Blog
Oplon Global Distributed Gateway Release 10 ist erschienen!

Oplon Global Distributed Gateway Release 10 ist erschienen!

2020-10-06 -
Release

Oplon Global Distributed Gateway Version 10 führt viele neue Funktionen ein. Vier Jahre Entwicklung, 2 neue Module, Dutzende neuer Funktionen machen es zu einer großen Veröffentlichung mit großer Innovation.

Bereits bei der ersten Anmeldung wird die Distribution mit Informationen angereichert, die die Benutzer der Oplon-Tools auf dem neuesten Stand halten.

Die Homepage enthält nicht nur Informationen über die neueste Version, sondern auch Links zu unseren sozialen Seiten und die neuesten Nachrichten, die ständig über Produktentwicklungen informieren, sowie ausführliche Informationen zu bestimmten Themen, die von den Oplon-Mitarbeitern entwickelt wurden.

HINWEIS: Zum Zeitpunkt der Erstellung dieses Dokuments ist die letzte veröffentlichte Version 9.9.13 und die Version 10 wird gerade veröffentlicht.

Vorbereitung für die Installation

Die neue Version der Oplon-Suite **ist vollständig abwärtskompatibel mit früheren Versionen. Sogar Benutzereinstellungen aus früheren Versionen können beibehalten werden, während die Multitenancy-Funktionalität implementiert wird.

GDG core: Multitenancy

Multitenancy ist jetzt ein grundlegender Bestandteil der Oplon-Suite. Mit Multitenancy ist es möglich, die Verwaltung verschiedener Module beliebig vielen Nutzern zuzuweisen, die in der Lage sind, in ihren eigenen Mietverhältnissen zu handeln, ohne die Möglichkeit zu haben, mit anderen Mietern zu interagieren.

Diese Technologie ermöglicht verschiedene Arten von Anwendungen, von technischen über organisatorische bis hin zu kommerziellen Umgebungen.

Es ist nämlich möglich, die verschiedenen Funktionen der Suite von verschiedenen Personen oder Personengruppen in Übereinstimmung mit den internen Organisationsrichtlinien getrennt verwalten zu lassen.

Es ist auch möglich, verschiedene Module Personen oder Personengruppen zuzuweisen, die sie unabhängig voneinander verwalten, wie z. B. Application Delivery Controllers (ADCs), um die Nutzung von Funktionen für mehrere Organisationen kommerziell zu nutzen.

Neben der Verwaltung für einzelne Tenant können diese in Resourse group zusammengefasst werden, so dass die Verwaltung mehrerer Tenant verschiedenen Personen oder Gruppen zugewiesen werden kann. Diese Funktion erleichtert die Verwaltung mehrerer Integratoren für verschiedene Mietergruppen.

Die Funktionalität wurde speziell für große Organisationen oder Provider entwickelt, um Ressourcen mit mehreren Kunden gemeinsam nutzen zu können und die Rechenleistung moderner Systeme optimal auszuschöpfen.

ADC module: HTTP/2 Bridge - HTTP 1.1

Ein sehr leistungsfähiges Feature! HTTP/2 Bridge ermöglicht es, bestehende HTTP 1. 1-Anwendungen mit dem neuen HTTP/2-Protokoll im Internet verfügbar zu machen, ohne dass Anwendungsserver oder Webserver geändert oder neu konfiguriert werden müssen.

Wie funktioniert HTTP/2?

Das HTTP/2-Protokoll wurde implementiert, um die Anzahl der TCP/IP-Verbindungen pro Client von unzähligen auf eine (1) Verbindung zu reduzieren, während gleichzeitig die parallele Nutzung mehrerer Ressourcen wie HTTP 1. 0 und HTTP 1. 1 beibehalten wird.

Daher implementiert HTTP/2 das Multiplexing eines einzigen TCP/IP-Kanals durch Fragmentierung mehrerer paralleler Datenströme in mehrere Frames, die den TCP/IP-Kanal durchqueren. Sobald die Frames von der Gegenseite angekommen sind, werden sie vom Empfänger neu zusammengesetzt und wieder parallelisiert. Die Datenübertragungen erfolgen im Dual-Stream (Full Duplex) von Client zu Server und Server zu Client.

