...

Content Delivery Networks – Was CloudFlare so besonders macht

„Gib uns fünf Minuten und wir werden deine Webseite auf Touren bringen“ verspricht der in San Francisco ansässige Anbieter CloudFlare vollmundig auf seiner eigenen Seite. Lediglich fünf Minuten soll es dauern, sich bei CloudFare zu registrieren, einen entsprechenden Tarif (Plan) zu wählen und die entsprechende Webseite beim Anbieter hochzuladen. Unter der Voraussetzung allerdings, das die eigene Internetanbindung auch schnell genug ist. Doch CloudFlare verspricht nicht nur Geschwindigkeit, sondern auch fortgeschrittene Sicherheitslösungen wie eine „Web Application Firewall“ oder eine „Advanced Denial of Service Attack Mitgation“. Das alles möglich macht die Kombination zweier Technologien: Eine ist relativ neu, die andere so alt wie das Internet und zusammen wird daraus ein fast schon autarkes Gesamtsystem.

Content Delivery Network – Wenn die Wolken diffus werden

Statt eines normalen Cloudservices, beispielsweise als „Infrastructure as a Service“ funktioniert das sogenannte „Content Delivery System“ etwas anders, denn statt an einem einzigen Punkt konzentriert verteilen sich Content Delivery Networks diffus auf mehrere PoPs (Points of Presence) und bilden ein Netz diffus angeordneter Wolken. Konkret bedeutet das für CloudFlare 43 Rechenzentren in 32 Ländern. Dabei geht es jedoch nicht nur um die schiere Größe, sondern um eine möglichst hohe Abdeckung weltweiter Standorte. Konkret soll eine Anfrage aus Südafrika aufgrund der geografischen Lage nicht länger dauern als eine aus den USA.

Das Content Delivery Network arbeitet mit einem zweiteiligen Distributionssystem. Es gibt einen oder mehrere Ursprungsserver und eine hohe Anzahl „Backbones“ oder Replica-Server, die eine Kopie der verfügbaren Datei beinhalten. Wie oft eine solche gespiegelt, also innerhalb der Replica-Server verteilt wird, hängt maßgeblich von der Anzahl der Anfragen ab. Wird eine Datei nur selten angefragt, können wenige Backbones bereits ausreichen, um die Nachfrage hinlänglich zu bedienen. Hinzu kommt: Nicht jeder Backbone ist gleich „eingestellt“. Einige sind auf Effizienz ausgelegt, andere auf Geschwindigkeit. Die Kombination aus beiden gewährt eine in Zeit und Geschwindigkeit gleichbleibende Distribution unabhängig des aktiven Traffics.

Domain Name Server – Die logische Konsequenz

Der zweite Teil des Distributionssystems ist der Domain Name Server. Dieser kümmert sich um die Auflösung der vom Ursprungsserver vergebenen Lieferketten über DNS-basiertes Request Routing. Wie im Internet können die Backbones eindeutigen IDs zugewiesen werden, die der DNS in seiner Datenbank gespeichert hat. Um eine Anfrage zu bearbeiten, muss der Nutzer auf einen Backbone umgeroutet werden, wofür jedoch Informationen wie die ID sowie die IP erforderlich sind. Genau diese Informationen stellt der DNS bereit.

Der DNS von CloudFlare wird allerdings nicht ausschließlich für diese Aufgabe genutzt, sondern fungiert darüber hinaus auch als „ganz normaler“ DNS, der in der Lage ist, die Domainnamen von Webseiten in IPs umzuwandeln. Zwar gibt es mittlerweile viele, nicht an Internet Service Provider gebundene DNS wie openDNS oder Google Public DNS, jedoch erhöht der Betrieb eines eigenen DNS die Sicherheit der über CloudFlare gespeicherten Webseiten zumindest in einem geringen Maße, da schneller auf Attacken, die einen „Denial of Service“ zum Ziel haben, reagiert werden kann.

Die drei Säulen der Sicherheit

Grob gesprochen wird die hohe Sicherheit von CloudFlare durch ein Drei-Säulen-System erreicht, nämlich eine webbasierte Anwendungsfirewall, die sozusagen vor die eigentliche Webseite geschaltet wird, eine End-to-End SSL-Verschlüsselung basierend auf eigenen oder vom Anwender bevorzugten Protokollen und Algorithmen sowie DNSSEC (DNS-SECurity), ein auf kryptografischen Signaturen basierendes Handshake-System für DNS-Anfragen, das mit mehreren Layern arbeitet. Abgesehen davon erlaubt der eigene DNS durch ein verbessertes Monitoring „an der Quelle“ ein wesentlich bessere Frühwarnsystem für DDoS-Attacken, da das „Aufflammen“ des Traffics hier bereits bemerkt wird, bevor die eigentliche Webseite betroffen ist.

Wenig Konkurrenz

Momentan gibt es für CloudFlare noch wenig ernstzunehmende Konkurrenz. Zwar gibt es andere Anbieter – auch solche, die von großen Firmen stammen – aber durch die Zusammenarbeit mit großen Marken und eine weitreichende Implementierung wird es schwierig CloudFlare vom Thron zu stoßen. Doch punktet man nicht nur mit leeren Phrasen, sondern hat durch die Kombination aus Content Delivery Network und Domain Name Server mit allen verbundenen Vorteilen ein System zu erschaffen, bei dem Geschwindigkeit und Sicherheit gleichermaßen gegeben sind.

Aktuelle Artikel