F5 Networks – niezawodny dostęp do aplikacji i serwisów

F5 Networks – niezawodny
dostęp do aplikacji i serwisów
•
•
•
Łukasz Formas
Field System Engineer
Europa Wschodnia
[email protected]
2
Agenda
• Trochę o F5...
• Definicje
• Rozwiązanie
3
O firmie
170
•
160
Lider w dostarczaninu rozwiązań
Application Delivery Networking
– optymizacji, zabezpieczenia i
dostępności aplikacji, serwisów,
serwerów i storeage
Service
150
Product
140
130
120
110
100
•
•
Założona 1996/Na giełdzie 1999
Około 1,700 pracowników
FY07 Revenue: $526M
90
$ Millions
•
80
70
60
50
40
30
20
10
2Q09
1Q09
4Q08
3Q08
2Q08
1Q08
4Q07
3Q07
2Q07
1Q07
0
4Q06
FY08 Revenue: $650M
3Q06
•
4
F5 Globalnie
Tomsk
Seattle HQ
San Jose
Chertsey HQ
Spokane
Chicago
New York
Washington DC
Paris
Munich
Tel Aviv
Beijing
Seoul
Shanghai
Guangzhou
Tokyo HQ
Hong Kong
Singapore HQ
Sydney
Międzynarodowse HQ – Seattle oraz Regionalne HQ / Centra serwisowe
F5 Biura regionalne
5
Infrastruktura rozumiejąca aplikacje
Centrum obliczeniowe
Użytkownicy
Dom
Biuro
W trasie
Klienci
Partnerzy
Pracownicy
Konsultanci
Application
Delivery
Network
SAP
Microsoft
Oracle
VoIP
CDN
Video
FTFP Radius
HTTP /HTML, SIP,
RTP, SRTP, RTCP,
SMTP, FTP, SFTP,
RTSP, SQL, CIFS,
MAPI, IIOP, SOAP,
XML etc…
F5 sprawia, ze aplikacje i serwisy dzialajace w sieci sa bezpieczne,
dostepne i szybko dzialajace
6
Wirtualizacji i optymalizacja aplikacji i serwisów
Komórka
Centrum
przetwarzania
danych
Domowy PC
Zdalny ‐
WAN
Enterprise Manager /
ControlPoint
BIG‐IP Global Traffic Manager
BIG‐IP Link
Controller
FirePass
SSL VPN
iSession
BIG‐IP Local
Traffic
Manager
BIG‐IP Web
Accelerator
Aplikacje & Storage
BIG‐IP Application
Security
Manager
ARX
File/Data Virtualization
iControl
PC ‐ LAN
TMOS
WLAN
Infrastruktura F5 – uwolnienie IT, optymalizacja biznesu
7
Business Continuity
• Business Continuity Planning (BCP) to
metodologia do stworzenia planu w jaki sposób
organizacja podtrzyma, częściowo lub
całkowicie przerwane krytyczne funkcje w
przewidywalnym czasie po katastrofie
Recovery Point and Recovery Time Objectives
8
• RTO (recovery time objective) to maksymalny, dopuszczalny
czas po przerwie na przywrócenie systemów, aplikacji, funkcji
• RPO (recovery point objective) definiuje jak aktualne powinny
być dane po katastrofie. RPO to najwcześniejszy punkt w czasie
do którego dane mają być odtworzone po przerwie. RPO definiuje
maksymalną ilość danych, które organizacja jest w stanie
poświęcić.
• Zero RPO – wymaga przetrwania katastrofy bez utraty danych.
9
Disaster Radius
• Disaster Radius – prawdopodobny zasięg katastrofy – wpływa
na rozwiązania business continuity
Zasięg katastrofy w przypadku DC
Zapasowe DC nie może być w
promieniu katastrofy (disaster
radius)
•
•
Zdefiniowanie promienia
katastroft jest skomplikowane
Duże organizacje używają
strategi wielo-poziomowej:
– 2 DC w obrębie miasta
– 3 DC - regionalnie
10
Business Continuity dla krytycznych
zasobów (biznes)
• Zero data loss: żadne dane nie mogą zostać utracone
(recovery-point objective)
• Zsynchronizowane informacja: pewnośc że dane są
konsystentne i zsynchronizowane
• Brak przestoju: nie można tolerować niedostepności
serwisu dla klientów lub niemożność działanaia w
przedłużającym się czasie (recovery time objective)
• Disaster-Proof: Potrzeba ochrony przed potencjalnym
regionalnym i geograficznym zagrożeniem
Właściwe zarządzanie powyższymi jest krytyczne dla
sukcesu
11
Disaster Recovery
• Plan Disaster Recovery usunięcie skutków
awarii. Obejmuje dane, hardware i software
krytyczny dla biznesu aby zrestartować operacje
w przypadku katastrofy (spowodowanej również
błędem ludzkim). Powinien również zawierać
odtworzenie zasobów ludzkich.
