GNT EESTI AS

Hiljuti lisandus IBMi tootevalikusse IT-süsteemide kaitsmiseks ja täiendamiseks mõeldud, kolmest tootest koosnev ja soolaste hindadega DataPower-seeria, mis on mõeldud nii süsteemide suhtluse filtreerimiseks ja haldamiseks kui ka puhverdamiseks.

Heal juhul annab Data-Poweri seadmeid kasutada ka SOA südame, Enterprise Service Busi (ESB) riistvaralise lahendusena.

Halb päring filtreeritakse

IBMi WebSphere-lahenduste müügijuht Riivo Lepp rääkis, et seadmed töötlevad päringuid nende sisu järgi. Päringu autoriseerimiseks võib kasutada mis tahes osa päringust ja neid saab ka filtreerida mis tahes osa järgi.

Filtreerimise tulemusena sõelale jäänud päringud saab edasi suunata mingile konkreetsele serverile, neist keelduda, viia neid mingile teisele kujule, moodustada ühest päringust mitu või mitmest üks jne. "Olulisim on, et sobimatud päringud ei jõua serverini, vaid peatatakse enne seda," toonitas Lepp.

Seadme abil saab ennast kaitsta kõikvõimalike rünnete eest, sest need annavad tugeva kontrolli siseneva ja väljuva liikluse üle nii IP-aadressi kui ka liikluse sisu tasandil.

Päringute suunamiseks ja koormuse jagamiseks on ka suur hulk eri tootjate tarkvaralisi lahendusi. Tavapäraselt töötavad need koostöös veebiserveriga, millele on väike tarkvaramoodul juurde lisatud.

Kõige tüüpilisem lahendus on, et rakendus ise üritab päringuid enne täitma asumist analüüsida. "See on ka üks peamisi põhjuseid, miks kurikuulsad DDoS-tüüpi rünnakud üldse õnnestuvad. Server uputatakse üle mõttetute päringutega ja sellele ei jää aega tegelda vajalikuga," selgitas Riivo Lepp.

"Universaalne protsessor ei ole mõeldud XMLi töötluseks või tekstitöötluseks, kasutab seetõttu ülearu ressursse ja töö võtab kaua aega," selgitas ta. "DataPoweri kasti üle uputada ei ole võimalik, sest lihtsalt füüsiline võrgu kiiruse piir tuleb ette ja kui ühest kastist jääb väheks, saab neid tööle panna ka mitu," lisas ta.

Töötab ka SOA südamena

Lepa arvates sobivad tooted asutustele või ettevõtetele, kes pakuvad oma infosüsteemidega avalikke või poolavalikke teenuseid ja võivad seeläbi sattuda pahatahtlikke rünnete ohvriks.

Samuti saab neid edukalt kasutada sisevõrgus mitmesuguste rakenduste omavahelise suhtluse hõlbustamiseks. "Seda eriti juhtudel, kus süsteemid on küll nõus rääkima, aga ei kõnele ühte keelt. DataPowerit annab siis n-ö tõlgiks panna," selgitas Lepp.

DataPower ESBd täielikult ei asenda
Rein Kadastik
Euro-Baltic Software Alliance'i vanem tarkvaraarendaja

Kindlasti ei ole nende seadmetega asjalik ettevõttes SOA-lahendust juurutama hakata, sest ainuüksi neist kogu vajaliku funktsionaalsuse saavutamiseks ei piisa.

Olemasolevaid protsesse analüüsides on võimalik välja selgitada optimeerimist vajavad kohad ning alles need siis soovi korral asendada IBMi DataPower-toodetega.

Näib, et parima tulemuse saavutamiseks on hea võtta need seadmed kasutusele võtta alles siis, kui tarkvaraline SOA-keskkond on ettevõttes juba juurutatud.

Tegemist on just SOA-serveri abilistega, mis võimaldavad koormust hajutada ning sedasi andmeedastuse mahtu suurendada. Andmevahetuse protsessid peaksid aga olema kirjeldatud SOA-serveris mõne ESB-lahenduse abil.

Tundub, et IBMi Data-Power-seeria seadmed on tõhusad abilised juba eksisteerivate SOA-lahenduste optimeerimiseks ja turvamiseks. Need seadmed on ette nähtud ressursimahukate toimingute tarbeks nagu XML-transformatsioon, andmete sisupõhine marsruutimine ja XMLi tasemel turvalisuse kontroll. Need operatsioonid aga põhjustavadki tavaliselt SOA-lahendustes pudelikaelu.

