F5 Networks – Główne zadania: Bepieczeństwo, przyspieszenie i pewność działania oprogramowania

Prezentacja na temat: "F5 Networks – Główne zadania: Bepieczeństwo, przyspieszenie i pewność działania oprogramowania"— Zapis prezentacji:

1

2 F5 Networks – Główne zadania: Bepieczeństwo, przyspieszenie i pewność działania oprogramowania
Application Delivery Network Użytkownicy Urządzenia: PC Laptop Domowy PC PDA Kiosk Komórka Poprzez : Sieć LAN Z domu/Internet Biuro/ WAN Z drogi / WAN Użytkownicy indywidualni Użytkownicy komercyjni domowy PC Od Kogo / Kto: Klienci Partnerzy Dostawcy Konsultanci ….. HTTP /HTML, SIP, RTP, SRTP, RTCP, SMTP, FTP, SFTP, RTSP, SQL, CIFS, MAPI, IIOP, SOAP, XML etc… Data Center Microsoft SAP Oracle IBM BEA F5 dostarcza technologie, protukty i narzedzia wspomagajace aplikacje dzialajaca w sieci. Bez wzgledu na to czy to jest aplikacja biznesowa, tak jak Oracle, SAP, MS czy techniczna taka jak VoIP, Video on demand itp. Jesli zpojrzymy na jakakolwiek applikacje w sieci to wszystkie zagadnienia ktore sa z tym zwiazane sprowadzaja sie do 3 elementow: Element bezpieczenstwa aplikacji Element predkosci dzialnia applikacji Element dostepczosci/niezawodnosci applikacji w sieci Istzotne punkty: Produkty F5 maja rozwiazanie calosciowe, tzn ten sam fizyczny produkt jest w stanie zapewnis niezawodnosc applikacji w sieci, zabespieczenia applikacji oraz poprawy predkosci dzialania …. I to dla wszytkich applikacji dzialajacych w sieci jednoczesnie, mez koniecznosci ingerowania w sama applikacje. Ten sam fizyczny produkt znajdujacy sie w sieci moze obslozyc wszyskie aplikacje (VoIP, + MS Exchange, + Oracle + localna app.) jednoczesnie Ten sam fizyczny produkt jest w stanie zapewnic Niezawodnosc, bezpieczenstwo, poprawic predkosc dzialania wszystkich applikacji dzalajacych w danej sieci … bez koniecznosci ingerowania w aplikacje

3 Zintegrowane rozwiązania F5
Użytkownicy Rozwiązanie F5 Aplikacje Sieć aplikacyjna CRM Bazy danych Siebel BEA Legacy .NET SAP PeopleSoft IBM ERP SFA Własne Tel komórkowe PDA Laptop We are part of the Networking infrastructures, physically located in the network infrastructure, layer 1-3 but serving, supporting, taking care of the layer 4-8, about application. Imagine f5 equipment as a tool box, helping in application integration. BOX full of functionalities, features, tools … for some standard applications or known standard problems we do have some optimized tools already: Oracle, Siebel, Bea, SAP, Microsoft, or standard problems, ssl performance, ssl termination, application security … Siebel over F5 – 10x faster Siebel Confirmation certificat Oracle – significantly faster … Oracle confirmation certificate These due to unique architecture … For other you can create yourself your own optimized tools, funktions, sollutons. Message – If you do not address this issue effectively with the big picture in mind, you are setting yourself up for failure down the road. You’ve got this incredible demand for applications. Not only more applications but more ways to reach them. In trying to satisfy these demands, enteprises are taking shortsighted approaches. As a result, networks are becoming increasingly more complex and the problem is just getting worse. Desktop TMOS Biuro zapasowe

4 System operacyjny -TMOS - Architektura
iRules i iControl Język programowania F5 kontroli aplikacji w sieci Programowalna sieć aplikacji Profile aplikacji oparte o GUI Powtarzalne reguły Zunifikowane usługi infrastruktury aplikacji Bezpieczeństwo Optymalizacja Dostępność Nowe usługi Dedykowane i adaptowalne funkcje Tcp optimisation Usually client is on the WAN Server is on the LAN These networks have a different profiles, behievers … Całkowicie widoczny i kontrolowany ruch danych aplikacji Uniwersalny silnik kontroli (Universal Inspection Engine UIE) TMOS Szybkie Proxy aplikacji Klient Server

