Časopis Connect č. 9/2005 publikoval v září článek na téma výkon, dostupnost a bezpečnost

Jak vyřešit magické zaklínadlo 24x 7?

Přístup k informacím 24 hodin 7 dní v týdnu je pro mnohé podniky nutností. A s efektivním fungováním podnikové IT infrastruktury souvisejí specifické faktory, které lze stručně shrnout do známého zaklínadla - výkon, dostupnost, bezpečnost. Už na první pohled toto konstatování není nikterak objevné, nicméně v poslední době tyto pojmy nabývají nových rozměrů. Podívejme se, jak je lze řešit.

Po příčině růstu důrazu kladeného na výkon, dostupnost i bezpečnost v podnikové síti nemusíme nijak složitě pátrat - spočívá v prostém faktu, že se stále více firem stává na jejich síťové infrastruktuře zcela závislými. Většina jejich kritických aplikací (tedy těch, na nichž přímo závisí fungování celého podniku) je, nebo záhy bude, přenesena do webového prostředí, které zajišťuje spolupráci systémů i komunikaci mezi uživateli a dodavateli, zákazníky či partnery. Využití internetu už není omezeno na e-mail, s webem jsou již bezprostředně propojeny například i aplikace typu CRM či ERP a stejně tak podnikové databáze.

Dostupnost

K poruchám či selháním může dojít na mnoha místech firemní sítě (na serveru, firewallu atd.) a dokonce i mimo ni (u poskytovatele internetu/připojení). Jakýkoliv problém, jenž se vyskytne na kritické cestě, přitom vede ke zbytečným výpadkům, snížení produktivity a tak dále. A to vše samozřejmě stojí nemalé peníze.
Pojem dostupnosti můžeme charakterizovat jako schopnost zajistit, že v každém okamžiku budou k dispozici zdroje nezbytné pro provedení požadované transakce. Základní podmínkou proto je možnost zjistit prakticky v reálném čase, že k nějakému kolapsu došlo (tzv. health monitoring). Je tedy potřeba v krátkých časových intervalech monitorovat provoz nejen všech hardwarových systémů, ale i aplikací. Následně je pak možné problém obejít přesměrováním požadavků a provozu na redundantní zdroje, alternativní internetové připojení atd.

Výkon

Stejně závažné problémy jsou spojeny s možností vzniku úzkého hrdla (bottle neck), a to prakticky kdekoliv v síti. Jedná se o jev dosti častý, ale navíc také poměrně těžko zjistitelný, potažmo měřitelný. Problém se může vyskytnout ve kterémkoliv bodě, ať už na úrovni infrastruktury (na serveru), bezpečnostních řešení (antiviru, firewall), nebo připojení.
Ve většině případů není zdrojem problému nedostatek kapacit či zdrojů. Důvodem je častěji neexistující nebo nedostatečná definice priorit pro různé druhy provozu, respektive pro různé aplikace, na základě jejich důležitosti pro chod podniku. To se následně může promítnout do výpadků nebo příliš dlouhé doby odezvy klíčových aplikací. Dochází tak ke zbytečné degradaci úrovně služeb.
Maximálního výkonu lze dosáhnout pomocí vhodně implementované infrastruktury zajišťující přepínání na 4.-7. síťové vrstvě. Při tom lze využít inteligentní algoritmy pro vyvažování zátěže (load balancing) a přesměrování provozu (traffic redirection), stejně jako akcelerační a kompresní techniky pro rychlejší přenos různých typů obsahu. Prostřednictvím správy dostupné šířky pásma (bandwith management) je dále možné optimalizovat její využití tak, že pro důležité aplikace jsou přiřazeny nejvyšší priority, garantována minimální šířka a naopak bude omezen nežádoucí provoz, např. P2P.

Bezpečnost

Není třeba pochybovat o tom, že počet i vyspělost bezpečnostních systémů nasazovaných v podnikových sítích má vzestupnou tendenci. To je však pouze jedna strana mince - ta druhá je už méně radostná. Současně totiž roste frekvence a závažnost útoků, ať už mají podobu virů, červů nebo DoS (Denial of Service - útok na odepření služby). Některé aplikace vyžadují, aby i některé z rizikových portů zůstaly otevřeny, není tedy snadné se bránit a v mnoha případech firemní firewally či IDS mohou škodlivé aktivity ponechat zcela bez povšimnutí.
Díky tomu, že dnes bývají mnohé bezpečnostní funkce a moduly zabudovány do různých prvků síťové infrastruktury, lze zajistit vyšší úroveň bezpečnosti mnohem efektivněji. Díky tomu nebudou zbytečně zahlceny antivirové systémy či firewally, čímž lze zabránit možnému vzniku dalšího úzkého hrdla. Speciální moduly a přepínače mohou zajišťovat funkce typu IPS (Intrusion Prevention System) založené na signaturách, ochranu proti DoS a Distributed DoS, detekci anomálií protokolů i s možností prověření a šifrovaného (SSL) provozu.

