Sicherer, optimierter globaler Zugriff auf Unternehmensressourcen

Transkript

1 F5 White Paper Sicherer, optimierter globaler Zugriff auf Unternehmensressourcen Der globale Zugriff auf Unternehmensanwendungen ist für Unternehmen entscheidend: Die Bandbreite der Benutzer, Geräte und ihrer Standorte erfordert eine strikte Zugriffskontrolle für die Anwendungen, um jedem Benutzer mit jedem Gerät und von jedem Ort aus den sicheren Zugriff auf die Anwendung zu ermöglichen, und das unabhängig von deren Standort. von Peter Silva Technical Marketing Manager, Security 1

2 Inhalt Einleitung 3 Dynamische Kontrolle und Mobilität 3 Anwendungssicherheit an der Peripherie 4 Es beginnt... am Endpunkt 6 Der nächste Schritt: Identity-Management 7 Globale Implementierung 10 Zugriff auf die Ressourcen erlangen 10 Sicher und End-zu-End 11 Szenarien aus der Praxis 12 Einfaches, detailliertes Management 14 Fazit 16 2

3 Einleitung Die Zahl der mobilen Arbeitskräfte wird voraussichtlich von 919 Millionen im Jahr 2008 auf 1,2 Mrd. im Jahr 2012 wachsen eine Zahl, die 34,9 Prozent aller mobilen Arbeitskräfte weltweit repräsentiert 1. Diese Arbeitskräfte sind über die ganze Welt verstreut. Sie greifen mit vielen gesicherten und ungesicherten Geräten aus verschiedenen Netzwerken auf Unternehmensressourcen zu. Die Benutzer benötigen einen schnellen, gesicherten und zuverlässigen Zugriff auf die Infrastruktur des Unternehmens; die IT-Abteilungen jedoch kämpfen mit Zugriffslösungen und -systemen mehrerer Anbieter, mit der Durchsetzung von Richtlinien, Zugangsregulierungen, Sicherheitsbedrohungen und Schwachstellen. Sie müssen gleichzeitig gewährleisten, dass der richtige Benutzer, je nach Kontext, mit der richtigen Anwendung verbunden wird. Als wenn all dies nicht schon Aufwand genug wäre, müssen die IT-Abteilungen auch noch die Betriebs- und Verwaltungskosten im Budget halten. In einer global verteilten Umgebung brauchen die Unternehmen ein einheitliches und konvergentes Zugriffs- und Richtlinienmanagement, damit sie jedem Benutzer von jedem Gerät und Standort aus den Zugriff auf die Anwendung unabhängig von deren Ort ermöglichen können und so die Inhaltebereitstellung sichern und optimieren. Die Tage der teuren Einzelprodukte, die nur eine isolierte Lösung bieten, sind gezählt. Heute wollen die Kunden ihre Installationen konsolidieren, um die Verwaltung zu vereinfachen, die Rendite (ROI) zu verbessern und die Gesamtbetriebskosten (TCO) zu senken. Ein vereinheitlichter, optimierter und gesicherter Zugriff genau das benötigen Unternehmen, ihre Benutzer und Kunden und F5 hat hierfür die vereinheitlichten Zugriffslösungen. Dynamische Kontrolle und Mobilität In jeder Strömung, sei es Verkehr, Wasser, Elektrizität oder Handel, können bestimmte Punkte eine intelligente Verarbeitung und Kontrolle ermöglichen. Sie liegen innerhalb des Stroms meist an strategischen Stellen; dies sind einzelne Grenzen oder Verbindungspunkte, an denen mehrere Informationsströme zusammentreffen, um neu verteilt zu werden. Diese Punkte sollen kritische Flusskontrolle, Umleitung, intelligentes Management und Sicherheit gewährleisten. Der Kontrollmechanismus ist manchmal einfach wie das Stopp-Schild an einer Kreuzung oder auch komplex wie die Stromversorgung und Kontrollsysteme in modernen Hoch- 3

4 häusern. Er kann physischer, virtueller oder verfahrenstechnischer Art sein. Doch unabhängig von seiner Form, wäre ein effizienter, gesicherter und kontinuierlicher Fluss jedes beliebigen Systems ohne diese strategischen Kontrollpunkte unmöglich. Gleichzeitig bleiben Ursprung und Ziel des Verkehrs selten länger statisch. Wenn sich Fließgeschwindigkeiten verändern, können sich die strategischen Kontrollpunkte oft nicht dynamisch anpassen und behindern darum häufig einen effizienten Fluss. Werden Straßen zu Autobahnen, kann ein vorher adäquater Kontrollpunkt (z.b. ein Stopp-Schild) zu einem gefährlichen Engpass oder Schlimmerem werden. Aber Art und Funktion eines Kontrollpunkts für die neuen Anforderungen zu ändern, kann langwierig, kompliziert und teuer sein. Heute benötigen IT-Abteilungen Kontrollpunkte, die sich dynamisch anpassen und Inhalte und Anwendungen in dem Maße sichern können, in dem sie von unterschiedlichen Standorten zu vielen Benutzern gelangen. Dies gilt insbesondere für globale Infrastrukturen, einschließlich Cloud und Data Center. Viele Benutzer sind unterwegs und greifen mitunter auf Anwendungen und Inhalte zu, die ebenfalls beweglich sind: vom Data Center in die Cloud und wieder zurück. Darum ist ein zentraler Punkt zur Richtlinienkontrolle wesentlich, um diese dynamischen Umgebungen zu verwalten. Ist ein Kontrollpunkt dezentralisiert, kann die IT-Abteilung den Datenfluss nur beschränkt kontrollieren. Es gibt keine kontextuellen Informationen, um intelligente Entscheidungen zu treffen. Die Änderungskontrolle wird schwierig und fehleranfällig und beseitigt die für IT-Umgebungen mit globalem Zugriff nötige Einfachheit und Flexibilität. Bei der vereinheitlichten Zugriffskontrolle geht es darum, die Bereitstellung von Anwendungen für Remote-Benutzer global zu sichern und zu optimieren, indem der Anwender möglichst latenzarm und so nah an der Anwendung wie möglich verbunden wird. Anwendungssicherheit an der Peripherie Zugriff kann vieles bedeuten Zugriff auf eine Intranet-Web-Anwendung, um nach Materialien zu suchen; auf Microsoft Exchange, um s zu verschicken; auf ein virtualisiertes Citrix, VMware oder Remote-Desktop- Installationen oder auf ein spezifisches Netzwerksegment für Dateien und das gesamte Domain-Netzwerk. Die Ressourcen selbst können sich an meh- 4