5 BIG-IP Global Traffic Manager
Najefektywniejszy sposób na Business Continuity Inteligentny i Automatyczny DNS – ciągłość pracy aplikacji Międzynarodowe Data Center Enterprise Manager Użytkownicy Aplikacje BIG-IP Link Controller BIG-IP Global Traffic Manager Web Accelerator ARX Wirtualizacja danych i plików ASM Application Security Manager BIG-IP Local Traffic Manager WANJet FirePass SSL VPN GTM Global Traffic Manager = Produkt do automatycznego zarzadzania roznymi DC. Np disaster recovery DC, czy distributed DC, serverownie w roznych miejscach. GTM powoduje ze wszystkie te serwerownie wygladaja jak jedna. Jesli jedo DC lob jeden z serverow / servis w jednym DC jest nieosiagalne , caly ruch jest automatycznie kierowany do pozostalych DC. Przyklad Microsoft BIG-IP GTM: Resolve first request to best D.C. and / or app based on: HA, perf, proximity, business unit topology…. Let’s start with the WAN (draw the picture above, abbreviations are okay. Start with the main DC, name it in relation to the customer, and the applications, and add the other DCs). From a high availability and disaster recovery perspective, having multiple datacenters or sites is seen as a best practice (maybe the entire application portfolio is not redundant but at least business critical applications are). To support multiple datacenters or sites you have options. You can use regular DNS and round robin for example, and provide manual failover, propagate and update DNS records manually when there are failures but does that achieve your application objectives of “always on” and “optimized” in the most operationally efficient manner possible? No, it doesn’t. Because you have a lot of manual work, there is no knowledge of application performance or availability in the direction of traffic, and failover isn’t immediate. A better alternative is to deploy a solution like 3-DNS. Which at the first application request a client makes (whether internal or external client) determines which application and / or datacenter to direct that request to based on D.C. capacity, application availability, network performance, user proximity, user groups (by topology ranges) and quality of service or several of these combined. The benefit is a more intelligent and automated means to ensure WAN application availability and optimization on behalf of the client and the application. iControl Jakie Data Center jest najlepsze? Ukierunkowane na: Pojemność Dostępność aplikacji Wydajność sieci Bliskość do użytkownika Grupy użytkowników TMOS Cel : Osiągnąć najlepsze możliwe rozwiązanie

6 Funkcje realizowane przez BIG-IP GTM
BIG-IP Global Traffic Manager Nowe rozwiązanie ciągłości pracy aplikacji w WAN Funkcje realizowane przez BIG-IP GTM Dostępność i wydajność Data Center – wirtualny DNS Optymalizacja połaczenia w oparciu o lokalizację klienta Reguły ustalone centralnie Optymalne metody load balancingu w WAN Obsługa usług SOA według FQDN Użytkownik L-DNS Router Serwery korporacyjne Lokalizacja 2 (Standby lub Active/Active) BIG-IP GTM Router Serwery korporacyjne lokalizacja 1 (Podstawowa) BIG-IP GTM Global traffic manager does it all automatically. Zadania BIG_IP GTM Automatyczne przekierowanie w oparciu o dostępność, wydajnośc i pojemność DC. Wsparcie active / active DC, load-balance w oparciu o topologię lub kryterium odległości

7 Zapewnienie ciągłości pracy połączeń
Rozwiązanie tradycyjne: BGP-Only Multi-Homing Skomplikowane, kosztowne, brak pełnej kontroli Kllient Serwer ISP Peering Points 1 2 Internet BGP 2 1 BGP ISP Peering Points ISP1 ISP3 ISP2 BGP BGP Firewal Czas naprawy Sieć korporacyjna Użytkownicy Serwery korporacyjne

