© Ian_Holland, 123RF.com
Eine komplexe Software zu entwerfen und zu entwickeln ist eine Sache – Kunden davon zu überzeugen, dass es sich leicht installieren und betreiben lässt, eine andere. Appliances schaffen Anbietern eine definierten Container und vereinfachen dem Empfänger den Betrieb.
Geschäftsführer Christian Scheucher verabschiedet am späten Nachmittag noch einen Kunden, um sich dann wieder hinter seinen Rechner zu setzen. Er checkt die letzten Sicherheitsupdates des Debian-Projekts, konfiguriert einige Dateien und stößt einen Buildprozess an, bevor er in den Feierabend geht. Am nächsten Morgen möchte er seinem Kunden eine maßgeschneiderte Maschine für dessen spezifische Anforderungen präsentieren, die künftig im Netz des Auftraggebers Köder auslegt, um feindliche Aktivitäten aufzuspüren [1].
Anregung vom Reeder-König
Softwareanbieter haben in der Vergangenheit vornehmlich Software angeboten. Das bedeutete meist einen Datenträger oder eine Downloadadresse und eine Installationsanleitung samt einer Vorgabeliste kompatibler Betriebsumgebungen. Das war nicht nur die Hardwareplattform, sondern umfasste auch deren konkrete Ausstattung mit Speicher, kompatiblen Netzwerkkarten, Betriebssystemen, Distributionen, deren Varianten und Releases. Wer das alles unterstützen wollte, hatte viel Logistik zu berücksichtigen.
Da liegt es nahe, sich an erfolgreichen Logistikern wie dem amerikanischen Reeder Malcom McLean zu orientieren. Der hatte nämlich 1956 die Idee, Container zu normieren, so dass sie ohne große Aufwände Platz in jedem Schiff fanden. Sie passen auch in andere Umgebungen wie Eisenbahnwaggons oder Lastwagen und können fast jede Art von Gütern in sich aufnehmen [2].
Eine Appliance versucht diesen Ansatz auf komplexe Softwaresysteme zu übertragen. Anbieter erwarten sich davon, unabhängiger von der Menge an Systemkonfigurationen zu werden, die sie sonst bei ihren Kunden vorfinden. Vorreiter bei Appliances sind Entwickler von Sicherheitslösungen. Scheucher, der mit seinem Unternehmen Secxtreme [3] Securitylösungen auf Linux-Basis für Kunden mit hohen Spezialanforderungen entwirft (siehe Abbildung 1), erkennt einen Trend zur Komplettlösung und nennt Gründe: “Der Support ist schwierig, wenn wir einen ganzen Zoo von Distributionen berücksichtigen müssen. Die einzelnen Varianten sind zu unterschiedlich und gehen nicht auf die besonderen Bedürfnisse unserer Kunden ein, die in vielen Fällen ein Extra an Security erwarten.”
Abbildung 1: Die Honeybox von Sec-xtreme gaukelt Server vor und lenkt Angreifer von echten Systemen ab. Systemverwalter dürfen die Appliance anpassen.
Sicherheit erzwingt Sonderanfertigungen
Matthias Lemke, Leiter der Sina-Entwicklung beim Bundeshoflieferant Secunet (siehe Abbildung 2), geht noch einen Schritt weiter: “Sicherheit ist auf klassischem Wege bei Betriebssystemen eher schlecht zu konfigurieren, weil Distributionsanbieter oft andere Ziele verfolgen als wir. Die wollen, dass Flash-Plugins laufen, wir benötigen besondere Patches für die Security.”
Abbildung 2: Matthias Lemke ist Leiter der Sina-Entwicklung bei der Secunet Security Networks AG.
Sein Unternehmen baut die Sina-Boxen, eine als Appliance ausgeliefertes VPN-Gateway [4], das das Bundesamt für Sicherheit in der Informationstechnik für hohe Geheimhaltungsstufen evaluiert hat (siehe Abbildung 3). Das sei auch der Grund für Lemke, auf eine eigene Appliance zu setzen: “So wissen wir, was wirklich läuft.” Gert Hansen, Chefarchitekt bei Firewall-Hersteller Astaro (siehe Abbildung 4) konkretisiert: “Wir entscheiden frei, welche Tools und Bibliotheken wir ausliefern – und vor allem in welcher Version. Updates bringen wir dann heraus, wenn wir sie getestet haben”. Damit sind Anbieter unabhängig von Distributions-Releases.