5 reren Orten befinden: in der Unternehmenszentrale, im Data Center, in einem Niederlassungsbüro, in der Cloud oder in einer Mischung von allem. Wenn sich die Benutzer auf der ganzen Welt befinden, kann eine globale Zugriffsverteilung über mehrere Data Center helfen, Anforderungen für Zugriff und Verfügbarkeit umzusetzen. Doch sowohl die Benutzer, als auch die IT-Administratoren benötigen immer noch eine leicht anzuwendende und zu verwaltende Lösung. Sicherheitslösungen für Anwendung und Zugriff müssen zentralisierte strategische Kontrollpunkte bereitstellen. Diese Application Delivery Controllers (ADC) liegt oft an der Peripherie eines Netzwerks, entweder intern oder im Data Center. Die strategischen Kontrollpunkte, die zwischen den Anwendern und den von ihnen benötigten Ressourcen liegen, können intelligente Entscheidungen darüber treffen, wie der Zugriffs-Traffic zu handhaben ist. Das F5 -Portfolio im Bereich Anwendungsbereitstellung und Produkte zum vereinheitlichten Zugriff, einschließlich BIG- IP Local Traffic Manager (LTM), BIG-IP Access Policy Manager (APM) und BIG-IP Edge Gateway, bieten die erforderliche Sicherheit, Skalierbarkeit und Optimierung für den einheitlichen, globalen Zugriff auf Unternehmensressourcen bei allen Arten von Installationsumgebungen. Über das Konvergieren und Konsolidieren Remote-Anwendern, LAN-Zugängen und Wireless-Verbindungsstellen in einer einzelne Management-Oberfläche sowie dem Bereitstellen von einfach zu handhabende Zugriffsrichtlinien, können Unternehmen Geld sparen und wertvolle IT-Ressourcen freisetzen. Die Unified-Access-Lösungen von F5 sichern eine Infrastruktur von innen heraus, indem sie im Netzwerk eine Stelle schaffen, die Sicherheit, Skalierbarkeit, Optimierung, Flexibilität, Kontext, Ressourcenkontrolle, Richtlinienmanagement, Reporting und Verfügbarkeit für alle Anwendungen ermöglicht. Beim traditionellen IT-Modell werden Ressourcen, Benutzer und Zugriffsmethoden durch die IT-Abteilung kontrolliert. Die Beziehungen zwischen Benutzern, Anwendungen und Daten waren statisch und fest gebunden. Die Anwendungen wurden mit Blick auf spezifische Display-Layouts geschrieben. Als zuerst Remote-Anwender und danach mobile Benutzer, Partnern, Vertragspartner sowie Gäste dazukamen und sich die IT global ausdehnte, brach das klassische Modell zusammen. In der heutigen komplexen Welt der IT-Sicherheit muss eine Organisation nicht nur einfach wissen, wer auf ihre Dateien und Anwendungen zugreift. Sie müssen ebenso wissen, welches Gerät, welche Netzwerkart und Ressourcen die Nutzer anfordern. Genauso wesentlich ist es zu wissen, ob die angeforderten Server, Netzwerke und Anwendungen verfügbar und sicher sind. Mit fortschrittlicher, dynamischer Kontrolle für den universellen globalen Zugang können die Organisationen die Komplexität und Unvorhersehbarkeit all dieser beweglichen Teile überwachen. 5