Kommentaar
Aras Valentinavicius
HP Baltimaade vanemkonsultant

Kui on vaja filtreerida sõnumite sisu, ei aita ükski tulemüür, sest tulemüür kaitseb võrgu, mitte suhtluse tasandil. Seega on vaja eraldi lahendust, mis andmeid vastu võtab ja töötleb.

Kui keskkonnas tuleb tegeleda väljast sisse tulevate andmetega, mida on vaja töödelda, et hoida ära pahatahtliku info liikumist, tuleb mõne rakenduse abil kehtestada tingimused, mis aitavad soovimatut välja filtreerida. Selleks on palju võimalusi. Alustuseks võib kasutada tugevdatud veebiserverit, mis haldab infovoogu, rakendusserverit või muud taolist.

Hewlett-Packard läheneb tehnoloogia valikule agnostilisemalt. Spetsiaalset vara HP selleks otstarbeks ei müü, kuid meie nõustajad aitavad klientidel välja arendada lahendusi, mis sobivad võimalikult hästi kliendile, arvestades konteksti. Partneritena kasutame Oracle'it, BEAd, SAPi, WebMethodsit, Tibcot ja Microsofti. Tehnoloogia valik sõltub aga otseselt projekti detailidest, kliendi eelistustest ning kulutustest.

HINNAD
Turvalisus maksab
XA35 ca 550 000 kr
XS40 ca 940 000 kr
XI50 ca 1 150 000 kr
Allikas: IBM

mis on mis
XML - Extensible Markup Language on tekstipõhine märgendkeel struktureeritud andmete edastamiseks. Ideaalne vahend kui tahes keeruliste andmestruktuuride edastamiseks ühest süsteemist teise.
SOA - Service Oriented Architecture ehk teenustepõhine arhitektuur on moodne lähenemine IT infrastruktuurile, kus rakendusepõhine lähenemine asendatakse teenusepõhise lahendusega. Üritatakse vältida suurte monoliitsete rakenduste kasutamist, selle asemel liigendatakse rakendused IT-perspektiivist vaadates erineva funktsionaalsusega teenusteks. Võimaldab rakendusi komponendi kaupa välja vahetada, kui vajaduste kasvades king kuskilt pigistama hakkab. Sama teenust saab kasutada mitme rakenduse tarbeks.
ESB - Enterprise Service Bus on SOA selgroog ehk teenussiin, mille kaudu kõik teenused omavahel suhtlevad. SOA-rakendustes kriitilise tähtsusega komponent, mille valik on SOA-projekti õnnestumisel määrava tähtsusega. Lisaks teenuste kommunikatsiooni tagamisele on ESB ülesandeks ka teenuste tõlkimine, mis võimaldab eri rakenduste sõnumeid tee peal teisendada, muundada, kutsuda välja lisatoiminguid jne.

Kallimad seadmed teevad ka odavamate tööd
XA35 - DataPower XML Accelerator. Teeb XML teisendusi XSLT laadilehtede abil. Kasutusvaldkond: XML-päringute vastavuse kontroll etteantud struktuurile ning XML-dokumentide konverteerimine teise struktuuriga XML-dokumentideks.
XS40 - DataPower XML Security Gateway. Teeb kõike seda, mis XA35, ning lisaks täidab mitmeid turva- ja krüpteerimisfunktsioone. Sisaldab riistvaralist krüptokaarti, mille abil saab krüpteerida kas kogu liikluse või näiteks üheainsa XML-dokumendi elemendi. XS40 võimaldab päringuid autoriseerida, lugeda kõikide päringute sisu ja teha selle põhjal otsuseid päringu edasi suunamiseks või blokeerimiseks. Liikluskoormuse kujundamine (traffic shaping) võimaldab läbilastavate päringute hulka päringute sisu või arvu järgi piirata.
XI50 - DataPower Integration Appliance. Teeb kõike seda, mis XS40, lisaks annab paindlikkuse kasutada suvalisi protokolle. XI50 on kasulik just juhtudel, kui on vajadus eri keeltes rääkivaid süsteeme integreerida.

Allikas: Äripäev