Wenig beachtet: Application Delivery Controller (ADC)

Die Rechenzentren sind hochverfügbar Aufgebaut, angefangen beim Netzwerk über Storage und Server bis hin zu Firewall-Systemen und Außenanbindungen. Die Anforderung eines 24×7 Betriebs der IT ist schon längst Realität. Unabhängig von Tages oder Nachtzeit möchten die Anwender auf die Ressource IT zugreifen können. Bei global aufgestellten Unternehmen mit weltweiten Niederlassungen verschwimmen zudem die Begriffe von Tag- und Nachtzeit, da es irgendwo immer Tag und somit normale Arbeitszeit ist. Die Dienste einer IT müssen somit Rund um die Uhr verfügbar sein und das egal am welchen Tag in der Woche.

Mit der Virtualisierung der IT und durch Produkte die vom Basisdesign her für einen HA-Betrieb ausgelegt sind, steht auch mittelständischen Unternehmen eine hochverfügbare IT-Umgebung zur Verfügung, wie dies sonst nur großen Konzernen möglich war. Aber bei all den Funktionen des HA Betriebs sind diese in der Regel immer darauf hin ausgelegt die Systeme verfügbar zu halten und vor ungeplanten Ausfällen und somit Defekten zu schützen. In einem mittelständischen Unternehmen ist es aber nicht üblich eine 24×7 IT-Abteilung aufzubauen und somit vielleicht die lokalen Nachtstunden zu nutzen um Wartungsarbeiten durchzuführen damit eine geplante Downtime nicht in die Arbeitszeit der meisten Anwender fällt. Auch gibt es Dienste die auf den ersten Blick vielleicht als gar nicht so wichtig erscheinen, weil sie ja einfach immer da sind. Hier muss man sich aber die Frage stellen, wie ist es tatsächliche um diese Verfügbarkeit bestellt?

Ein Bedarf an Application Delivery Controllern (ADC) ist da und zwar in so gut wie allen Unternehmen egal welcher Größe. Die einzige Relativierung sind die benötigten Eigenschaften des ADC. Denn hier gibt es eine riesige Spanne an Möglichkeiten von kommerziellen und OpenSource Produkten die einer IT Abteilung zur Verfügung stehen. Die ganz einfachen Vertreter die man zugegeben nicht wirkliche zu den ADC’s an sich zählen kann, sind IPtables und pf auf Basis von Linux und xBSD Systemen. Hier werden die Datenströme nur verteilt aber es gibt keine weiterführende Logik um tatsächlich für Unternehmen von Nutzen zu sein. Trotzdem mag es dafür sinnvolle Anwendungsfälle geben, aber dies muss jeder für sich entscheiden. IPtables und pf soll aber auch nicht Thema des Artikels sein.

Aus der Vielzahl von Anwendungsfällen für ADC’s stechen drei ganz wesentliche Einsatzszenarien zum Basis-Dienst des LoadBalancing hervor. Existentielle Dienste wirklich verfügbar zu halten, die Möglichkeit in der normalen Arbeitszeit Wartungsarbeiten durchzuführen ohne auf Anwendungen und Dienste verzichten zu müssen. Dazu kommt noch die deutliche Erhöhung der Sicherheit bei der Bereitstellung von Applikationen über das Internet. Hier können je nach Funktionen des ADC ein Schutz der Anwendung und ein Schutz vor (D)DoS erreicht werden. Hinzukommen Mehrwert-Funktionen wie Session-Multiplexing, Compression und SSL-Offload für Web Applikationen. Mit all diesen Funktionen kann ein Application Delivery Controller IT-Abteilungen unterstützen und bietet noch einen Mehrwert.

Einer dieser angesprochenen existentiellen Dienste ist DNS! Dieser unscheinbare Dienst der irgendwie einfach da ist und einfach so als gegeben hingenommen wird. Dabei ist der DNS die Achillesferse einer jeglichen IT-Infrastruktur und mit IPv6 wird dies Abhängigkeit nicht weniger. Was nutzt einem die Verbindung zum Netzwerk und eine IP Konfiguration, wenn man nicht weiß, wo man anschließend hin muss. Die Abhängigkeit der IT vom DNS haben Angreifer von IT-Infrastrukturen schon längst erkannt. Schafft es ein Angreifer die DNS-Systeme zu Fall zu bringen, egal durch welche Maßnahmen, so hat dies auf die globale IT-Infrastruktur des Unternehmens massive Auswirkungen. Ohne DNS keine AD-Anmeldung und somit keine Folgedienste, wie Exchange, RemoteDesktop, Citrix, View, File, Print usw., die Liste wäre Endlos. Der Zugriff auf das Internet geht ohne DNS sowieso nicht. Dazu kommt dann noch, dass der Mailaustausch mit Kunden, Partnern und Mitarbeitern ebenfalls nicht mehr funktioniert. Es können keine MX-Records mehr aufgelöst werden und Abfragen der Reputation und PTR-Einträgen finden ebenfalls nicht mehr statt. Tritt man einen Schritt zurück und betrachtet das Gesamtbild des Schadens durch den Ausfall des DNS, kommt man unweigerlich zu dem Ergebnis: Die Unternehmens-IT steht gänzlich still.

Um einem solchem Szenario vorzubeugen können ADC’s den Unternehmen helfen sich besser vor Angriffen und vor allem Ausfällen der DNS Infrastruktur zu schützen. Es gibt Hersteller die Systeme im Portfolio haben, die speziell auf Verfügbarkeit und Schutz von DNS ausgerichtet sind. Natürlich ist es mit der Anschaffung eines ADC alleine nicht getan, das DNS Design hinter dem ADC muss ebenfalls passen und auf den Betrieb mit einem ADC ausgelegt sein. Setzt man hier einen entsprechenden ADC ein, bekommt man dann noch so zu sagen als „give away“ Mehrwert-Funktionen für die anstehende IPv6 Migration wie DNS64, NAT64 und NAT66 sowie diverse IPv4 und IPv6 Proxy-Dienste dazu. Es muss nicht immer ein externer Dienste sein, der mit einem ADC geschützt und verfügbar gehalten wird. „Lebenswichtige“ interne Dienste gibt es ebenfalls genug. Je nach ADC bieten diese Systeme auch Szenarien für die Einführung von IPv6 und entsprechende Migrations-Optionen. Wobei sich diese Migrations-Optionen nicht auf IPv6 Dienste beschränken, denn für IPv4 Dienste lassen sich diese ebenfalls verwenden. Um hier den Bedarf von externen und internen Dienste abzudecken, gibt es ADC’s die sich sowohl als VM und auch als physikalische Appliance in virtuelle von einander getrennte Domains aufteilen lassen. Somit lassen sich auch komplexe Szenarien realisieren.

Die neue Generation von Application Delivery Controllern sind multifunktionale Werkzeuge der IT und helfen die Dienste für die Anwender erreichbar zu halten. Leider werden diese Systeme viel zu wenig beachtet, da sie oft außerhalb des Fokus einer Unternehmens-IT liegen. Dieses Schattendasein haben sie aber nicht verdient, weil sie einen wesentlichen Beitrag zur modernen IT liefern können. Diese Systeme sind weitaus mehr als simple „Paketzusteller“.

Bei Fragen zu diesem Thema stehen wir wie gewohnt zur Verfügung.