6 Es beginnt... am Endpunkt Globale Benutzer wollen auf viele verschiedene verteilte Anwendungen zugreifen. Deshalb müssen die IT-Abteilungen sicherstellen, dass die Benutzer zum nächstgelegenen oder optimalen Ressourcenstandort geleitet werden, der die angefragten Inhalte bereitstellen kann. Wenn der Benutzer einen Ressourcenstandort eintippt oder ein lokales Programm anklickt, das eine Verbindung zu einem Unternehmensserver erfordert (z. B. ), wird zunächst erst einmal der Endpunkt überprüft. Dabei lassen sich der Standort des Benutzers, die benutzte Netzwerk- und Geräteart sowie andere kontextuelle Metadaten bestimmen. Mit diesen Informationen kann das System entscheiden, welches Data Center für die Anfrage am besten geeignet ist. Dank der in den Unified-Access-Lösungen von F5 enthaltenen Intelligenz lässt sich der Benutzer sofort zu dem für seine Anfrage geeignetsten Data Center leiten. So erhält der Anwender optimale Ergebnisse. Allerdings ist der nächstgelegene Standort nicht immer für den jeweiligen Benutzer in dem Moment optimal. Betrachten wir folgendes Szenario: Die Anfragen eines typischen britischen Benutzers werden meist von einem britischen Data Center bereitgestellt. Jetzt aber hat, ohne dass der Benutzer es merkt, der Standort im Vereinigten Königreich Verfügbarkeitsprobleme. Da die Komponenten der F5 Unified-Access-Lösungen aufeinander abgestimmt sind, erkennen sie diese Schwierigkeiten. Sie leiten den Benutzer automatisch zum nächsten optimalen Data Center bzw. zur Cloud-Installation um. Ein weiteres Szenario: Ein Rechenzentrum fällt aus, während der Benutzer eine Datei von diesem Standort herunterlädt. Selbst dann können die F5- Unified-Access-Lösungen die Datei von einem anderen Standort abrufen und die Anfrage wie erwartet erfüllen. Der Benutzer merkt die Umleitung wahrscheinlich gar nicht, es ist ihm sicher auch egal, solange er schnell und effizient zu seinen Ressourcen gelangt. Verfügbarkeit ist ein entscheidender Parameter, wenn Anwendungen einer weltweiten Nutzerbasis bereitgestellt werden. Und F5 kann dazu beitragen, dass Unternehmen dies erreichen. Eine weitere Herausforderung für die IT heißt Endpunktsicherheit. Es kann für IT-Abteilungen schwierig sein, die Sicherheit von Geräten, die auf Anwendungen zugreifen wollen, zu kontrollieren. Mit F5 Unified-Access-Lösungen beginnt die Sicherheit schon, sobald der Benutzer eine Ressource anfordert. Dank detaillierter Inspektionen der Endpunkt-Hosts kann die IT bestimmen, wie viel Ressourcen-Zugriff einem bestimmten Benutzer und Gerät abhängig von den Kriterien der Unternehmensrichtlinie für den Zugriff - gewährt wird. Die Palette reicht von der Prüfung des Sicherheitsstatus eines Geräts bis zur Inspizierung 6

7 und Identifizierung der MAC-Adresse eines Benutzers, der CPU-ID und HDD-ID, bis hin zur Bestimmung, ob das Gerät zur Unternehmens-Domäne oder einer Nicht-Domäne (Partner, Auftragnehmer, persönlich) gehört. Jedes Gerät wird gleich minutiös überprüft: ein Laptop aus der IT, der Homecomputer eines Mitarbeiters, ein Tablet-PC oder ein mobiles Smartphone. Das ist wichtig, wenn eine Organisation bestimmt, ob sie Zugriffsrechte auf das Unternehmensnetzwerk gewährt und auf welche spezifischen Ressourcen der Benutzer zugreifen darf. Administratoren können auch Abhilfemaßnahmen für nicht-konforme Geräte bieten, oder diese Geräte in einen geschützten Arbeitsbereich ( Protected Workspace ) überführen. Protected Workspace ist eine virtuelle Desktop-Sitzung, die vollständig gelöscht wird, wenn die Sitzung beendet ist. Administratoren können sogar die Lese-/Schreibfunktion für USB oder CD-ROM als Teil einer DLP-Lösung (Data Loss Prevention) deaktivieren und den lokalen Datenzugriff beschränken. Der nächste Schritt: Identity-Management Anonyme Netze lassen die Benutzer mittels einer User-ID und ein Passwort auf Systeme zuzugreifen. Solche Netzwerke können aber nicht genau bestimmen, wer genau der Benutzer ist - ein Mitarbeiter, ein Gast, ein Auftragnehmer oder Partner. Anonyme Netze bieten zwar Transparenz auf der Ebene der IP- oder MAC-Adresse, aber diese Angaben erlauben keine Rückschlüsse auf die Identität eines Benutzers. Da diese Netzwerke einer IP-Adresse keine Identität zuordnen können, besteht das Risiko, dass einige Informationen unautorisierten Benutzern zur Verfügung stehen. Diese Netze melden nicht, worauf zugegriffen wurde oder wohin sich ein spezifischer Benutzer innerhalb eines Systems bewegte. Sicherheitsexperten müssen aufhören, Datenpakete wie Menschen zu behandeln. John Kindervag, Build Security Into Your Network s DNA: The Zero Trust Network Architecture. Forrester Research. November Kontrolle und Verwaltung des Zugriffs auf Systemressourcen müssen auf der Identität basieren. Die Identität eines Benutzers oder die ausgedrückte bzw. digital repräsentierte Identität kann z. B. folgende Kennungen beinhalten: Was er sagt, was er weiß, wo er ist, welche Informationen er teilt, wen er kennt; sowie seine Präferenzen, sein Ruf, sein Beruf, oder eine beliebige Kombination dieser Angaben, die einen Benutzer eindeutig identifiziert. Unautorisierter Zugriff auf Systeme macht den Firmen große Sorge. Dabei geht es nicht nur um die mögliche Offenlegung und den Verlust vertraulicher Unternehmensdaten, sondern auch um Risiken im Bereich Einhaltung von Bestimmungen und Vorschriften. Es ist für jedes Unternehmen entscheidend, dass nur authentifizierte Benutzer auf ihre Netzwerke zugreifen können und dass diese Benutzer nur auf Ressourcen zugreifen können, zu deren Einsicht sie berechtigt sind. In 7

