Informačná bezpečnosť

Application Delivery – efektívna ochrana proti hackerom a optimalizácia výkonu služieb

Sú va­še webo­vé služ­by chrá­ne­né pro­ti hac­ke­rom? Prog­ra­má­to­ri čas­to uro­bia chy­by, kto­ré do­ká­žu útoč­ní­ci zneu­žiť. Exis­tu­je však flexibil­né rie­še­nie, kto­ré ok­rem kva­lit­né­ho za­bez­pe­če­nia po­nú­ka aj ši­ro­kú šká­lu ďal­ších mož­nos­tí a zlep­še­ní. Tá­to tech­no­ló­gia ne­sie ozna­če­nie Ap­pli­ca­tion De­li­ve­ry.

Ap­pli­ca­tion De­li­ve­ry je mno­ži­na tech­no­ló­gií za­bez­pe­ču­jú­cich vy­so­kú dos­tup­nosť, bez­peč­nosť, doh­ľad­nosť a urý­chle­nie slu­žieb.

Za­ria­de­nia pos­ky­tu­jú­ce tie­to služ­by sa vo­la­jú Ap­pli­ca­tion De­li­ve­ry Con­trollers (ADC). Ty­pic­ký prík­lad je Bi­gIP, pro­dukt fir­my F5. Za­bez­pe­če­nie dos­tup­nos­ti a urý­chle­nia slu­žieb je za­lo­že­ný na roz­kla­da­ní zá­ťa­že (load ba­lan­cin­gu). Keď nap­rík­lad na webo­vú strán­ku pris­tu­pu­je na­raz 1000 ľu­dí, pr­vých 200 ob­slú­ži je­den server, ďal­ších 200 dru­hý server a zvyš­ných 600 tre­tí, naj­vý­kon­nej­ší server.

ADC do­ká­že pri­hlia­dať aj na vy­ťa­že­nosť (CPU, RAM, HDD...) kon­co­vých server­ov a dy­na­mic­ky pris­pô­so­bo­vať, kam bu­dú sme­ro­va­né no­vé po­žia­dav­ky. Load ba­lan­cin­gom sa to však ani zďa­le­ka ne­kon­čí. ADC do­ká­že preb­rať niek­to­ré fun­kcie na se­ba a od­bre­me­niť tak vy­ťa­že­né kon­co­vé server­y. Prík­la­dom mô­že byť ag­re­gá­cia via­ce­rých po­žia­da­viek do jed­né­ho spo­je­nia TCP.

pict_big-ip01.jpg

Ve­de­li ste, že bež­ný webo­vý server spot­re­bu­je 20 - 40 % CPU len na vy­tvá­ra­nie a ob­slu­hu spo­je­ní TCP IP? Tak­že v prí­pa­de vy­uži­tia ADC mož­no do­siah­nuť v prie­me­re o 1/3 vy­šší vý­kon, a to eš­te ne­be­rie­me do úva­hy vý­kon ušet­re­ný pre­su­nu­tím ďal­ších fun­kcií (šif­ro­va­nie ko­mu­ni­ká­cie po­mo­cou SSL, kom­pri­mo­va­nie dát atď.) na ADC.

Spo­je­nie me­dzi ADC a serverm­i je štan­dar­dne pod­stat­ne rých­lej­šie, bez­peč­nej­šie a me­nej chy­bo­vé ako inter­net, cez kto­rý pris­tu­pu­jú klien­ti. Keď­že ADC pra­cu­je v tzv. full proxy ar­chi­tek­tú­re, do­ká­že op­ti­ma­li­zo­vať spo­je­nia so serverm­i a klien­tmi ne­zá­vis­le, a te­da vy­užiť všet­ky sie­te na maximum. Keď­že spo­je­nia s klien­tmi a serverm­i sú ne­zá­vis­lé, do­ká­že bez prob­lé­mov ko­mu­ni­ko­vať s klien­tmi po­mo­cou IPv4 a so serverm­i po­mo­cou IPv6 (prí­pad­ne ob­rá­te­ne).