12
Przyczyny
•
•
•
•
•
•
•
•
•
•
•
Katastrofy naturalne
Pożar
Awaria zasilania
Atak terrorystyczny
Zorganizwoane przerwy
Awarie sprzętu i systemu
Błędy ludzkie
Wirusy/ataki komputerowe
Wymagania prawne
Strajki pracownicze
Zarazy (ludzkie) nie dotykające bezpośrednio infrastruktury
13
Przyczyny i rozwiązania
–
–
–
–
–
–
–
–
–
–
–
Katastrofy naturalne
Pożar
Awarie zasilania
Ataki terrorystyczne
Zorganizowane przestoje
Awarie sprzętu/systemów
Błędy ludzkie
Wirusy/ataki komputerowe
Wymogi prawne
Strajki pracownicze
Epidemie
–
–
–
–
–
–
–
–
–
–
–
Redundantne DC
Redundantne DC
Redundantne DC
Redundantne DC
Redundantne DC, bezp. dostęp,
App FW
Globalne i Lokalne HQ
Redundantne DC, centralne zarządz.
Bezpieczny dostęp, App FW
Bezpieczny dostęp, App FW, FIPS
Redundantne DC
Bezpieczne dostęp, WAN
optimization
Redundantne DC są kluczem!
14
Redundantne DC
• Krytyczne aplikacje w wielu DC:
– przynajmniej 2 lub 3
– Geograficzne rozrzucone
• Np: 1 w USA, 1 w Europie, 1 w Azji
– Każde powinno być wielo-dostępowe
• Łącząc wymagania
3 Globalne zarządzanie ruchem
3 Bezpieczny, zdalny dostęp dla użytkowników
3 Ochrona publicznie dostępnych aplikacji
3 Replikacja stanów aplikacji (np. DB replication) pomiedzy
DC
3 Szybkie działanie aplikacji poprzez łącza WAN
15
Konsolidacja Data Center
• Konsolidacja Data Center – to podejście
zoptymalizowania technologi w jednym lub kilku
DC w celu osiągnięcia:
– Redukcji kosztów
– Zwiększenia wydajności
– Minimalizacji ryzyka
• To podejście zawiera w sobie planowanie,
optymalizację, i fizyczną migrację systemów i
urządzeń.
16
Zabezpieczenie zdalnego dostępu
•
•
Zdalny dostęp dp zasobów jest krytyczny
Główne wymagania:
–
–
–
–
–
–
–
Z dowolnego urządzenia (np. kiosk lub PC, handheld)
Z dowolnego OS (np. Windows, MAC, Linux etc.)
Dobrze znany i publiczny URL dostępowy
Backup (standby) VPN appliance dostepny w zdalnym DC
Obsługujący wielu użytkowników
Username/password takie samo jak korporacyjne same as
corporate ID
Testowany przynajmnie raz do roku
17
Łącząc to wszystko
Business Continuity
–
–
–
•
Disaster Recovery
–
–
•
Zero loss, Zsynchronizowane info, bez
przestoju, testy
System dyskretny RTO / RPO
Implementacje planów Disaster recovery /
Consolidation określają RTO / RPO
Rosnacy priorytet
Potrzebny krótki czas przywrócenia
Konsolidacja
–
–
Polepsza TCO i bezpieczenstwo
Polepsza czas odpowiedzi aplikacji (przy
poprawnej implementacji)
S y n c h ro n o u s
R e p lic a tio n
D a ta re c o v e r y c o n tin u u m o f s e r v ic e
T r a d itio n a lly , th e fa s te r y o u
w a n t to g e t d a ta b a c k , th e
m o re y o u w ill p a y
Costs $$$$$
•
F ile S e rv e r P ro te c tio n
M irro rin g
C o n tin u o u s D a ta
P ro te c tio n
Snapshot
F 5 S o lu tio n s m a k e s e c o n d s to -fa ilo v e r c o s t e ffe c tiv e
T a p e -B a s e d B a c k u p
D is k B a s e d B a c k u p
O ff-S ite
S to ra g e
D a y s to H o u rs
H o u rs to M in u te s
M in u te s to S e c o n d s
R e c o v e r y T im e O b je c tiv e
Rozwiązania F5 pomagają użytkownikom
osiągnąć zadania opisane w planach
Business Continuity, Disaster Recovery i
konsolidacji
S o u rc e : N e tw o rk W o rld , T h e N e w F a c e o f D isa s te r R e c o v e ry, 0 5 0 8 0 6
18
Wirtualizacja serwerów web
Zdalny ‐ WAN