8 der Infrastruktur eines Unternehmens sind die sogenannten AAA-Dienste (Authentication, Authorization, Accounting) die primär eingesetzte Methode, um die Benutzeridentität zu prüfen. Diese Systeme sind mitunter komplex, und AAA- Dienste in einer Web-basierenden Umgebung zu verwalten, kann teuer sein. Es gibt etliche Möglichkeiten zur Authentifizierung von Internet-Benutzern: Einige Unternehmen kodieren die Authentifizierung während der Entwicklung direkt in die Anwendung; andere installieren auf den Servern Agenten; und viele haben spezialisierte Zugangs-Proxies. Alle diese Methoden lassen sich nur schwer verwalten und ändern. Sie arbeiten auch nicht sonderlich gut zusammen. Zudem können sie hinsichtlich Bereitstellung und Management kostspielig werden, da sie dezentralisiert sind, und jeder Server individuell zu behandeln ist. Diese Methoden können für eine globale Belegschaft nicht hinreichend sicher und skalierbar sein. Auch können sie Autorisierung und Abrechnung übersehen, die oft gesetzlich vorgeschrieben sind. Hat ein Unternehmen eine Cloud-Implementierung lassen sich durch das Hinzufügen von BIG-IP APM zu BIG-IP LTM oder BIG-IP LTM Virtual Edition (VE) Identität, Authentifizierung und Zugriffskontrolle bereitstellen. So kann die IT die globale Infrastruktur konsolidieren, die AAA-Management-Kosten senken und die Benutzeridentität im Netz etablieren. BIG-IP APM kann mit der unternehmensinternen AAA-Infrastruktur integriert werden, einschließlich Microsoft Active Directory, LDAP, RADIUS, Native RSA SecurID und weiteren. So können die Organisationen den Zugriff anhand der Identität verwalten. Benutzer aus dem Unternehmen können sich mittels Active-Directory-Server authentifizieren, Partner und Auftragnehmer per LDAP-Abfrage, aber alle Benutzer durchlaufen die gleiche Endpunkt-Host-Kontrolle, bevor sie Zugriff erhalten. BIG-IP APM zentralisiert Web-SSO (Single Sign-On) und Zugangskontrolle; es bietet eine umfassende Proxy-L4-L7 Zugriffskontrolle (ohne Leistungseinbußen); es fügt den Zugriffs-Richtlinien eine Endpunktinspektion hinzu, und bietet den Visual-Policy- Editor (VPE). Der VPE bietet eine auf Richtlinien basierte Zugriffskontrolle sowie VPE-Rules, eine Schnittstelle zum Programmieren eigener Zugriffsregelungen. Mit VPE können Administratoren Sicherheitsrichtlinien und Ressourcen einfach erstellen und verwalten. Der Flussdiagrammstil von VPE zeigt genau, welche Arten von Inspektionen aktiviert sind. So erhalten die Administratoren umfassende Kontrolle drüber, welche Ressourcen welchem Benutzer oder welcher Benutzergruppe bereitgestellt werden. Sie können auf diese Weise den Zugriff nach Gerät und Identität kontrollieren. Mittels dynamischer L4- und L7-Zugriffskontrolllisten pro Sitzung können die Administratoren die Benutzer innerhalb 8

9 Abbildung 1: Gestalten einer Zugangspolicy mit dem Visual Policy Editor deren funktionalen, autorisierten Bereichen halten. Das ist bis ins kleinste Detail möglich, bis hin zu einem spezifischen Ordnerpfad innerhalb einer Web-Anwendung. All dies geschieht über SSL, jede Verbindung ist somit verschlüsselt. Wenn bestimmte Benutzer Zugriff auf mehrere getrennte Domains oder mehrere Hosts innerhalb derselben Domain benötigen, können die Administratoren mehrere SSO-Domain-Lösungen aktivieren. VPE unterstützt auch Kerberos-Tickets, die ein einfaches Authentifizierungsdesign für Active-Directory-Implementierungen ermöglichen. VPE konsolidiert die ganze Authentifizierungsverwaltung in einer KPT-Lösung (Kerberos-Protocol-Transition). Der Benutzer gibt seine Anmeldedaten nur einmal ein, um auf Ressourcen zuzugreifen, die in einer verteilten Architektur verstreut sind. Das steigert die Produktivität und vereinfacht die Anmeldung. Bei Authentifizierungen einer Web-Anwendung können Organisationen mittels BIG-IP APM spezialisierte Zugangs-Proxies oder -Agenten ersetzen und gewinnen so überlegene Skalierbarkeit und hohe Verfügbarkeit. Ebenso können sie eine Endpunkt-Host-Inspektion eines jeden Clients initiieren, der den Zugriff auf ihre Web-Anwendung anfordert, unabhängig davon, ob diese öffentlich oder intern ist. Dies gewährleistet eine Mindestsicherheit und erzwingt eine stärkere Authentifizierung als dies typischerweise für Web-Anwendungen möglich 9

