Suchen

Die Konvergenz von Security-Management und WAN-Optimierung

WAN-Performance – mehr als bloße Netzwerk-Geschwindigkeit

Seite: 2/2

Umfassende Optimierung ist Pflicht

Die Leistungsoptimierung muss für einen bestmöglichen Effekt auf alle Teile des Netzwerks angewendet werden. Dies kann global geschehen, indem die Strecke für den Traffic optimiert wird, der über komplexe internationale WANs kommt. Oder die Leistungsoptimierung erfolgt lokal, indem der Traffic bereits am Switch priorisiert wird. Damit wird eine erste Optimierung bereits im niedrigsten Level des Netzwerks auf Basis der traditionellen Adresse und der Port-basierten Abhängigkeit umgesetzt. Eine weitere Möglichkeit setzt am höchsten Level an, indem gezielt Pakete aus dem Traffic herausgepickt werden. Damit wird der Applikationsverkehr nicht mehr ganzheitlich priorisiert, sondern einzelne Applikationen gezielt beschleunigt.

Früher wurde in puncto WAN-Beschleunigung über dumme Kompressionstechniken ausschließlich versucht, so viele Bits wie irgendwie möglich durch die Leitung zu pressen. Über die Jahre wurden die Optimierungsverfahren jedoch sensibler gegenüber den Applikationen und wie diese innerhalb des Netzwerks genutzt werden. Dieser Ansatz erlaubt heute weit reichende granulare Priorisierungs- und Optimierungsprozesse, zugeschnitten auf einzelne Applikationen, Zeiten und User.

Ein Beispiel

Wie wichtig eine detaillierte Betrachtung des Netzwerks vor einer Optimierung ist, soll das Beispiel eines mittelständischen Dienstleisters zeigen, dessen Angestellte routinemäßig über weite Distanzen zusammenarbeiten. Die bei dieser Zusammenarbeit häufig auftretenden signifikanten Performance-Probleme will die IT-Abteilung über eine WAN-Optimierung lösen und testet ohne weitere Voruntersuchungen nacheinander die „Allzwecklösungen“ dreier führender Hersteller. Allesamt arbeiten nach einer archetypischen Kombination aus Kompression, Latenzreduzierung, Beschleunigung und Priorisierung.

Zwar arbeiten alle drei Produkte wie versprochen – sie komprimieren, beschleunigen und priorisieren –, dennoch stellt sich beim Hauptproblem, der Team-Kollaboration keine Verbesserung ein.

Die IT-Abteilung unseres Beispielunternehmens macht also einen Schritt zurück und sieht sich nun das Problem sehr viel genauer an. Die IT-Infrastruktur wird dazu aus der Perspektive des Users betrachtet. Dabei wird entdeckt, dass die Performance-Probleme sich hauptsächlich bei den Applikationen ergeben, die große Files bewegen. Zudem zeigt sich bei genauerem Hinsehen, dass genau bei diesen Programmen und Files die Standard-Beschleunigungstechniken nicht greifen.

Mit diesen Informationen kann nun ein Wide-Area-File-Service-Tool (WAFS) angeschafft werden, das genau den genannten Engpass behebt – und das zu einem Preis, der 66 Prozent unterhalb des günstigsten zuvor getesteten Optimizers liegt.

Aus diesem Beispiel wird ersichtlich, dass blindes Optimieren einem Bandbreitenausbau gleich kommt und nur manchmal – meist sogar nur mit kurzer Dauer – wirkt.

Konvergenz von Performance Management und Security

In jüngster Zeit verzahnen sich Sicherheitstools und Netzwerk-Optimierungswerkzeuge immer stärker miteinander und werden so zu einem schlagkräftigen Team. Denn nur die Kombination von Optimierung und Sicherheit erlaubt es, niemals Dinge zu optimieren, die man von vorneherein gar nicht übermitteln möchte – beispielsweise Spam-Mails, Viren oder Schadcode. Zudem stellt sich die Frage, warum man zum Beispiel die Zustellung eines ausgehenden Datenpakets über das WAN optimieren sollte, wenn dieses Daten enthält (zum Beispiel eine Kreditkartennummer), die später ohnehin nicht durch die Firewall gelassen werden. Auch eingehende Daten wie die einer Webseite mit verdächtigem Inhalt, die dann von der Firewall auf dem Anwender-Desktop geblockt wird, müssen nicht beschleunigt werden.

Heute setzt sowohl die Sicherheitskontrolle als auch die gezielte Beschleunigung oft voraus, dass in die Datenpakete selbst hineingeschaut werden und nicht nur auf die Ports und Hosts, zwischen denen sie sich bewegen, geachtet werden muss. Dabei lautet die Prämisse, dass Pakete wenn immer möglich nur ein einziges Mal aufgebrochen werden sollten, um die Netzwerkeffizienz hoch zu halten. Bringt man dabei die Sicherheitsbeurteilung mit der Netzwerkoptimierung zusammen, kann eine für geringe Latenzzeiten optimale Lösung entstehen.

Die Konvergenz von Netzwerkoptimierung und Sicherheit wird aber auch noch von anderen Faktoren getrieben. Einer ist die Netzwerktopologie: Sowohl Sicherheit als auch Optimierung sind an bestimmten Nadelöhr-Punkten im Netzwerk besonders effektiv und wirtschaftlich; und zwar dort wo der meiste Traffic mit der kleinsten Anzahl von Serverschränken weitergeleitet werden kann. Spätestens wenn sich in naher Zukunft also die Basisfunktionen für Optimierung bereits in der Routing-Ausstattung befinden, werden die Optimierungshersteller die Konvergenz mit der Security dann als Differenzierungsmerkmal einsetzen.

Noch offene Probleme

Doch die Konvergenz von Security und Optimierung bringt auch Probleme. Sicherheitsgeräte sind ausfallsicher, so dass nichts weitergeleitet wird, wenn das Gerät kaputtgeht. Die Sicherheitsstellung wird so durch den Ausfall nicht kompromittiert. Im Gegensatz dazu wollen Geräte zur Netzwerkoptimierung diesen Ausfall beheben.

Zudem gibt es Bedenken hinsichtlich SSL-Traffic-Streams. Ein Gerät kann einen so verschlüsselten Stream nicht optimieren, wenn es nicht sehen kann, was darin enthalten ist. Der einzige Weg hineinzuschauen bedeutet aber mehr oder weniger die Aufhebung der Verschlüsselung. Dies könnte sowohl aus Compliance-Sicht als auch aus Privacy-Aspekten eine heikle Angelegenheit werden. Denn wenn Richtlinien vorgeben, dass eine Nachricht zwischen zwei Endpunkten verschlüsselt übertragen werden muss, widerspricht dieses Verhalten den Anforderungen ebenso, wie wenn Angestellte beispielsweise auch private Mails verschicken dürfen, die aufgrund des Datenschutzes vom Unternehmen unangetastet weitergeleitet werden müssen.

Über den Autor

John Burke ist Analyst bei Nemertes Research

(ID:2041254)