|
Sichere
Performance für E-Business-Infrastrukturen
Quelle: Netzguide E-Security
2002
Autor: Tom Hager, Managing Director InfoTrust
Noch
vor einigen Jahren wurde das Internet nur
für den E-Mail-Verkehr benutzt. Heute
sind viele Unternehmen von diesem Medium
abhängig. Bei vielen hat sich die firmeneigene
Internet-Infrastruktur jedoch kaum verändert.
Wie man in E-Business-Umgebungen den hohen
Anforderungen in den Bereichen Sicherheit,
Performance, Verfügbarkeit und Managebarkeit
gerecht wird.
Mehr
und mehr Firmen setzen auf das Internet
als Transportmedium für geschäftskritische
Daten. Das Internet wird zu einem integralen
Bestandteil des Unternehmens. Diese Entwicklung
stellt eine grosse Chance dar, birgt aber
auch wesentliche Gefahren und Risiken. Ein
Unternehmen, das Internet-Funktionen in
seine Geschäftsprozesse integriert,
wird mit massiv erhöhten Anforderungen
in den Bereichen Sicherheit, Performance,
Verfügbarkeit und Managebarkeit konfrontiert,
vor allem bei E-Business-Infrastrukturen.
Eine Anomalie führt sofort zu Umsatzeinbussen.
Ein
modularer Aufbau erlaubt eine Optimierung
der E-Business-Infrastruktur, ohne ein Redesign
der Gesamtinfrastruktur durchführen
zu müssen. Die Abbildung 1 zeigt eine
solche Infrastruktur, die aus folgenden
Modulen besteht:
Access-Modul
Das Access-Modul verbindet das Internet
mit dem Unternehmen. Es besteht aus Internet-
Anschlüssen von unabhängigen Providern,
um die benötigte Performance und Redundanz
zu garantieren.
Access
Security-Modul
Das Access Security-Modul besteht aus redundanten
Firewalls für die Zugriffsregelung
und aus Intrusion Detection-Sensoren zur
Erkennung von Angriffen. Dieses Modul blockt
eine Vielzahl von Attacken auf die E-Business-Infrastruktur.
Performance-Modul
Das Performance-Modul regelt den Datenverkehr
und garantiert die optimale Verteilung der
Benutzerzugriffe auf die Server. Der Aufbau
erfolgt mit redundanten Load Balancern,
sogenannten WebSwitches.
Front
End-Modul
Das Front End-Modul besteht aus Webservern.
Für den Benutzer bildet dieses Modul
den Einstieg in die E-Business-Applikation.
Die Server kommunizieren über das Interface-Modul
mit dem System im Back End-Modul.
Authentication-Modul
Das Authentication-Modul überprüft
den Benutzer und vergibt ihm die gemäss
seinem Profil zugeteilten Rechte.
Interface-Modul
Das Interface-Modul besteht aus einer redundanten
Middleware. Dieses Modul verbindet das Front
End- mit dem Back End-Modul und ist für
die Datenkonvertierung verantwortlich. Das
Unternehmen kann mit Hilfe der Middleware
auf die bewährten Server-, bzw. Host-Technologien
im Intranet setzen und muss diese Systeme
nicht speziell für den Internet-Zugriff
anpassen.
(Abbildung
1)
Ein
modularer Aufbau erlaubt eine Optimierung
der E-Business-Infrastruktur, ohne ein Redesign
der Gesamtinfrastruktur durchführen
zu müssen.
Back
End Security-Modul
Das Back End Security-Modul schützt
die Server- und Host-Systeme im internen
Netzwerk, bzw. Rechenzentrum. Der Aufbau
erfolgt mit redundanten Firewalls und Intrusion
Detection-Sensoren.
Back
End-Modul
Die bestehenden Server- und Host-Systeme
bilden das Back End-Modul. Auf diesen Systemen
laufen Geschäftsapplikationen wie ERP
und CRM.
Jedes
Modul muss permanent den aktuellen Business-Anforderungen
angepasst und bezüglich Sicherheit,
Performance, Verfügbarkeit und Managebarkeit
kontinuierlich optimiert werden.