8 Zapewnienie ciągłości pracy połączeń
BIG –IP Link Controller dobór dostawcy sieci zoptymalizowany dla obsługi aplikacji Funkcje realizowane przez BIG-IP Link Controller Najwyższa niezawodność i jakość połączenia dla ruchu aplikacji w obu kierunkach Automatyczny dobór połączenia dla potrzeb danej aplikacji (VoIP, streaming, web services etc.) QoS i priorytety w ruchu w oparciu o ustalone reguły. Przyspieszenie ruchu z wysoko wydajną kompresją. Wiele połączeń zapewniających elastyczność klient Serwer 1 2 Internet 2 1 ISP1 ISP3 ISP2 1) Obsługa ruchu przychodzącego 2) Odpowiedź Serwera korporacyjnego Link controller adds the load balancing capabilities based even on the content. Firewal Obsługa ruchu wychodzącego Odpowiedź Serwera Internetowego Sieć korporacyjna Użytkownicy Serwery korporacyjne

9 Opóźnienia działania aplikacji w sieci WAN
Rozwiązania tradycyjne: przerzucanie odpowiedzialności: „To nie wina sieci tylko aplikacji” Strategic Planning Assumption: Through 2010, server centralization projects that fail to account for network latency will fail to deliver acceptable performance (0.8 probability). Użytkownik w biurze regionalnym Serwer w Data Center WAN opóźnienie Open 300 ms FID Pliki WAN opóźnienie Read(1) 300 ms Read(1) WAN opóźnienie Read(2) czas 300 ms Read(2) WAN opóźnienie Read(n) 300 ms Read(n) File Addresses the issues of the tcp communication over a wan link CIFS "File Drag and Drop" generuje ~1,700 połaczeń dla pliku 100MB LAN: 1,700 x 1 ms = 1.7 sek WAN: 1,700 x 300 ms = 8.5 min!

10 WANJet przyspieszenie i optymalizacja działania aplikacji w sieci WAN
Funkcje realizowane przez WANJet : Przyspieszenie ruchu pakietów aplikacji w sieci poprzez: Optymalizację TCP Przyspieszeniu UDP oraz CIFS TDR (Transparent Data Reduction) Inteligentną, wydajną kompresję przesyłanych danych: Grupowanie danych w ramach sesji Grupowanie danych w ramach aplikacji Nadanie priorytetów w sieci (RFC 1122 ToS) Rezerwacji szerokości pasma dla poszczególnych aplikacji Przejęcie funkcji szyfrowania połączenia. Caching Dodatkowe zabezpieczenie ruchu Rezultaty : Zwiększona przepustowość sieci od od 100% do 300% Przyspieszenie przesyłu danych (100MB z 8,5 min do 1,8 sek.) Dodatkowe funkcje bezpieczeństwa Odciążenie innych urządzeń w sieci Poprawa zarządzania siecią QoS Data Center Branch Office x3 – x10 WANJet WANJet That opportunity is manifested in how broad and deep we go into the enterprise infrastructure. Working out from core to edge you can see that F5 plays a critical role at every tier providing security, performance optimization, scalability, and high availability for the applications, servers, and services running within the environment. In this type of architecture enabled by F5, there is no single point of failure.

11 Tradycyjna architektura sieci
Load Balancing / Aplication Delivery Networking Tradycyjna architektura sieci Zaprojektowana osobno dla każdej aplikacji i klienta Obsługuje każdy typ klienta osobno Wspiera wiele typów klienta Dla każdego typu klienta: Development / Testy Oddzielne dla każdego typu klienta i serwera Osobne wsparcie i zarządzanie Użytkownicy Network Point Solutions Aplikacje DoS Protection Mobile Phone Rate Shaping SSL Acceleration IBM BEA SAP PDA Server Load Balancer Laptop Oracle Microsoft CRM Content Acceleration Application Firewall Which integrates lot of functionalities Desktop Connection Optimization Traffic Compression Customized Applications ERP SFA Co-location