Wirtualizacja DC i połączeń
PC ‐ dom
Serwer web
Serwer web
Serwer web
Serwer aplikacji
Serwer aplikacji
Serwer aplikacji
Wirtualizacja na poziomie plików
Serwer web
komórka
Wirtualizacja serwerów aplikacyjnych
Wirtualizacja
Serwer web
PC ‐ LAN
Serwer web
GTM
& LC
LTM & WA
LTM
EMC
Serwer plków Windows
Serwer plików Windows
Serwer aplikacji
WLAN
NetApp
ARX
19
Wirtualizacja ośrodków
obliczeniowych
20
Wysokie koszty przestoju
• 33% firm nie ma planów Disaster Recovery
• 16% firm traci pomiedzy $100-$500K/dzień
• 26% firm nie wie w ogóle ile traci
Źródło: Raport AT&T i IAEM
“47% cytowanych firm stwierdza że rozwiązania disaster recovery powinne być
jako pierwsze uwzględniane w budżecie” Network Computing Survivor’s Guide, 2006
21
Przekierowanie użytkownika to najlepszego,
dostepnego DC
Klient
L‐DNS
DC1 (Główne)
DC 2 (Zapasowe)
Router
Router
BIG‐IP GTM
BIG‐IP LTM
Serwery korporacyjne
BIG‐IP GTM
BIG‐IP LTM
Serwery korporacyjne
22
Zarządzanie aplikacjami
Dostarcza unikalnej elastyczności i inteligencji aby sprostac
pojawiającym się wyzwaniom
Centrum danych B
Centrum danych A
Wysoko dostępne
Łatwe w utrzymaniu
23
Wirtualizacja wewnątrz ośrodków
obliczeniowych
24
Bezpieczny dostęp do aplikacji
Użytkownik
Urządzenie
Aplikacje
Polityki dostępu
+
‐
‐
Laptop
+
Corporate Policy
Portal
dostępowy
EndEnd-Point Secure
Access Policy
Management
Microsoft
Exchange Server
Firewall
FirePass®
Dostęp do
aplikacji
Internet
Kiosk Policy
Kiosk
Mini browser policy
Corporate Policy
Komórka
Korzyści SSL-VPN
• oparty o przeglądarkę
• niskie koszty zarządzania i supportu
PC klienta
• Polityki dostępu
• Ochrona
• Wymuszenie zasad dostępu
Intranet
Dostęp do sieci
25
Bezpieczeństwo aplikacji (web)
Inteligentne decyzje zezwalające
tylko na „dobre” zachowania Pozytywny model bezpieczeństwa
Przeglądarka
Definicja dobrego
i złego zachowania
26
Zintegrowane rozwiązanie
•
•
•
•
DoS and SYN Flood Protection
Network Address/Port Translation
Application Attack Filtering
Certificate Management
• DoS and DDos protection
• Brute Force attacks protection
•
•
•
•
•
•
•
Resource Cloaking
Advanced Client Authentication
Firewall - Packet Filtering
Selective Content Encryption
Cookie Encryption
Content Protection
Protocol Sanitization
• Secure and Accelerated
DC to DC data flow
•
•
•
•
Comprehensive Load Balancing
Advanced Application Switching
Customized Health Monitoring
Intelligent Network Address
Translation
• Advanced Routing
• Intelligent Port Mirroring
•
•
•
•
IPv6 Gateway
Universal Persistence
Response Error Handling
Session / Flow Switching
• SSL Acceleration
• Quality of Service
•
•
•
•
•
•
•
•
Network Virtualization
System Resource Control
Application Templates
Dashboard
•
•
•
•
Connection Pooling
Intelligent Compression
L7 Rate Shaping
Content
Spooling/Buffering
TCP Optimization
Content Transformation
Caching
TCP Express
27
Dynamiczne, na żądanie bezpieczeństwo aplikacji
Zalety:
• Pierwszy skalowany na żądanie Web Application Firewall
• Zaawansowane bezpieczeństwo
• Doskonała wydajność
• Wgląd w ruch aplikacyjny
Lepsze bezpieczeństwo z Wieksza wydajność!
28
Niesamowita niezawodność
Client
Wielopoziomowa redundancja
•
•
•
Awaria blade’a nie powoduje awarii urządzenia
Redundantne i wymienialne componenty
Zawsze dostępny
Server