In der Abbildung oben und unten wurde in einer Zeichnung zusammengefasst, was in Browsern passiert, wo Frames multiplexiert und demultiplexiert werden, und was im ADC passiert, wo Frames neu zusammengesetzt und zu Anwendungsservern/Webservern parallelisiert werden. Umgekehrt wird das Multiplexing der Response der Anwendungsserver auf den einzigen offenen Kanal mit dem Client ausgeführt.

Diese Funktion ermöglicht es Ihnen, das neue Protokoll voll auszuschöpfen und die Anwendungsinfrastruktur von Rechenzentren nicht zu verändern.

Maximale Kompatibilität mit allen Routing- und Content-Rewriting-Regeln in früheren Versionen und mit allen vom Application Delivery Controller verwendeten Funktionen.

Die HTTP/2 Bridge Funktionalität ist ganz einfach zu aktivieren. Aktivieren Sie einfach einen neuen Listener, beginnend mit HTTP 1. 1, und geben Sie die HTTP/2-Parameter an oder verwenden Sie das entsprechende Template:

ADC module: HTTP/2 Bridge - HTTP 1.0/1.1 autosensing

Nichts an Ihrer Infrastruktur muss geändert werden, um HTTP/2 verwenden zu können!

Wenn Sie Client-Anwendungen haben, die nicht HTTP/2 sprechen, wie die Verwendung von wget auf Prozeduren und Skripten, kein Problem.

Oplon ADC kann den Entwicklungsstand des Clients im Voraus erkennen und die Kommunikation je nach Protokoll des Clients auf HTTP 1. 0/1. 1 oder HTTP/2 einstellen.

Derselbe Listener mit der gleichen Adresse und dem gleichen Port kann daher gleichermassen für Anwendungen verwendet werden, die nur HTTP 1. 0/1. 1 sprechen, und für Anwendungen, die auch HTTP/2 sprechen.

FIM new module: File Integrity Monitoring

Das Modul File Integrity Monitoring (FIM) überprüft ständig die Integrität des überwachten Systems.

FIM ist in der Lage, Datei- und Verzeichnismanipulationen zu erkennen, indem es sofort vor einer Verletzung durch Eindringlinge warnt, so dass sofortige Abhilfemaßnahmen ergriffen werden können.

FIM ist das Modul, das die PCI-DSS-Zertifizierung ermöglicht. PCI-DSS betrifft alle Unternehmen, die eine ganz bestimmte Information verarbeiten: die Zahlungskartennummer (technisch als PAN bezeichnet), die von Visa, Mastercard, American Express, JCB oder Discovery ausgegeben wird. Also alle Unternehmen (Geschäfte, Hotels, E-Commerce-Betreiber), Banken, Service Provider (Hosting-Provider, die Datenbankinhaber von Kreditkartendaten).

Für Unternehmen, die eine PCI-DSS-Zertifizierung benötigen oder über ein modernes Sicherheitssystem verfügen, kann FIM für die gesamte Oplon Suite aktiviert werden.

FIM kann auch auf anderen Plattformen als Oplon installiert und aktiviert werden, um die Integrität von Dateien und Verzeichnissen ständig zu überprüfen, z. B. bei der Installation von Apache, JBoss, Tomcat, MySQL, OS Linux. Das System ist jedoch parametrierbar und kann für jeden Dienst konfiguriert werden.

File Integrity Monitoring lässt sich in alle SIEM- und zentralisierten Alarmmanagementsysteme von Rechenzentren und Unternehmen integrieren.

GDG module: Let’s Encrypt automatische Erneuerung von Zertifikaten

Diese Version fügt der bereits bestehenden Funktionalität der automatischen Erstellung von digitalen Let's Encrypt-Zertifikaten über das ACME-Protokoll die Möglichkeit hinzu, die automatische Erneuerung von ablaufenden Zertifikaten in Übereinstimmung mit der Let's Encrypt-Spezifikation zu ermöglichen.

Das System prüft ständig, ob es bei Erreichen der Anzahl der Tage, an denen das Zertifikat abläuft, in den Erneuerungszeitplan eintritt. Bei Let's Encrypt ist die Anzahl der gleichzeitigen Verlängerungsanfragen auf 5 begrenzt, was zu einer 2-minütigen Wartezeit für weitere Verlängerungen führt. Der Algorithmus berücksichtigt diese Beschränkungen, indem er die Erneuerung von auslaufenden Zertifikaten im Voraus plant.