10 ist. Entsteht eine Situation, in der die Unternehmen eine Authentifizierung und Client-Validierung bereitstellen müssen, bevor sie den Zugriff auf ungesicherte Anwendungen gewährt, lässt sich eine sichere Authentifizierung hinzufügen. Mit Hilfe dieser Authentifizierungsmethode wird zunächst eine sichere Sitzung erstellt, um danach den Zugriff auf die dahinterliegenden Dienste zu ermöglichen. Ein Unternehmen möchte beispielsweise vielleicht nicht seine öffentliche Webseite sperren, jedoch benötigen bestimmte Anfragen u. U. eine Authentifizierung (zum Beispiel, wenn ein Benutzer den Zugriff auf einen Ordner mit Zugangsbeschränkung anfordert). Mittels der sicheren Authentifizierung können die Administratoren den Zugriff auf Web-Anwendungen effizient verwalten; jeder kann sich auf der Hauptseite bewegen, aber sobald ein Benutzer einen Mitgliederbereich anklickt, greifen die Zugriffskontrollen, und das Tor geht zu. Globale Implementierung Zugriff auf die Ressourcen erlangen In den heutigen verteilten Architekturen sind Anwendungen und Ressourcen je nach den Bedürfnissen eines Unternehmens rund um den Globus verbreitet. So sind vielleicht die Finanzanwendungen intern untergebracht, ist in der Cloud und CRM- und ERP-Systeme in einem Data Center angesiedelt, und jede Installation hat eine eigene Disaster-Recovery- oder Backup-Site. Anwendungen wechseln ggf. während Datenverkehrsspitzen vom Data Center in die Cloud und wieder zurück, wenn sich der Datenverkehr normalisiert hat. Wenn die Benutzer mobil sind und Anwendungen anfordern, die ebenfalls beweglich sind, kann die effiziente Bereitstellung von Inhalten eine echte Herausforderung sein. Mit dynamischer Zugriffskontrolle ist die Verwaltung von Ressourcen so einfach wie noch nie. Die Administratoren können eine einzelne Richtlinie für alle Zugriffsmethoden oder Einzelrichtlinien erstellen, je nach Zugangsmethode, Gerät, Benutzergruppe oder anderen Benchmarks. Die Ressourcen selbst zirkulieren möglicherweise innerhalb der Infrastruktur, jedoch sind sie mit spezifischen Zugriffskriterien verknüpft. Je nach den Ergebnissen der Host-Inspektion können die Administratoren vollen, teilweisen oder gar keinen Zugriff auf angeforderte Komponenten gewähren. Ein Mitarbeiter, der von seinem von der IT bereitgestellten Laptop Zugriff anfordert, erhält vielleicht vollständigen Zugriff auf das Netzwerk. Vom Heim-PC aus ist der Zugriff jedoch eingeschränkt oder begrenzt. Auftragnehmer oder Partner haben vielleicht während der Geschäftszeiten Zugriff auf ein bestimmtes Netzwerksegment oder auf Terminal-Server. 10

11 Aber wenn sie danach versuchen, Zugang zu erhalten, kann es sein, dass sie nur den Zugriff auf ein dynamisches Webtop erhalten, das nur Web-basierende Anwendungen bietet, zum Beispiel ERP- oder CRM-Anwendungen. Selbst wenn Benutzer und Ressourcen mobil sind, gelten stets die Zugriffsrichtlinien. Bei Benutzern und Ressourcen, die global verteilt und oftmals mobil sind, kann auch die Latenz eine Herausforderung darstellen. Im Idealfall werden die Anfragen der Benutzer sofort bearbeitet. Das ist jedoch oft schwierig, wenn sich Benutzer und Anwendungen auf entgegengesetzten Seiten des Globus befinden. Die sich ändernden Standorte und Netzwerke von Benutzern und Anwendungen gleichermaßen können Probleme verursachen, wie Verzögerung, verlorene Datenpakete und eine schwache Leistung. Das wiederum beeinträchtigt unter Umständen die Anwendungsleistung und Benutzererfahrung. Die Integrierte WAN-Optimierung und Web-Beschleunigung des BIG-IP Edge Gateway minimieren die Verzögerungen, ohne dass eine Organisation in einer bestimmten Region extra ein Rechenzentrum errichten oder Systeme bei einem Hoster anmieten muss. BIG-IP Edge Gateway verbindet den Remote-Zugriff und Optimierungsdienste auf einer einzigen BIG-IP Plattform. Seine Optimierungsdienste sind nutzbar für Data Center, POPs, Remote-Standorte, die Anwendungen für mobile Benutzer hosten, und für Remote-Niederlassungen, die auf solche Anwendungen zugreifen. Die Servicequalität, insbesondere bei VoIP, ist eine weitere Herausforderung für Mobil- und Remote-Benutzer. BIG-IP Edge Gateway bietet einen Datagramm- TLS (DTLS)-Modus für Remote-Verbindungen. TLS ist das Standardprotokoll zur Sicherung von TCP-basiertem Internetverkehr (auch bekannt als SSL). DTLS ist ein Protokoll auf TLS-Basis und kann den Datagramm-Transport sichern. Es eignet sich gut für das Sichern und Tunneln verzögerungsempfindlicher Anwendungen. Diese Lösung reduziert die benötigte Hardware an Standorten mit verzögerungsempfindlichen Netzen. Es bietet ein effektives Management des Anwendungszugriffs und verbessert die Benutzererfahrung deutlich. Sicher und End-zu-End Das Gros des mittels F5 vereinheitlichten Zugriffsverkehrs, ob per Proxy oder getunnelt, wird über Layer 7 TLS/SSL gesichert. IPsec Tunnel werden ebenso unterstützt, was den Datenverkehr über Layer 3 mittels der isession-technologie von F5 sichert. Zwei BIG-IP-Geräte können mit isessions gesicherte, verschlüsselte, optimierte Tunnel über das WAN erstellen. Unternehmen können ihr eigenes gesichertes, optimiertes WAN erstellen, das jedem Paket Authentifizierung und Verschlüsselung hinzufügt. Dies sichert und optimiert zum Einen den Datenverkehr zwischen Die Integration mit BIG-IP GTM BIG-IP Edge Gateway ist mit BIG- IP Global Traffic Manager (GTM) vernetzt. BIG-IP GTM kann also, wenn einzelne BIG-IP Edge Gateway-Geräte bestimmte Grenzwerte erreichen, globale Nutzer per Lastverteilung zum nächstbesten BIG-IP Edge Gateway-Gerät umleiten und bei Bedarf Notfallfunktionen zur Verfügung stellen. Disaster Recovery, Business Continuity und kontinuierliches Arbeiten werden mit einer Lösung erreicht. 11