Ok­rem uve­de­ných mož­nos­tí sú k dis­po­zí­cii ďal­šie mo­du­ly umož­ňu­jú­ce roz­ší­re­nie fun­kcio­na­li­ty o mož­nosť de­dup­li­ká­cie dát pri ko­mu­ni­ká­cii me­dzi dá­to­vý­mi cen­tra­mi, za­bez­pe­če­nie vy­so­kej dos­tup­nos­ti na úrov­ni geog­ra­fic­ky od­de­le­ných dá­to­vých cen­tier, prí­pad­ne za­de­fi­no­va­nie prís­tu­po­vých pra­vi­diel, kto­rí pou­ží­va­te­lia mô­žu pris­tu­po­vať na kto­ré služ­by. Ty­pic­kým prík­la­dom mô­že byť po­li­ti­ka, kto­rá umož­ní prís­tup na strán­ku www.fir­ma.sk všet­kým pou­ží­va­te­ľom inter­ne­tu, ale na strán­ku www.fir­ma.sk/intra­net iba za­mes­tnan­com, kto­rí sú ove­re­ní po­mo­cou do­mé­no­vé­ho me­na a hes­la. Do­kon­ca umož­ňu­je pri­dať ďal­šie pra­vid­lá, nap­rík­lad na strán­ku www.fir­ma.sk/intra­net/taj­ne bu­dú mať prís­tup iba za­mes­tnan­ci, kto­rí ma­jú plat­ný cer­ti­fi­kát a sú sú­čas­ťou sku­pi­ny 'ma­naž­ment'.

Čas­to vy­uží­va­ná fun­kcio­na­li­ta je tzv. ap­li­kač­ný fi­rewall. Po­nú­ka mož­nosť veľ­mi gra­nu­lár­ne za­de­fi­no­vať pra­vid­lá na úrov­ni ap­li­kač­nej vrstvy (ty­pic­ky HTTP/HTTPS), kto­ré po­žia­dav­ky sú le­gi­tím­ne a kto­ré nie. Tým mož­no ochrá­niť webo­vé služ­by pred útok­mi z inter­ne­tu. Je to vhod­né pre všet­ky ty­py webo­vých ap­li­ká­cií, obzvlášť pre strán­ky ob­sa­hu­jú­ce cit­li­vé dá­ta (inter­ne­to­vé ob­cho­dy, inter­net ban­king, web­mai­ly, hos­tin­go­vé služ­by...), kde by prí­pad­ný útok na ta­kú­to strán­ku mo­hol spô­so­biť znač­né ško­dy.

Ap­li­kač­ný fi­rewall do­ká­že pra­co­vať aj v re­ži­me ne­ga­tív­nej bez­peč­nos­ti (ad­mi­nis­trá­tor za­de­fi­nu­je, aké sprá­va­nie je nor­mál­ne, a čo­koľ­vek mi­mo po­vo­le­ných pra­vi­diel mô­že byť za­blo­ko­va­né), a te­da do­ká­že ochrá­niť va­še služ­by aj pred ta­ký­mi útok­mi, kto­ré bež­né sie­ťo­vé sys­té­my IPS ne­ma­jú šan­cu iden­ti­fi­ko­vať. Všet­ky fun­kcio­na­li­ty sú pl­ne kon­fi­gu­ro­va­teľ­né, tak­že správ­ca si mô­že za­de­fi­no­vať, kto­rú ko­mu­ni­ká­ciu chce pus­tiť, kto­rá ko­mu­ni­ká­cia bu­de po­doz­ri­vá, za­zna­me­na­ná, ale na­priek to­mu pre­pus­te­ná a kto­rá ko­mu­ni­ká­cia bu­de blo­ko­va­ná.

Naj­väč­šia vý­ho­da pro­duk­tov Bi­gIP je však mož­nosť dop­rog­ra­mo­vať si vlas­tnú fun­kcio­na­li­tu (naz­va­nú iRu­le) v prí­pa­de, ak po­ža­du­je­te nie­čo, čo za­ria­de­nie za­tiaľ ne­vie. Prík­la­dom mô­že byť jed­na reál­na po­žia­dav­ka od zá­kaz­ní­ka, kto­rý pot­re­bo­val roz­kla­dať zá­ťaž me­dzi da­ta­bá­zo­vé server­y. Zá­klad­ná ove­re­ná fun­kcio­na­li­ta, kto­rá bez prob­lé­mov fun­gu­je. Nes­kôr priš­la po­žia­dav­ka, aby sa sku­pi­na zá­lož­ných server­ov vy­uží­va­la iba v prí­pa­de, že sú všet­ky server­y z pri­már­nej sku­pi­ny ne­dos­tup­né.