Jak na to

Abychom si mohli ilustrovat, jakým způsobem řešit zmíněné problémy, uvedeme si příklady řešení postavených na technologiích a produktech společnosti Radware, které jsou schopny poradit si se všemi zmíněnými oblastmi.
Společný základ tvoří architektura označovaná jako SynApps, která prostřednictvím pěti modulů nabízí následující služby: Health Monitoring (sledování provozu a funkčnosti veškerých zdrojů - serverů, směrovačů, apliakcí atd.), Traffi c Redirection/Load Balancing (distribuce síťového přenosu mezi dostupné zdroje a vyvažování zátěže), Bandwith Management (nastavování priorit a pravidel pro využití šířky pásma podle skupin uživatelů, aplikací nebo typu obsahu), Intrusion Prevention (funkce typu IPS založené na signaturách, detekce anomálií protokolů atd.), DoS Shield (ochranu proti DoS a Syn Flood útokům). Produkty Radware jsou díky těmto modulům schopny eliminovat přes 2 500 různých typů útoků.
Radware v součané době využívá tři hardwarové platformy Application Switch I-III, jež nabízejí různou hustotu portů a pokrývají širokou škálu scénářů nasazení s různými požadavky na výkon či propustnost (až 3 Gbps na aplikační vrstvě).

Řešení pomocí Radwaru

Nyní si konkrétně uvedeme, jak dosáhnout požadavků na - dostupnost, výkonnost a bezpečnost v podnikové síti. Řešení se týká zejména aplikační infrastruktury, bezpečnostní infrastruktury a infrastruktury pro zajištění konektivity.
Vlajkovou lodí mezi produkty pro infrastrukturu obhospodařující konektivitu je zařízení rodiny LinkProof určených pro zajištění vysoké dostupnosti na úrovni internetového připojení. Dokáže připojit síť až k 10 poskytovatelům současně. Mezi základní funkce patří směrování provozu, správa IP adres a load balancing a vedle toho umožňuje vysokou škálovatelnost a agregaci kapacit. Přitom nevyžaduje BGP (Border Gateway Protocol), takže při využití služeb více poskytovatelů internetového připojení není vyžadována dohoda mezi nimi. LinkProof Branch pak představuje nákladově efektivní řešení pro firemní pobočky atd. Pokud je BGP požadováno - lze pro jeho optimalizaci použít Radware systém PeerDirector.
Pokud jde o aplikační infrastrukturu, zde uveďme na prvním místě systém WSD - ten se stará o vytváření serverových farem, jejich vysokou dostupnost, odolnost proti výpadkům, optimalizaci provozu a zabezpečení. Tento typ přepínače na 4.-7. vrstvě řídí veškerý provoz v síti a eliminuje výskyt úzkých hrdel. Specifickou otázkou pro firemní sítě je šifrovaný provoz (SSL), pro jehož akceleraci nabízí Radware produkt CertainT 100 umožňující kompresi webového obsahu, HTTP multiplexing a především zpracování SSL provozu. Rodina přepínačů Cache Server Director optimalizuje provoz cache serverů v podnikové síti.
A nakonec se dostáváme k prvkům bezpečnostní infrastruktury. DefensePro představuje in-line bezpečnostní přepínač (switch), který poskytuje ochranu proti virům, červům a dalším typům škodlivého kódu, jako jsou trojské koně, ale také proti útokům DoS. Slouží k obousměrné inspekci a monitorování provozu napříč 2.-7. vrstvou, a to při propustnosti 3 Gb/s. V sítích, kde je nasazen větší počet bezpečnostních produktů různých druhů, najde uplatnění FireProof, jenž zajišťuje vyvažování zátěže (load balancing) v rámci farmy firewallů, VPN či systémů IDS.
Řešení Content Inspection Director představuje přepínač pro správu veškerých systémů pro inspekci obsahu (antiviry, URL filtry, anti-spam atd.) v síti. Optimalizuje jejich využití tím, že zajišťuje směrování různých typů provozu na příslušné bezpečnostní prvky. Ve spolupráci s CertainT 100 jsou pak tyto produkty schopny zajistit i inspekci SSL provozu.
Už z tohoto stručného popisu je zřejmé, že požadavky podniků na vysokou dostupnost, výkon i bezpečnost je možné bez kompromisů pokrýt produkty jediného výrobce, což se pochopitelně projeví například i v podstatném snížení nároků na správu takového prostředí nebo ve snadné škálovatelnosti. Takovéto řešení jako celek je vhodné do velkých firem, kde opravdu záleží na každé minutě správného běhu sítě a kde jsou také ochotni za tuto doposud nadstandardní vlastnost zaplatit.

***

Zapomeňte na úzká hrdla ve vaší síti

Architektura switche LinkProof III

O autorovi| Petr Bartík, Autor je redaktorem časopisu Connect!.