Abbildung 3: Mit der Sina-Box der Secunet Security Networks AG verschlüsseln viele Bundesbehörden ihren Datenverkehr. Admins haben nur limitierten Zugang zu den Innereien des Systems.
Abbildung 4: Gert Hansen gründete die Astaro AG mit und ist ihr Chief Software Architect.
Die von Christian Scheucher mit einem Kollegen entworfene Honey-Box verwendet weitehend frei verfügbare Komponenten aus Open Source, etwa »honeyd« für das Simulieren der Köder-Systeme. Seine Kunden haben aber immer weniger Zeit, sich mit diesen Spezialprogrammen in der gebotenen Tiefe zu befassen: “Unsere Kunden haben durchaus gute Linux-Kenntnisse, kommen aber nicht dazu, sich in die Details zu vertiefen”, erklärt er. Für die zählen drei Aspekte: “Produkte sollen einfach, schnell und einsatzbereit sein”, weiß Scheucher.
Mehrwert Anpassung
“Kunden wollen schließlich keinen Bausatz, sondern Lösungen”, sagt Markus Jastroch vom Freiburger Appliance-Hersteller Pyramid [5]. Im Idealfall verbinden Anwender ihr Gerät mit dem Netzwerk, geben die wichtigsten Konfigurationsparameter ein und schon läuft alles. “Gerade bei größeren Installationen oder bei vielen Außenstellen schätzen Admins diesen Komfort”, berichtet Hansen von Rückmeldungen seiner Kunden: “Wer einige Dutzend Außenstellen zu betreuen hat, freut sich über jede Minute, die er gegenüber einer klassischen Installation einspart.”
Doch bis dahin ist es für Softwareanbieter meist ein weiter Weg. Alle Experten sind sich einig, dass die Investition in die Infrastruktur immens sei: “Als wir 2000 starteten, hat uns niemand zugetraut, eine komplette Distribution selbst zu verwalten”, erinnert sich Hansen, einer der Mitgründer des Karlsruher Firewallherstellers (siehe Abbildung 5). Auch Christian Scheucher wagt nur vage Schätzungen des Aufwandes abzugeben: “Wir haben unser eigenes System auf Grundlage einer minimalisierten Debian-Distribution geschaffen. Das war vor sechs Jahren, seither sind etliche Mannmonate in unser Framework geflossen. Da sind eine Reihe von Aufgaben zu berücksichtigen, die zunächst nur indirekt mit unserem Produkt zu tun haben.” Er spricht die automatische Partitionierung, die Verwaltung von Updates, eine Konfigurationsoberfläche und die Pflege von Betriebssystemtools an. Wichtig sei, eine effiziente Tool-Chain aufzubauen, die möglichst vollautomatisch komplette Installationsdateien baut. Das können ISO-Images für CDs, USB-Sticks oder auch Images für Virtualisierungen sein.
Abbildung 5: Astaro fing bereits 2000 an, ihre Linux-Firewall als Appliance zu entwickeln. Dazu entwickelt das Unternehmen mit am Kernel.
Fabrikationsstraße
Die Toolchain von Secxtreme stellt in zehn Minuten ein neues System zusammen. Astaros virtuelles Fließband produziert gar bis zu 40 Abbilder pro Tag. Das ist auch nötig, denn die Hersteller brauchen während der Entwicklung viele Versuche, da einige Fehlerquellen lauern. Sie geben zwei Tipps: Erstens sollte der Prozess vollautomatisch ablaufen, selbst bei scheinbar einfachen Aufgaben. Zweitens bereiten oft kleine Details großen Verdruss: “Unser Hardware-Lieferant hat einmal ohne Rückmeldung eine Festplatte mit höherer Speicherkapazität eingebaut”, seufzt Hansen, “daraufhin funktionierte die automatische Partionierung nicht mehr so wie vorgesehen.”