12 Benutzern und Anwendungen. Unternehmen können so aber auch den Datenverkehr zwischen einzelnen Standorten sichern und beschleunigen; zwischen Zentrale und Niederlassungsbüro; zwischen dem primären Rechenzentrum und der Cloud- Services-Anlage; und zwischen Remote und Lokal und allem, was dazwischen liegt. IPsec kann jeden Anwendungsverkehr über ein IP-Netz absichern. Durch die Verwendung von isessions in der F5-Unified-Access-Lösung erhalten Unternehmen End-zu-End-Sicherheit über die gesamte globale Infrastruktur hinweg. Es kann Fälle geben, bei denen aufgrund von Benutzeridentität, Sicherheitsimplikationen oder anderen Kriterien ein kompletter Layer 3-Tunnel nicht geeignet ist oder bei denen der Benutzer nur auf eine einzelne Anwendung zugreifen muss, zum Beispiel auf Exchange mit seinem lokalen Outlook-Client. In solchen Situationen könnte ein einzelner F5 App-Tunnel besser geeignet sein als den Zugriff auf das gesamte Netzwerk bereitzustellen. Mit AppTunnel können die Organisationen einen einzelnen gesicherten Link zu einer spezifischen Anwendung erstellen, ohne den Zugriff auf das gesamte Netzwerk öffnen zu müssen. So können Mobil-Benutzer einfach auf ihren Outlook-Client klicken, um gesichert auf ihre zuzugreifen, unabhängig davon, wo sie sich auf der Welt gerade aufhalten. AppTunnel sind außerdem komplett WAN-optimiert, sodass diese Anwendungsverbindungen von der adaptiven Kompression, Beschleunigung und TCP-Optimierung für eine effiziente Bereitstellung von Inhalten für den Benutzer profitieren. Szenarien aus der Praxis Viele Firmen installieren gegenwärtig Microsoft Exchange Server 2010 oder wechseln von Exchange 2007 zu Exchange Jede Systemaktualisierung ist eine Herausforderung. Der Wechsel birgt sehr viele potentielle Probleme: Einige Benutzer sind noch im alten System, andere im neuen; manchmal können die Benutzer vorübergehend nicht auf ihre s zugreifen; Administratoren und Benutzer müssen möglicherweise ihre Einstellungen am Outlook-Client-Server ändern, damit der richtige Server eingestellt ist; Antworten auf bestimmte Nachrichten könnten zurückkommen; die OWA-URL kann sich ändern; und Kalender sind u. U. nicht verfügbar. Der Einsatz der Unified-Access-Lösungen von F5 kann viele der Probleme beim Exchange-Wechsel mindern. Erstens erlauben die Lösungen von F5 eine langsame Migration, während BIG-IP APM die Benutzer in der DMZ authentifiziert, damit keine unbekannten Benutzer auf das System zugreifen. Die Unternehmen können eine einzelne URL zuteilen, und je nach Benutzer oder Gruppe, leitet BIG-IP APM den Benutzer zum richtigen Server für jede Exchange-Iteration (OWA, ActiveSync, 12