12 Load Balancing / Aplication Delivery Networking
BIG-IP LTM - wirtualizacja i unifikacja usług w sieci i obsługi aplikacji Szybko Przyspieszenie SSL Quality of Service Connection Pooling Inteligentna kompresja Priorytety warstwy L7 Buforowanie i spooling zawartości Optymalizacja TCP Transformacja zawartości Caching System Bazodanowy W A BIG-IP Sieć Bezpiecznie Zabezpieczenie przed DoS SYN Flood Translacja Network Address/Port Application Filtrowanie ataków z sieci Zarządzanie certyfikatami Ukrywanie zasobów Zaawansowana autentykacja klienta Firewall – filtrowanie pakietów Selektywne szyfrowanie zawartości Szyfrowanie Cookie Ochrona zawartości Sanityzacja protokołów Moduł bezpieczeństwa aplikacji Niezawodnie Pełny Load Balancing Zaawansowane przełączanie aplikacji Customizowany monitoring sprawności Inteligentne tłumaczenie adresów sieciowych Intelligentny mirroring portów Universal Persistence Obsługa komunikatów błędu Przełączanie Sesji/ Strumieni Gateway IPv6 Zaawansowany routing Local traffic manager makes sure that the services are always: performing well (using different acceleration and optimization techniques), are always protected (using multiple protection techniques) and reliable.

13 Przykład harmonizowanej pracy sieci i aplikacji
Load Balancing / Aplication Delivery Networking Przykład harmonizowanej pracy sieci i aplikacji Ustawienie Dynamic Ratio Load Balancing Mode 3 Jak to działa 4 2 Automatycznie i bez zakłóceń odłączane są połączenia nieużywanych serwerów Rejestracja poprzez konsolę serwerów do Load Balancer’a 2. Administrator przypisuje nowe węzły do istniejącego VIP/Virtual Server bez zmiany ustawień load balancer’a. 3. Po stworzeniu nowego VIP, administrator przypisuje zdefiniowane zasady tłumaczenia zawartości i algorytmy load-balancing’u nie zmieniając nic w urządzeniach 4. Bez zatrzymywania pracy sieci administrator odłącza niepotrzebne serwery And management tools. X X X 1 Zalety Zwrot inwestycji (USA) Szybsze wdrożenie nowych serwerów Zmniejszona pracochłonność administratora IT Zmniejszone koszty zarządzania ruchem w sieci W oparciu o doświadczenie klientów, 3 inżynierów musiało wykonać taką pracę poprzez skrypty i operacje manualne – koszt ok USD

14 BIG-IP Global Traffic Manager
Przyspieszanie aplikacji dla niezarządzalnych użytkowników Centralizacja i przyspieszanie aplikacji web’owych International Data Center Enterprise Manager Użytkownicy Aplikacje BIG-IP Link Controller BIG-IP Global Traffic Manager Web Accelerator ARX File/Data Virtua- lization ASM Application Security Manager BIG-IP Local Traffic Manager WANJet FirePass SSL VPN iControl TMOS Cel : Osiągnąć najlepsze możliwe rozwiązanie Business Goal: Achieve these objectives in the most operationally efficient manner

15 Web Akcelerator : metoda przyspieszania asymetrycznego aplikacji web.
Bez przyspieszenia Z przyspieszeniem To improve the end user experience. Uwzględnia ograniczenia browsera Umożliwia pipelining Transparentny dla aplikacji 35 sekund Powoduje bardziej efektywne wykorzystanie sieci (fill the pipe) Redukuje czas oczekiwania 12 Sekund

16 Rozwiązanie: Tradycyjna kontrola dostępu
Zapewnienie bezpieczeństwa dostępu do sieci IPSec Polityka kluczy IPSec kosztowne skomplikowane Nie w pełni bezpieczne zdalnie Internet dostawca IPSec VPN pracownik bezprzewodowo WEP / WPA WEP Keys, Policies Wireless LAN Segment 2 WLAN switch Different users accessing the central resources use different technology Wewnętrzny VLAN, ACL Internal LAN Segment 1 warstwa 2 Switch Corporate Desktop