CACERTM new module: Certification Authority & Certificates Manager

Dieses neue Modul integriert und erweitert die Verwaltung von digitalen Zertifikaten für große Organisationen und Service Provider. Diese Funktionalität ermöglicht die Erstellung von Root-CA-Zertifikaten, die Signierung zusätzlicher Intermediär-CA-Zertifikate und die strukturierte Verwaltung großer Mengen von Zertifikaten mit Bulk-Load- und Bulk-Export-Funktionen für die Verteilung an Benutzer.

Dieses Modul ermöglicht es großen Organisationen, das Sicherheitsniveau des Anwendungszugriffs auf einfache Weise zu erhöhen, ohne VPNs für WEB-Anwendungen verwenden zu müssen.

Das vollständig HTML5-basierte Browsersystem ist einfach und intuitiv gestaltet und wird von einem Wizard gesteuert.

Die Massenerstellung und -pflege von Zertifikaten kann über das Import-Tool aus Excel erfolgen, was die anfängliche Kopfzeile erleichtert und auch an Nicht-Informationstechniker delegiert werden kann.

Auf die gleiche Weise ist es möglich, einen Massenexport von signierten Zertifikaten zur einfachen Verteilung an Einrichtungen durchzuführen.

ADC module: Domain loading and executing priority

Bei der Verwaltung von Domänen (virtual domains) ist es möglich, neben Domänen auch reguläre Ausdrücke zu verwenden, um den angeforderten Domänennamen zu analysieren und ihn an die Anwendungsdienste weiterzuleiten, die der Regel entsprechen. In dieser Version wurde aufgrund der häufigen Verwendung dieser Technik ein geordnetes Scannen auf der Grundlage der visuellen Einstellung implementiert.

Es ist möglich, die Reihenfolge der Domänen von der grafischen Oberfläche aus zu verschieben, um die Priorität der Analyse und damit das Routing zur Runtime zu bestimmen.

Dies ermöglicht die Erstellung vereinfachter Routing-Regeln bei der Verwaltung unzähliger Internet-Domänen.

ADC module: TLS 1.3

Ab dieser Version wird der SSL/TLS-Stack durch die Einführung des neuen TLS 1.3-Protokolls vollständig erneuert, wodurch die Handshake-Zeiten drastisch reduziert werden.

Nachfolgend eine grafische Darstellung der Anzahl der Nachrichten, die zum Aufbau des verschlüsselten Kanals mit TLS 1.2 und TLS 1.3 ausgetauscht werden.

Perfect Forward Security kann auch mit diesem neuen Chiffrierprotokoll erreicht werden. In jedem Fall können Protocoll und frühere Ciphersuites weiterhin für Anwendungen verwendet werden, die sich noch nicht an die neuen Sicherheitsimplementierungen halten.

È possibile differenziare l’utilizzo dei protocolli tra frontend e backend anche per singoli listener e per singoli endpoint garantendo la massima elasticità di utilizzo.

I protocolli supportati sono: TLSv1.3 TLSv1.2 TLSv1.1 TLSv1 SSLv3 SSLv2Hello

ADC module: ALPN protocol

Das ALPN-Protokoll wird sowohl von Listenern als auch von Backend-Diensten (Endpoints) vollständig unterstützt.

Mit der ALPN-Funktionalität kann das Anwendungsprotokoll nach dem TLS-Handshake angegeben werden. Zusammen mit TLS-SNI bietet es die Möglichkeit, eine einzige Portadresse für mehrere Anwendungsprotokolle zu verwenden.

Die Implementierung umfasst die Angabe der aktivierten Anwendungsprotokolle und die Weiterleitung von Anfragen entsprechend dem vorgeschlagenen Wert.

ADC module: L4/UDP downtime Out Of Order

Mit dem UDP-Protokoll auf Schicht 4 wurde die Möglichkeit geschaffen, einen Endpoint vorübergehend in den Zustand "Außer Betrieb" zu versetzen, wenn die erwartete Antwort die eingestellte Zeitspanne überschreitet. Um die neue Funktion zu aktivieren, reicht es aus, in einer UDP-Kommunikation der Schicht 4 am Endpunkt eine Ausfallzeit von mehr als 0 Millisekunden anzugeben.