13 and TCP optimization to efficiently deliver content to the user. Real-World Scenarios White Many Paper companies are deploying Microsoft Exchange Server 2010 or migrating from Exchange 2007 to Exchange Upgrading any system is a challenge. Transitions come with a host of potential problems: some users may be on the old system and some on the new; users may be temporarily unable to access ; administrators and users might need to change their Outlook client server settings to make sure they are pointed to the proper server; replies to certain messages may bounce; the OWA URL may change; and calendars may be unavailable. Deploying F5 unified access solutions can alleviate many of the issues associated oder with Outlook an Exchange Anywhere). migration. Dies First, gibt the den F5 Benutzern solutions allow direkten organizations Zugriff auf to ihre migrate s, over time while BIG-IP APM authenticates users in the DMZ to ensure there are no ohne dass sie Lesezeichen oder Einstellungen aktualisieren müssen. Auch können die Organisationen den -Zugriff für alle Geräte, von allen Standorten unknown users accessing the system. Organizations can distribute a single URL, and depending on the user or group, BIG-IP APM will direct the user to the appropriate aus und in jedem Netzwerk verwalten. Nach der kompletten Umstellung können server for any Exchange iteration (OWA, ActiveSync, or Outlook Anywhere). This Unified-Access-Lösungen von F5 mittels Skalierung bis zu 600 Anmeldungen pro gives users direct access to without requiring that they update bookmarks or Sekunde meistern und bis zu Benutzer auf einem einzigen Gerät unterstützen. Auch die Aktivierung gehosteter virtueller Desktops ist einfach und other settings. Organizations can also manage access for all devices, from all sicher. Mobile Users Branch Office Users Internet BIG-IP LTM +APM VDI VDI VDI Wireless Users LAN Users Internal LAN VLAN1 -or- BIG-IP LTM VE +APM Hypervisor Virtual ldesktops Internal LAN VLAN2 Abbildung 2: BIG-IP APM in einer virtuellen Desktop-Infrastruktur Figure 2: BIG-IP APM in a Virtual Desktop Infrastructure Die hinzugekommene feinmaschige Zugriffskontrolle in BIG-IP APM zu BIG-IP LTM ist eine leistungsstarke Verbesserung für jede Virtual-Desktops-Installation. BIG-IP APM optimiert, sichert und stellt eine Virtual Desktop Infrastructure (VDI) zur Verfügung. Das BIG-IP-System verbessert die Verfügbarkeit und Skalierbarkeit, indem es einen wichtigen Lastausgleich, Systemüberwachung und SSL-Offloading für VDI-Installationen ermöglicht. Netz- und Protokoll- Optimierungen helfen den Unternehmen dabei, Bandbreiten effizient zu verwalten und gelegentlich die Bandbreitenanforderungen zu senken, während das Benutzererlebnis bewahrt und verbessert wird. Mit BIG-IP APM können die Organisationen auch, basierend auf der Benutzeridentität, Entscheidungen zum Lastausgleich für virtuelle Server treffen. So sind die Benutzer, entsprechend ihrer Bedürfnisse, jeweils mit der optimalen virtuellen Instanz verbunden. 11 BIG-IP APM für LTM Virtual Edition (VE) kann auch eine 100-prozentige, virtuelle Remote-Zugriffslösung für VDI-Lösungen sein, und es kann als Teil 13

14 einer Hybrid-Cloud oder Disaster Recovery-Strategie eingesetzt werden. Darüber hinaus läuft BIG-IP APM für LTM VE als virtuelle Maschine in einer VMware-Hypervisor-Umgebung, so dass es sich leicht der bestehenden Infrastruktur von Unternehmen hinzufügen lässt. Da die Zahl der Nutzer an virtuellen Desktops wächst, können die Kunden problemlos von virtuellen auf physische Versionen von BIG-IP-Produkten wechseln. BIG-IP APM für LTM VE vereinfacht die Authentifizierung und die Sitzungs-Verwaltung für VDIs. Einfaches, detailliertes Management Mit all dieser Technologie sollte sich der globale Zugriff mühelos verwalten lassen. Ebenso ist es wichtig, die Anwendungs-Performance zu verstehen und einen Einblick in die Art und Weise zu haben, in der Remote-Benutzer auf Anwendungen zugreifen. In BIG-IP, Version 10 führte F5 mit Application Ready Solution Templates anwendungsfertige Lösungsvorlagen ein. Sie vereinfachen es, virtuelle Server, Pools, Profile, Monitore, die F5 irules -Skriptsprache und andere notwendige Konfigurationsparameter zu erstellen, die nötig sind, um die BIG-IP-Implementierungen für spezifische Anwendungen, wie SharePoint, SAP, Oracle und Exchange zu optimieren. Die Vorlagen enthalten häufige Standardwerte und minimieren die Zahl der erforderlichen Klicks in der grafischen Benutzeroberfläche, um ein BIG-IP- Gerät zu konfigurieren. Die gemeinsamen Standardwerte wurden durch strenge Tests und Zusammenarbeit mit Anwendungslieferanten ermittelt sie repräsentieren die optimale Konfiguration für BIG-IP-Geräte und eine bestimmte Anwendung. Neu in der BIG-IP Version 11 ist iapp, mit Application Services (Anwendungsdiensten), Templates (Vorlagen) und Analytics (Analytik). iapp gibt dem Unternehmen einen umfassenden Überblick über die gesamte Anwendungs-Performance. Die Organisation kann ihre sämtlichen ADC-Services im Kontext der gerade installierten Anwendung steuern. Zudem stellt es die Infrastruktur bereit, um die Komponenten eines Anwendungsdienstes zu definieren. Von dieser Definition aus können die Administratoren die Anwendungs-Serviceinstanz erstellen. Danach können sie für jeden Anwendungs-Service erkennen, welche Leistung die Anwendung bringt. Das erfolgt über Statistiken auf Anwendungsebene sowie Reports. Die Application Services von iapp bieten den Administratoren eine Kontrollstelle auf Anwendungsebene und stellen den wichtigsten Punkt für die Verwaltbarkeit einer spezifischen Installation zur Verfügung. Wenn ein Administrator eine An- 14