Po drob­nej úp­ra­ve kon­fi­gu­rá­cie sa po­žia­dav­ky roz­de­ľo­va­li pres­ne pod­ľa že­la­nia zá­kaz­ní­ka. Nás­led­ne zá­kaz­ník pri­šiel s po­žia­dav­kou, či by sa ne­da­lo za­bez­pe­čiť, aby Bi­gIP za­plo zá­lož­né server­y, keď ich plá­nu­je vy­uží­vať. Z dô­vo­du li­cen­cií to­tiž ne­moh­li mať na­raz spus­te­né pri­már­ne aj zá­lož­né server­y. Tak­že v prí­pa­de vý­pad­ku pri­már­nych mal Bi­gIP za­bez­pe­čiť naš­tar­to­va­nie zá­lož­ných server­ov a nás­led­ne na tie­to server­y pos­tú­piť po­žia­dav­ky. Po­kiaľ pri­már­ne server­y oži­li, bo­lo sa tre­ba pos­ta­rať o ko­rek­tné vy­pnu­tie zá­lož­ných server­ov a pre­po­sie­lať po­žia­dav­ky na pri­már­ne server­y. Tá­to fun­kcio­na­li­ta v Bi­gIP za­bu­do­va­ná nie je, ale keď­že pla­tí hes­lo „náš zá­kaz­ník, náš pán", sta­či­lo nie­koľ­ko ho­dín prog­ra­mo­va­nia skrip­tu iRu­le a zra­zu fun­go­va­lo všet­ko, ako ma­lo.

Ten­to člá­nok ob­sa­hu­je iba ma­lú časť to­ho, čo rie­še­nia ADC do­ká­žu. Cie­ľom nie je vý­pis tech­nic­kých vlas­tnos­tí pro­duk­tov, ale pood­kry­tie to­ho, čo sa uk­rý­va pod ozna­če­ním Ap­pli­ca­tion De­li­ve­ry a aké prí­no­sy mô­že ADC pri­niesť, po­kiaľ sa roz­hod­ne­te vy­užiť je­ho služ­by vo svo­jej infra­štruk­tú­re.

Mar­tin Jen­čo, Se­nior Sys­tem En­gi­neer, ALEF Dis­tri­bu­tion, e-mail: mar­tin.jen­co@alef.com

Zdroj: IW 5-6/2014


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

In­for­mač­ná bez­peč­nosť: Geog­ra­fic­ky dis­tri­buo­va­ná ochra­na dát
Ako minimalizovať výpadok IT služieb a stratu dát v dôsledku nepriaznivých udalostí. Zatiaľ čo v predošlej dekáde stačilo chrániť pred výpadkom niektoré aplikácie.  čítať »
 
Pla­te­ná rek­la­ma vs. op­ti­ma­li­zá­cia SEO – vý­ho­dy, ne­ga­tí­va, mož­nos­ti
Špecialisti na SEO tvrdia, že správnou optimalizáciou webu máte šancu získať oveľa viac ako platenou reklamou. Naproti tomu experti na platenú reklamu argumentujú dosahovaním rýchlych a merateľných výsledkov. čítať »
 
Ar­chi­tekt vs Pro­jek­to­vý ma­na­žér - spo­jen­ci, či ne­pria­te­lia?
Tieto roly existujú v každom väčšom projekte, ale napriek tomu ich spolupráca často neprebieha tak hladko ako by sa očakávalo. Je dôvod v samotných rolách, alebo leží úplne inde? čítať »
 
Ap­pli­ca­tion De­li­ve­ry – efek­tív­na ochra­na pro­ti hac­ke­rom a op­ti­ma­li­zá­cia vý­ko­nu slu­žieb
Sú vaše webové služby chránené proti hackerom? Programátori často urobia chyby, ktoré dokážu útočníci zneužiť.   čítať »
 
Cloud com­pu­ting: Oča­ká­va­nia a reali­ta, preh­ľad pos­ky­to­va­te­ľov (Ama­zon, Goog­le, IBM, Mic­ro­soft)
Cloud computing, technológia predstavujúca model zdieľania hardvérových zdrojov pomocou virtualizácie a automatizácie, v súčasnosti naberá rýchlosť pri globálnom rozširovaní sa do celého spektra sektorov poskytujúcich obrovské množstvo služieb. čítať »
 
Dá­ta nie sú len ved­ľaj­ším pro­duk­tom pre­vádz­ky IS
Na otázku, ako stručne hodnotíte informačný systém vašej organizácie, by sme dostali mnoho rôznych odpovedí. čítať »
 
BYOD pod­po­ru­je ino­vač­né ini­cia­tí­vy ta­len­to­va­ných za­mes­tnan­cov
Jeden z charakteristických atribútov trendu BYOD je možnosť vynútenia technologického pokroku v IT podpore biznisu „zdola", najčastejšie zo strany mladších používateľov. čítať »
 
Li­cen­čnú čis­to­tu je ťaž­ké us­trá­žiť
Pre licenčného manažéra je znalosť aktuálnych licenčných podmienok od dvoch až troch výrobcov softvéru na všetok využívaný softvér v spoločnosti nedosiahnuteľná méta. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter