Серверы кэширования Web-страниц наделяются функциями ускорения защищенных SSL-операций
Этот протокол интегрирован во все распространенные браузеры и Web-серверы, что обеспечивает безопасность взаимодействия любого пользователя с любым Web-сайтом.
Например, SSL используется в электронных транзакциях для защиты секретной информации: номеров кредитных карточек, деталей заключаемых сделок по продаже акций и т. д. Для доступа к страницам, защищенным протоколом SSL, применяется префикс https вместо обычного http.
К сожалению, за такую безопасность приходится платить. Чрезмерный уровень сложности схем аутентификации и алгоритмов шифрования/дешифрования приводит к тому, что SSL потребляет очень много ресурсов центрального процессора и заметно повышает нагрузку на Web-серверы. Такие перегрузки могут застопорить работу Web-сайтов — а это верный путь к утрате доверия клиентов.
Новый класс сетевых устройств специального назначения, названных ускорителями SSL, позволит владельцам Web-сайтов полностью удовлетворить свои потребности в быстродействии и безопасности за счет того, что вся обработка SSL будет происходить на базе оптимизированного аппаратного и программного обеспечения.
Запуск сеанса SSL
Когда SSL-совместимый браузер (Netscape Navigator, Microsoft Internet Explorer) и Web-сервер (Apache, Microsoft Internet Information Server) устанавливают между собой связь, они удостоверяют подлинность друг друга с помощью цифровых сертификатов. Цифровые сертификаты выдаются доверенными независимыми органами и используются для формирования открытых ключей.
По окончании процедуры первичной аутентификации браузер посылает серверу секретный код длиной 48 байт (это «главный секрет»), зашифрованный с помощью открытого ключа сервера. Web-сервер расшифровывает переданный ему секретный код, используя свой закрытый ключ.
Затем генерируется набор симметричных ключей, которые применяются браузером и сервером для шифрования и дешифрования данных во время сеанса. Алгоритмы шифрования можно явным образом настраивать или согласовывать для каждого сеанса; наиболее употребительные стандарты шифрования — Data Encryption Standard и RC4.
По завершении описанного начального процесса в сети устанавливается безопасный туннель, после чего можно приступать к передаче конфиденциальных данных.
Описанные процедуры первичной аутентификации и генерации ключей прозрачны для пользователей, но отнюдь не прозрачны для Web-серверов. Начальный процесс должен выполняться для каждого пользовательского сеанса, а это тяжелым бременем ложится на ресурсы центрального процессора сервера и приводит к серьезным перегрузкам. По данным компании Meta Group, при установленных защищенных сеансах SSL стандартный Web-сервер способен обработать лишь от 1 до 10% своей обычной нормы обращений.
Снижение производительности при обработке SSL влечет за собой ряд малоприятных последствий:
- транзакции электронной коммерции проводятся медленнее, поэтому повышается вероятность того, что клиент аннулирует заказ и обратится на сайт конкурента;
- для того чтобы полностью справиться с нагрузкой, приходится устанавливать дополнительные Web-серверы;
- информация, нуждающаяся в защите, оказывается незащищенной, что увеличивает риск;
- для передачи секретной информации приходится использовать более дорогие схемы организации частных сетей.
Устранение «узких мест» обработки SSL
Для решения проблем быстродействия, вызываемых интенсивным потреблением процессорных ресурсов протоколом SSL, была предложена концепция специализированных устройств — SSL-ускорителей. Это особые компоненты сетевой инфраструктуры, предназначенные для выполнения функции SSL, при этом не обременяя Web-сервер. Благодаря оптимизации аппаратного и программного обеспечения специализированный ускоритель SSL может обслуживать в 10-40 раз больше сеансов SSL, чем стандартный Web-сервер. К тому же ускорители SSL позволяют высвободить ресурсы сервера для более рациональной обработки логики приложений и выполнения операций просмотра баз данных, тем самым ускоряя работу всего сервера.
Интегрировать SSL-ускоритель в сеть довольно просто. Коммутатор уровня от 4 до 7 или устройство балансировки нагрузки настраивается на переадресацию запросов к порту 443 (HTTPS) в ускоритель. После этого ускоритель берет на себя все обязанности по обработке SSL, и нагрузка на Web-серверы тут же падает. По мере роста объемов безопасного трафика можно развертывать дополнительные устройства ускорения обработки SSL — для администратора это не составит особого труда.
Недавно было предложено интегрировать функции SSL-ускорителей в устройства кэширования информационного наполнения Web, ускоряющие доставку Web-страниц. Главное преимущество такого подхода в том, что подобный кэширующий сервер выполняет и обработку SSL, и доставку объектов информационного наполнения.
Предположим, что пользователь обратился к Web-странице, содержащей 30 встроенных объектов. Серверный ускоритель с интегрированной поддержкой SSL выполнит начальную подготовку сеанса, установит безопасный туннель и передаст клиенту все объекты. Перед Web-серверами ставится только задача получить динамические элементы данных, например, стоимость портфеля ценных бумаг или медицинские записи. В итоге пользователь получает страницу в несколько раз быстрее, чем обычно.
Серверный ускоритель с поддержкой SSL дает возможность широко использовать протокол SSL для безопасного обмена информацией в инфраструктуре Web. В итоге посетителям Web-сайтов гарантируется быстрая доставка защищенных страниц и быстрое выполнение защищенных транзакций.
Как работают SSL-ускорители
SSL-ускорители отвечают за более быстрое осуществление процесса аутентификации, освобождая Web-серверы от избыточной вычислительной нагрузки
 |
1. Первичная аутентификация и процесс генерации ключей инициируют «переговоры» между пользователем и защищенным Web-сайтом. Устройство балансировки нагрузки перенаправляет запросы устройству-ускорителю
2. Ускоритель открывает SSL-сеанс и устанавливает защищенный туннель между браузером и Web-сервером
3. Ускоритель обрабатывает SSL-операции, снижая вычислительную нагрузку на Web-серверы