17.10.2007, 08:20 Uhr
Volles Tempo im WAN - und zwar mit Sicherheit
Wir verfügen über mehrere Standorte mit einer zentralen IT-Infrastruktur. ERP-Benutzer beklagen sich über schlechte Performance. Ist dies auf ein Zuviel an IT-Security zurückzuführen?
Antonio Retica ist CEO bei der Pandata, Anbieterin von Informatik- und Security-Projekten, in Dietikon. www.pandata.ch
Ein guter Schutz des Internetzugangs heisst nicht, dass Sie zuviel IT-Security implementiert haben. Es wäre möglich, dass eine ungenügende Implementation der Schutzmassnahmen zu Einbussen bei der Übertragungsgeschwindigkeit führt. Dies wird im Regelfall aber bei Funktionstests direkt nach der Implementation festgestellt und korrigiert. Daher liegt der Verdacht nahe, dass die Probleme auf die zentralisierte IT-Architektur zurückzuführen sind.
Viele Firmen haben in den letzten Jahren nicht nur die IT-Infrastruktur, sondern auch den Zugang ins Internet zentralisiert, um die Schutzmassnahmen besser im Griff zu haben. Die Folge sind Performance-Einbussen auf dem WAN. Häufig reagiert man auf solche Probleme mit dem Versuch, die Schwierigkeiten mit mehr Bandbreite zu lösen - meist ohne grossen Erfolg. Denn auf komplexe Fragen gibt es keine simplen Antworten.
Um die WAN-Verbindungen gezielt zu optimieren, sind zuerst folgende Fragen zu klären:
1. Welche Anwendungen sind besonders betroffen und müssen beschleunigt werden?
2. Was ändert sich, wenn der -Internetverkehr nicht mehr über die Zentrale geleitet wird, sondern direkt von der Filiale aus ins Internet geht?
3. Wie wird sich die Nutzung der Anwendungen entwickeln?
4. Was passiert mit verschlüsseltem Datenverkehr?
Dann führen verschiedene Wege zum Erfolg:
Bandbreitenmanagement: Der ökonomischste Weg zu mehr Tempo ist die bessere Verwaltung der vorhandenen Bandbreite. Bestimmte Anwendungen und Benutzer erhalten mehr Bandbreite als andere. Das macht das Netzwerk nicht schneller - es hilft aber, kritische Applikationen und User bevorzugt zu bedienen.
Verkehrsfilterung: Rund 30 Prozent der im Firmennetz verfügbaren Ressourcen werden durch unproduktive Anwendungen wie Peer-to-Peer-Verkehr, Skype, Web-Werbung, unerwünschtes Internet-Surfen oder auch Spyware genutzt. Abhilfe schaffen Systeme, die den Inhalt des Netzverkehrs verstehen und unerwünschten Verkehr blockieren. So wird, mit geeigneten Filtermechanismen am Gateway zum WAN, zusätzliche Bandbreite für kritische Anwendungen gewonnen.
Caching: Durch das Zwischenspeichern von Dateien kann die für die Übertragung auf dem WAN benötigte Bandbreite effizient reduziert werden. Ein Proxy am Gateway zum WAN speichert die von einem User angeforderten Dateien. Fordern andere Benutzer dieselbe Datei an, holt sie der Proxy aus dem lokalen Speicher - und nicht vom entfernten Server. Der Proxy muss natürlich so konfiguriert sein, dass die gespeicherten Dateien nur an User ausgeliefert werden, die auch berechtigt sind, auf diese Datei zuzugreifen. Daher muss der Proxy den anfragenden User auf dem Server authentifizieren und dessen Rechte abfragen können.
Datenkompression: Wie stark sich mit Kompressionsmethoden die benötigte Bandbreite reduzieren lässt, hängt von der Art der zu übermittelnden Daten ab. Kompression funktioniert sehr gut bei Texten, schlechter bei Bildern oder Videos.
Protokolloptimierung: Die Datenkompression hat keine Auswirkung auf die Latenzzeit. Um sie zu verringern werden Verfahren zur Optimierung kritischer Protokolle (MAPI, CIFS) eingesetzt.
Die zunehmende Nutzung interner und externer webbasierter Anwendungen erfordert, dass Institutionen auch externen SSL-Verkehr verstehen müssen, um diesen durch Caching beschleunigen und gleichzeitig Mitarbeiter vor Spyware, Viren und anderen Gefahren aus dem Internet schützen zu können.
Durch den Einsatz von Security-Caching-Proxies kann die Performance des WAN verbessert werden, ohne Kompromisse in der IT-Security eingehen zu müssen.
Antonio Retica