SSL-Beschleunigung und SSL-Offload-Lösungen

SSL (Secure Sockets Layer) – oder richtiger TLS (Transport Layer Security) – ist ein wichtiges Element bei der sicheren Bereitstellung von Web-Anwendungen. Das Protokoll ermöglicht die Authentifizierung (Website gegenüber Client und optional Client gegenüber Website) und schützt den Datenverkehr zwischen Clients und Websites durch Verschlüsselung.

Allerdings hat dieser Schutz seinen Preis, da der Rechenaufwand bei der Einrichtung jeder einzelnen Client-Sitzung beträchtlich ist. Ein Load-Balancer zum Offload der SSL-Datenübertragung minimiert den Rechenaufwand für die Webserver und sorgt dafür, dass Ressourcen für anwendungsbezogene Aufgaben zur Verfügung stehen.

Load-Balancer eignen sich ideal für den SSL-Offload, da sie nicht nur für freie Webserver-Ressourcen sorgen, sondern auch den Datenverkehr überwachen und Regeln hinsichtlich Sicherheit und Datenverkehrsverwaltung umsetzen können. Viele Hardware-Load-Balancer verfügen über dedizierte kryptographische Prozessoren, die für hohe SSL-Datenübertragungsraten ausgelegt sind und die privaten Schlüssel aufbewahren, die zur sicheren Kommunikation eingesetzt werden.

Alle KEMP LoadMaster-Produkte verfügen über die Fähigkeit, die SSL-Datenübertragung von den Servern auszulagern und zusätzlichen Schutz durch Authentifizierung und Web Application Firewalls zu bieten. Neben der für SSL-Offloads optimierten Software verfügen einige LoadMaster-Hardwaremodelle auch über kryptographische Prozessoren, die die SSL-Datenübertragung beschleunigen.

Was ist SSL-Beschleunigung?

Bei SSL kommt der RSA-Algorithmus zur Authentifizierung und für den sicheren Schlüsselaustausch zwischen Clients und Websites zum Einsatz. Bei dem Verfahren wird eine Falltürfunktion mit zwei Schlüsseln genutzt – einem privaten Schlüssel, der sicher auf dem Webserver (oder Load-Balancer) aufbewahrt wird, und einem öffentlichen Schlüssel, der allen Clients zur Verfügung steht. Der öffentliche Schlüssel ist in einem digitalen Zertifikat enthalten, so dass der Client die Echtheit des privaten Schlüssels identifizieren kann.

Durch den RSA-Algorithmus können alle Daten, die vom privaten Schlüssel verschlüsselt wurden, mit dem öffentlichen Schlüssel entschlüsselt werden – und umgekehrt. So kann ein Webserver seine Identität beweisen (Verschlüsselung mit privatem Schlüssel, Client verifiziert durch Entschlüsselung mit öffentlichem Schlüssel), und der Client kann sicher mit dem Server kommunizieren (Verschlüsselung mit öffentlichem Schlüssel, Server entschlüsselt mit privatem Schlüssel). Diese Herangehensweise mit zwei Schlüsseln wird als asymmetrische Verschlüsselung bezeichnet.

Aufgrund des hohen Rechenaufwands ist die Nutzung des RSA-Algorithmus für die gesamte Kommunikation zwischen Client und Server nicht zweckmäßig. Stattdessen wird der RSA-Algorithmus nur zu Beginn bei der Einrichtung der Sitzung genutzt, wenn ein Einmalschlüssel (oder Sitzungsschlüssel) für einen effizienteren symmetrischen Algorithmus wie AES ausgetauscht wird. Dieser anfängliche Handschlag zwischen Client und Server macht die Beschleunigung und den Offload erforderlich.

Vorteile von SSL-Beschleunigung/-Offload

Durch den Offload von SSL-Sitzungen auf den Load-Balancer ist der Datenverkehr unverschlüsselt und kann einer zusätzlichen Verarbeitung unterzogen werden, um die Sicherheit zu erhöhen oder die Bereitstellung von Webserver-Inhalten zu optimieren. Die Sicherheit und Leistung von Anwendungen wird mit folgenden Funktionen erheblich gesteigert:

  • Web Application Firewall (WAF) – Untersuchen Sie Client-Anfragen auf gefährliche Inhalte, die die Sicherheit der Webserver gefährden könnten.
  • Authentifizierung – Validieren Sie die Identität von Clients, bevor der Zugang zu Webressourcen gewährt wird.
  • Content Rewriting – Durch Rewriting von Webserver-Inhalten können Sie URLs verschleiern und Probleme bei der Veröffentlichung von Anwendungen mit festcodierten Elementen lösen.
  • Untersuchen von Inhalten – Verhindern Sie die Übertragung von bestimmten Inhalten in Abhängigkeit von bestimmten Mustern wie Dateiendungen.
  • Inhaltsabhängiges Routing – Leiten Sie den Datenverkehr abhängig vom Inhalt um. So können Sie beispielsweise alle Bildanfragen auf einen Server umleiten, der für die Bereitstellung von Bildern optimiert wurde.
  • Caching – Web-Inhalte können auf dem Load-Balancer zwischengespeichert werden, wodurch Inhalte, auf die häufig zugegriffen wird, nicht erneut beim Webserver angefragt werden müssen.
  • Wiederverschlüsselung – Der Load-Balancer kann den Datenverkehr zu den Servern für zusätzliche Sicherheit verschlüsseln.

Ein weiterer bedeutender Vorteil des Offloads der SSL-Datenübertragung auf einen Load-Balancer ist die Verfügbarkeit einer einzigen, zentralisierten Schnittstelle für Kontrolle und Management. Zertifikate und private Schlüssel müssen nur noch an einem Ort anstatt auf verschiedenen Servern verwaltet werden. Außerdem können Regeln an einem einzigen Ort implementiert und verwaltet werden. So wird der administrative Aufwand stark reduziert und die Rolle des Sicherheitsbeauftragten von der des Anwendungseigners getrennt.

LoadMaster Subscriptions simplify application delivery choices

Über KEMP Technologies

KEMP Technologies ist ein führender Anbieter im Bereich kosteneffektiver Anwendungsbereitstellungs-Controller und Server-Load-Balancer-Appliances, die auf die Bedürfnisse kleiner und mittlerer Unternehmen (KMU) zugeschnitten sind, die sich für E-Commerce und geschäftskritische Anwendungen auf das Internet verlassen. KEMP unterstützt KMU dabei, ihre Geschäftstätigkeit durch Rund-um-die-Uhr-Verfügbarkeit, eine leistungsfähigere Webinfrastruktur, Skalierbarkeit und sicheren Betrieb zu steigern – und dabei die IT-Kosten unter Kontrolle zu halten.

Tausende von KEMP LoadMaster-Produkten sorgen aktuell für mehr Kundenzufriedenheit durch schnelleren Zugriff der Benutzer auf geschäftskritische Webanwendungen. Auch Managed-Service-Anbieter vertrauen den Produkten von KEMP und ermöglichen so ein kurze Markteinführungszeiten und einen kosteneffizienten Betrieb für neue und bereits vorhandene Managed-Services.

Die kostengünstigen LoadMaster-Produkte beinhalten Layer-4/7-Load-Balancing, Content-Switching und Server-Persistenz, SSL-Offload/-Beschleunigung, WTS-Load-Balancing und Persistenz mit Session-Directory-Integration sowie Front-End-Funktionen von Anwendungen (Caching, Komprimierung, Intrusion-Prevention-System) und bieten so ein branchenweit führendes Preis-Leistungs-Verhältnis.