Das
Performance-Modul im Detail
Beim
Design des Performance-Moduls ist ein Schwerpunkt
auf die Skalierbarkeit zu setzen. Wie viele
Benutzerzugriffe finden pro Tag, Stunde
oder Minute statt? Wie verändert sich
in Zukunft die Anzahl der Benutzerzugriffe?
Das
Performance-Modul wird mit WebSwitches aufgebaut.
Diese Switches verteilen die Benutzeranfragen
auf die Webserver des Front End-Moduls.
Der Benutzer wählt eine virtuelle Adresse
im WebSwitch aus. Seine Anfrage wird vom
WebSwitch auf einen der Server weitergeleitet.
Für den Benutzer ist dieser Vorgang
völlig transparent.
Die
Verteilung kann nach folgenden Kriterien
erfolgen:
- Round
Robin: Ein Server nach dem anderen erhält
eine Anfrage.
- Least
Connections: Der Server mit den wenigsten
Verbindungen wird bevorzugt.
- Weighted
Least Connection: Für die Server
werden zusätzlich einzelne Gewichtungen
entsprechend ihrer Leistung definiert.
- Response
Time: Der Server mit der schnellsten Antwortzeit
wird ausgewählt.
- Bandwidth:
Massgebend für die Auswahl ist die
Bandbreite zu den einzelnen Servern.
- Hash:
Bei dieser Verteilung ist die Absender-Adresse
wichtig (IP-Adresse und Portnummer).
- URL:
Die Analyse der URL bestimmt, welcher
Server die Anfrage erhält. Die Anfragen
werden aufgrund des Inhaltes verteilt
und den Servern oder Servergruppen zugeteilt,
die einen speziellen Teil des Inhaltes
zur Verfügung stellen (Content-basierendes
Load Balancing). Die Server werden besser
auf ihre Funktionen hin optimiert.
Nach
der Wahl des Servers muss sichergestellt
werden, dass alle weiteren Benutzeranfragen
innerhalb einer Geschäftstransaktion
an denselben Server weitergeleitet werden.
Sonst kann es passieren, dass einzelne Transaktionsdaten
verloren gehen. Dies verhindert man mit
Hilfe von Persistence-Methoden.
(Abbildung
2)
Für
die Verschlüsselung mittels SSL kann
ein Server-basierender oder zentraler Ansatz
gewählt werden. Beim Server-basierenden
Ansatz wird die SSL-Verschlüsselung
auf den einzelnen Webservern durchgeführt,
beim zentralen Ansatz erfolgt der SSL Handshake
auf einem externen, vorgelagerten SSL Accelerator.
Folgende
Persistence-Methoden sind bekannt:
- Client
IP-Adresse: Die IP-Adresse des Clients
bestimmt die Serverzuteilung. Diese Methode
eignet sich nicht, wenn mehrere Clients
von einem Netzwerk her zugreifen, das
durch eine Firewall mit der Network Address
Translation-Funktion geschützt wird.
In diesem Fall erkennt der WebSwitch die
unterschiedlichen Clients nicht, Abhilfe
dagegen bietet die Hash-Methode.
- Hash:
Über die Absender- und Empfangsadresse
(IP-Adresse und Portnummer) wird anhand
eines Hash-Algorithmus ein eindeutiger
Wert errechnet. Dank dieses Wertes wird
der Client identifiziert.
- URL
Hash: Die URL ist die Eingabegrösse
für den Hash-Algorithmus.
- SSL
Session ID: Der Zielserver wird mit der
SSL (Secure Socket Layer, Verschlüsselungsprotokoll)
Session ID definiert. Die SSL Session
ID ist vom Verhalten der unterschiedlichen
Webbrowser abhängig. Die Implementierung
des jeweiligen Herstellers spielt eine
starke Rolle.
- Cookie:
Sehr effizient ist das Setzen von dynamischen
Cookies für die Sessionsteuerung.
Voraussetzung ist, dass der Benutzer auf
seinem Webbrowser solche Cookies erlaubt.
Nach dem Schliessen des Browsers werden
die Cookies gelöscht.
