefähige Inhalt wird im Edge-Server in der Nähe des Endnutzers vorgehalten und über den Zwischenspeicher ausgeliefert.

Mit ADN Services lässt sich eine redundante Perimeter-Sicherheit innerhalb der Internet-Wolke herstellen. Global aufgestellte Unternehmen können somit ihren weltweit verteilten Kunden, Partnern und Mitarbeitern Zugang zu Webapplikationen verschaffen, ohne Zugeständnisse an Sicherheit, Zuverlässigkeit und Performance machen zu müssen.

Das Internet bietet eine attraktive Lösung für Unternehmen, um ihre Infrastrukturkosten zu senken und die betriebliche Effizienz außerhalb der Firewall zu erhöhen. Um die Business Continuity zu wahren, ist dabei eine Absicherung der über das Internet hergestellten Verbindungen gegen hohe Latenzzeiten und Datenverluste essenziell.

Inhalt

  • Seite 1: Den Schwächen des Internets begegnen
  • Seite 2: Sichere Anwendungsbereitstellung per HTTPS
  • Seite 3: Sicherheit ohne Performance-Verlust
  • Seite 4: Das Application Delivery Network

(ID:2050613)