ADC module: TLS-SNI implementation sniForwarding

Bei TLS-SNI End-to-end-Verbindungen, die im Listener beendet werden, ist es möglich, die Weiterleitung des im Handshake angegebenen Host-Namens (Domäne) an den Endpoint während des Re-Encryption-Handshake anzugeben.

Es ist weiterhin möglich, für jeden einzelnen Endpunkt eine TLS-SNI-Verbindung mit einem anderen Domänennamen als dem in der im Listener beendeten Verbindung angegebenen herzustellen.

Oder eine Verbindung am Endpoint ohne TLS-SNI-Protokollunterstützung.

ADC module: New parameters functions

Neue Parameter zur Verwaltung mehrerer Anwendungsrouting-Aufgaben: Einige Funktionen wurden implementiert, um die Verwaltung zu erleichtern.

Zu diesen Parametern wurden die folgenden hinzugefügt:

  1. redirectToSSL - wenn diese Option gesetzt ist und die Verbindung im Klartext ankommt, wird eine Redirect mit denselben Werten, aber in SSL, durchgeführt

  2. proxyDestionation - ist ein neuer Parameter in der Proxy-Pass-Funktionalität. Damit kann das Kopfelement "Destination:" auf den neu eingestellten Wert geändert werden. Wird hauptsächlich bei WEBDAV-Verbindungen verwendet.

  3. removePortFromHost – wenn gesetzt, wird die Port-Angabe im Header-Element Host: entfernt. Wenn der Host: http://www.mydomain.com:4443-Header beispielsweise mit dem Wert https ankommt, wird der Endpunktdienst mit Host: http://www.mydomain.com:geliefert.

WRSK module: WORKSPACE

Die Übersichtsansichten der ADCs enthalten nun auch Tafeln, die den Status der Verbindungen von Highwater, Tunnels Sessions hervorheben. Dadurch kann der Status dieses spezifischen ADC oder ADC-Clusters an einer einzigen Stelle angezeigt werden.

WRSK module: REST API

Es wurden REST-API-Funktionen veröffentlicht, mit denen Vorgänge sicher von Skripten aus durchgeführt werden können. Die Funktionen sind über die Online-Hilfe direkt im Browser selbstdokumentierend.

Wenn Sie auf die Konsole mit der URI https://ip_address:4444/japi/help zugreifen, wird Ihnen nach der Authentifizierung eine Liste der verfügbaren APIs angezeigt.

Wenn Sie den Link zu jeder Funktion eingeben, erhalten Sie eine Hilfestellung, wie Sie die Funktion am besten nutzen können.

ADC module: New templates

Neue Templates wurden eingeführt, um die Einrichtung von Diensten mit der Anpassung an die neuen Protokolle zu erleichtern. Nachstehend finden Sie die neuen Templates:

  1. HTTP/2 listener: Ermöglicht die Erstellung eines HTTP/2-Listeners

  2. HTTP/2-Listener mit Client-Zertifikatsabfrage: Ermöglicht die Erstellung eines HTTP/2-Listeners mit den Parametern für die Abfrage des autorisierten Client-Zertifikats über ein digitales Zertifikat, das in einem Truststore gespeichert ist.

  3. x-forwarded-headers - http header rewite rule: Diese Regel führt in der Kopfzeile die Merkmale ein, die erforderlich sind, um WordPress über die Verwendung eines Reverse-Proxy zu informieren.

  4. RewriteHref_From_Http_To_Https - http body rewrite rule: die von den Endpointdiensten stammenden HTML-Bodies von "http" auf "https" ändern. Diese Regel ist in Fällen nützlich, in denen Endpointdienste nicht in SSL sind und Nicht-SSL-Verbindungen melden.

  5. OplonHTTPCookieSetOption - http header rewite rule:Bei Diensten, die keine Cookie-Sicherheitssysteme vorsehen, ist es möglich, diese während der Set- Cookie-Erstellung zu ändern, um Funktionen hinzuzufügen, die neue Sicherheitsimplementierungen wie SameSite, Max-Age, Secure, HttpOnly, Domain... ermöglichen.

Oplon Commander: Lösungen für einen sicheren Multi-Cloud-BetriebRemote Working: Zugang zu Unternehmens-Webanwendungen für große Organisationen