Performance
und Verschlüsselung
Die
gesamte Kommunikation vom Benutzer zu den
Servern erfolgt verschlüsselt. Dies
geschieht über IPSec VPN-Technologie
oder durch das SSL-Protokoll. Mit Hilfe
der IPSec VPN-Technologie wird der gesamte
Datenverkehr verschlüsselt, da die
Technologie auf der Netzwerkschicht greift
und daher unabhängig von den Applikationen
ist. Der
Implementationsaufwand in heterogenen Umfeldern
ist komplexer als bei SSL, da die Verteilung
von VPN Client-Konfigurationen nicht standardisiert
ist. In E-Business-Infrastrukturen ist es
empfehlenswert, das SSL-Protokoll einzusetzen,
über das jeder gängige Webbrowser
verfügt. Baut ein Benutzer eine SSL-Verbindung
zu einem Server auf, erhält er vom
Server ein signiertes Serverzertifikat.
So weiss der Benutzer, dass er mit einem
Server des gewünschten Unternehmens
kommuniziert. Die Authentisierung des Benutzers
erfolgt über Benutzernamen, Passwort
und einem Passwortzusatz. Eine
Authentisierung ist auch über ein Client-Zertifikat
möglich. Die Benutzung von Client-Zertifikaten
kommt vor allem zum Zuge, wenn ein Unternehmen
eine Public Key-Infrastruktur (PKI) bereits
implementiert hat. Für
die Verschlüsselung mittels SSL kann
ein Server-basierender oder zentraler Ansatz
gewählt werden (siehe Abbildung 2).
Beim Server-basierenden Ansatz wird die
SSL-Verschlüsselung auf den einzelnen
Webservern durchgeführt. Der CPU-intensive
SSL Handshake führt beim Verbindungsaufbau
einer HTTPS- im Vergleich zu einer HTTP-Verbindung
zu Performance-Einbussen von Faktor 15 bis
200. Die Server Performance kann durch den
Einsatz von Accelerator-Karten in den einzelnen
Servern gesteigert werden.
Beim
zentralen Ansatz wird der SSL Handshake
auf einem externen, vorgelagerten SSL Accelerator
durchgeführt. Der SSL Accelerator kümmert
sich um den SSL Handshake, die Ver- und
Entschlüsselung der Daten sowie die
Verwaltung der Zertifikate.
Durch
den zentralen Ansatz kann eine Anfrage entschlüsselt
und dann vom WebSwitch aufgrund des Inhaltes
an einen Server weitergeleitet werden. Diese
Funktionsweise entfällt beim Server-basierenden
Ansatz. Da der WebSwitch die verschlüsselte
Anfrage nicht auswerten kann, muss auf jedem
Server derselbe Content vorhanden sein.
Ein
weiterer wichtiger Aspekt des Performance-Moduls
ist die Verfügbarkeit. Beim Ausfall
eines WebSwitches muss ein redundanter Switch
die Funktion unterbruchsfrei fortsetzen
können. Der Ausfall von einzelnen Servern
wird vom WebSwitch erkannt und an das Management-System
gemeldet, das die gesamte E-Business-Infrastruktur
überwacht.
Fazit
Die
Performance der E-Business-Infrastruktur
ist von vielen Faktoren abhängig. Alle
Komponenten, vom Internetanschluss über
die Firewall bis hin zum Webserver, müssen
die heutige und zukünftige Anzahl von
Transaktionen bewältigen. Der Sicherheitsaspekt
ist besonders wichtig, da sensitive Daten
wie Kunden-, Bestell- und Preisinformationen
über das Internet ausgetauscht werden.
Ist die E-Business-Infrastruktur nicht verfügbar,
können auch keine Geschäftstransaktionen
erfolgen. Wichtig ist, dass die gesamte
Infrastruktur periodisch überprüft
und den zukünftigen Anforderungen angepasst
wird.
Zusatzinformation
zum Autor
Tom
Hager ist dipl. El. Ing. HTL und dipl. Wirtschaftsingenieur
STV (FH). Seit Januar 2002 ist er Managing
Director der InfoTrust AG. InfoTrust plant,
realisiert und wartet komplexe IT Security-,
Content Switching- und Netzwerk-/ Service
Management-Lösungen. Tom Hager war
zuvor in diversen Unternehmen in der IT-Branche
tätig, u. a. leitete er das Security-Team
der Commcare AG.
Weitere Infos
unter tom.hager@infotrust.ch,
Tel. 043 477 70 10.
top
|