17 Alternatywa: Uniwersalna usługa obsługi aplikacji i sieci
Zapewnienie bezpieczeństwa dostępu do sieci Alternatywa: Uniwersalna usługa obsługi aplikacji i sieci zdalnie Sieć kwarantanny dostawca Internet pracownik SSL SSL/TLS bezprzewodowo WLAN segment 2 Ścieżka użytkownika FirePass integrates all of the access types into one sslvpn technology wewnętrz Wspiera wszystkie odmiany klienta Scentralizowana kontrola dostępu Uproszczona polityka bezpieczeństwa Zintegrowane bezpieczeństwo użytkownika Wysoka wydajność Internal LAN segment 1 PC firmowy

18 „Dziura” w systemach bezpieczeństwa
Problem bezpieczeństwa aplikacji w sieci WAN „Dziura” w systemach bezpieczeństwa Dane “64% z 10 mln znanych problemów z bezpieczeństwem związanych było z portem 80 Information Week Host IDS & Secure OS Net IDS Firewall Antivirus Application System Network Access Desktop ……. but the application layer is not always protected properly

19 Bezpieczeństwo aplikacji bezpieczeństwo zawartości
Problem bezpieczeństwa aplikacji w sieci WAN Bezpieczeństwo aplikacji bezpieczeństwo zawartości Browser Polityka bezpieczeństwa Wymuszenie Content Scrubbing Ukrywanie aplikacji Definicja Dobrych i Złych Zachowań

20 Zarządzanie i optymalizacja storage
Rozwiązanie tradycyjne Rozwiązanie z F5 ARX One of the more effective ways of illustrating what we’re talking about here is to look at a “before” and “after” picture. When you step back and take a look at today’s file storage environment it is immediately obvious that this is a very inflexible infrastructure. Application and user access to data is very tightly coupled to the physical systems that data resides on. Users / applications often have several drive mappings, or mount points, to get to the data they require. This creates several problems: First, any time anything changes to the storage systems themselves – if you provision new capacity, or decommission a server, or move data – those mount points / drive mappings get affected and downtime ensues. The scenario is not uncommon. In their research the Enterprise Strategy Group found that 40% of enterprises move data on a weekly or monthly basis, and 60% of those migrations result in unexpected, or extended, periods of downtime – this is increasingly intolerable in global, 24x7 environments. Second, the environment tends to be fairly complex – a mix of file storage devices and file systems from different vendors, or different platforms and OS versions from the same vendor. This complicates access to data. A third challenge is that, on aggregate, file storage resources tend to be inefficiently utilized. There may be some devices that are highly utilized, but in aggregate we see low utilization levels – between 30-40%. In large part that is because it is so difficult and disruptive to share excess capacity across resources. Now the interesting thing here is that when you subject this sort of an infrastructure to growth, all these points are accentuated; the entire picture becomes exponentially more complex – there are more and more mount points to more and more file systems leaving the business more and more exposed to disruption when anything changes. All of this results in spiraling costs – demand for additional capacity coupled with the far greater cost of managing the storage. It is a fact of life that storage capacity demands are growing rapidly and the majority of that growth is in file data. Therefore, if we are going to effectively manage this burgeoning storage environment without incurring exponential cost increases to manage it all, we are going to have to fundamentally change the way we architect and manage our file storage infrastructures. Użytkownik/ aplikacja przywiązani do fizycznego urządzenia Nieelastyczne: poważne trudności w zmianach Skomplikowane: wiele powiązań do różnych urządzeń Nieefektywne : słabe wykorzystanie infrastruktury Użytkownik/ aplikacja nie przywiązani do fizycznego urządzenia Elastyczne: zmiany są proste Proste: proste połączenie do wirtualnego pola adresowego Efektywne: maxymalne wykorzystanie zasobów Acopia Confidential 20

21 Użytkownicy rozwiązań F5 Networks
Bankowość, Finanse Ubezpieczenia, Inwestycje Operatorzy, Service Provider’, Mobile

22 Transport, podróże Media, Technologie, Online przemysł, Energia Rząd, inni Zdrowie, Retail