15 wendung implementiert, ordnen iapp Application Services alle damit verbundenen abhängigen Objekte zu, bieten einen Verfügbarkeitsstatus für jedes Objekt und stellen den Kontext für Statistiken und Berichte. iapp Application Services werden aus einer Vorlage erstellt und sind an diese gebunden. So können die Administratoren Objekte und die erforderliche Benutzeroberfläche für die Anwendung einbinden. iapp Analytics bietet Anwendungs- und HTTP-Level-Statistik und Berichterstattung pro Einzelanwendung. iapp Analytics sammelt Statistiken auf Anwendungsebene, fasst diese zusammen erstellt Reports dazu und ist über Anwendungsvorlagen konfigurierbar. Es präsentiert angepasste Ansichten, die auf verschiedenen Objekten basieren. Statistiken werden im 5-Sekunden-Takt abgefragt. Die Administratoren können Warnungen über Syslog, SNMP und erstellen sowie Log-Berichte an Remote-Reporting-Engines schicken. Abbildung 3: Sichtbarkeit und Reporting einzelner Applikationen mit iapp Durch die Leistungsberichte erhalten die Administratoren eine vollständige Bewertung ihrer globalen Benutzerschaft und ihrer Interaktionen mit den Ressourcen. Die ganze Interaktion des Lebenszyklus einer Sitzung Benutzer zu Anwendung und zurück ist zur Überprüfung verfügbar. Die Aggregation der Daten und On-Box-Reporting stellen IT-Administratoren und Fachbereiche gleichermaßen die kontextuellen Informationen zur Verfügung, die sie benötigen, um fundierte Geschäftsentscheidungen über ihr Netzwerk, ihre Infrastruktur, ihre Systeme, ihre Anwendungen und ihre Benutzer zu treffen. 15

16 White Secure, PaperOptimized Global Access to Corporate Resources Performance reporting gives administrators a complete assessment of their global Fazit user base and their interactions with resources. The full interaction of the session lifecycle user to app and back again is available for review. The aggregation of data and on-box reporting give IT administrators and business groups alike the Die Aufgabe contextual lautet, information jeden Benutzer they need über to jedes make Gerät informed und business von jedem decisions Standort aus network, mit der infrastructure, Anwendung unabhängig systems, applications, von deren and Standort users. zu verbinden about their und gleichzeitig die Bereitstellung der Inhalte abzusichern und zu optimieren. Unified Access Control (UAC, vereinheitliche Zugriffskontrolle) kann einem Conclusion Unternehmen helfen, weltweit die gesicherte Bereitstellung von Anwendungen für Remote-Anwender zu optimieren, indem sie diese so nah wie möglich und The mit mission möglichst is to connect geringer any Latenz user from an die any Anwendung device from anbindet. any location to wherever the application lives, securing and optimizing the delivery of content. Unified access F5 Unified-Access-Lösungen control can help an organization bieten End-zu-End-Verfügbarkeit optimize secure application und delivery -Optimierung users mit sicherem, around the einheitlichem world by connecting Zugriff. Sichere them Mobilität as close to dehnt the application die Anwen- and with to remote dungsrichtlinien as little latency auf as den possible. Client aus und ist die Antwort des Unternehmens auf die Herausforderungen im Hinblick auf Identitäts- und Zugriffs-Management. F5 unified access solutions provide end-to-end availability and optimization with Die Benutzer erhalten schnelle und sichere Verbindungen zu den von ihnen benötigten Ressourcen. Für die IT-Abteilung wiederum bedeutet es ein- secure unified access. Secure mobility extends the application policy to the client, addressing the organization s challenge of identity and access management. fache Verwaltung, Richtlinienkontrolle und eine detailliertes Reporting der Users get fast and secure connections to the resources they need and IT gets Benutzererfahrung. Auch der Kontext spielt eine wichtige Rolle, damit Benutzern und Anwendungen nahtlos und sicher zusammenkommen. easy management, policy control, and detailed reporting of the user experience. Context also plays an important role to ensure users and applications come together seamlessly and securely. Wenn Unternehmen Cloud-Implementierungen einsetzen, können sie dank BIG-IP If APM organizations für LTM VE have eine cloud vollständige, deployments, optimierte BIG-IP und APM sichere for LTM Konnektivität to in achieve einer virtualisierten complete, optimized, Umgebung secure erreichen. connectivity Unified-Access-Lösungen in a virtualized environment. VE enables them von F5 sichern unified eine access globale solutions Infrastruktur, secure a global indem infrastructure sie von diesem by strategischen scalability, Kontrollpunkt optimization, innerhalb flexibility, des Netzwerks context, aus resource Sicherheit, control, Skalierbarkeit, policy management, providing security, Optimierung, reporting, Flexibilität, and availability Kontext, for all Ressourcenkontrolle, applications from that Richtlinienmanagement, within Berichterstattung the network. und Verfügbarkeit für alle Anwendungen strategic point of control bieten. i IDC Report, Market Analysis: Worldwide Mobile Worker Population Forecast. December 2009, IDC #221309, Volume 1. 1 IDC Report, Market Analysis: Worldwide Mobile Worker Population Forecast. December 2009, IDC #221309, Volume 1. F5 Networks, Inc. 401 Elliott Avenue West, Seattle, WA F5 Networks, Inc. Corporate Headquarters info@f5.com F5 Networks Asia-Pacific apacinfo@f5.com F5 Networks Ltd. Europe/Middle-East/Africa emeainfo@f5.com F5 Networks Japan K.K. f5j-info@f5.com 2011 F5 Networks, Inc. All rights reserved. F5, F5 Networks, the F5 logo, BIG-IP, ARX, FirePass, icontrol, irules, TMOS, and VIPRION are registered trademarks of F5 Networks, Inc. in the U.S. and in certain other countries. CS