Tests nehmen die Hälfte der Fertigungszeit ein
Seither prüfen Programme genau, ob die Ergebnisse des Build-Prozesses auch die Qualitätssicherung überstehen. Auch Scheucher bestätigt, dass Tests einen Großteil des Bauens ausmacht: “Wir nutzen Virtualisierungen, um die verschiedenen Images zu testen”.
Großen Wert legen die Entwickler auch darauf, zu wissen, woher ihre Software stammt. “Jede Änderung verfolgen wir minutiös in unserer Sourcecode-Verwaltung CVS, neuerdings Git sowie in unserem Tracker Mantis”, erklärt Technikchef Markus Hennig (siehe Abbildung 6) den Ablauf bei Astaro: “weil wir alles noch einmal selbst bauen, haben wir sogar Compiler-Optimierungen unter unserer Kontrolle. Das ist wichtig für eine Sicherheitsappliance.” Astaro beschäftigt deshalb auch selbst Upstream-Entwickler und gibt Ergebnisse direkt an Projekte wie Netfilter oder den Linux-Kernel zurück. Bei normalen Userland-Tools greift das Unternehmen auch auf Pakete von Opensuse zurück, paketiert sie jedoch meist neu.
Abbildung 6: Markus Hennig ist CTO bei der Astaro AG und hat eine eigene Linux-Distribution entworfen: „Weder Red Hat noch Suse wollten uns seinerzeit helfen.“
Wann der Selbstbau lohnt
Viele Softwareanbieter vermissten bislang den Support der großen Distributonen, um maßgeschneiderte Geräte zu bauen. “Weder Red Hat noch Suse waren in unseren Anfangsjahren daran interessiert, uns bei einer Plattform für Firewalls zu helfen”, bedauert Hennig.
Heute scheint das anders zu sein: Novell vermarktet seit Mitte 2009 Suse Studio, eine Umgebung, die es Software-Anbietern einfachen machen soll, Appliances zu bauen, zu testen und zu verteilen [6]. Entwicklungsleiter Cornelius Schumacher (siehe Abbildung 7) erklärt das Prinzip: “Auf einer Webseite lassen sich sowohl Basisdistribution, als auch Pakete zusammenstellen. Alles weitere erledigen unsere Server in KVM-Umgebungen, die ein Image in wenigen Minuten zusammenstellen.” Das Ergebnis läuft dann direkt auf einem Hardware-Server, gegenwärtig arbeitet sein Team auch an Abbild-Dateien für die gängigen Virtualisierungen.
Abbildung 7: Cornelius Schmacher ist der Entwicklungsleiter von Suse Studio bei Novell.
Für Anwender hat das den Vorteil, dass unter der Haube ein Opensuse oder auf Wunsch auch ein SLES läuft. Sofern es der Appliance-Anbieter zulässt, hat mancher Admin damit Heimvorteil, wenn er sich mit Novells Linux-Derivat bereits auskennt. Die Nürnberger zielen mit ihrem Produkt offenbar auf Anbieter von komplexer Anwendungssoftware. So erscheint es denkbar, ein komplettes ERP-System auszuliefern – der aufwändige Installationsprozess würde entfallen.
Hilfe zur Eigenkonstruktion
Auch andere Dienstleister wie R-Path, bei dem der ehemalige Red-Hat-Entwickler Erik Troan arbeitet und die der ehemalige Fedora-Chef Michael Johnson gründete, haben Bausätze für Appliance-Distributionen im Portfolio [7]. R-Path verwendet dabei primär Fedora. Der deutsche Hardware-Anbieter Secudos aus Dortmund [8] bietet ebenfalls vorgefertigte Frameworks an, die auf vorgefertigtem RHEL basieren (siehe Tabelle 1).
|
Tabelle 1: |
|||
|---|---|---|---|
|
Produkt |
Anbieter |
Schwerpunkt |
Kontakt |
|
Suse Studio |
Novell |
Appliances direkt im Webbrowser zusammenstellen und |
|
|
DOMOS OS |
Secudos |
Gehärtetes Linux, HA-Funktionen, Updates, Web-Interface, |
|
|
R-Builder |
R-Path |
Umfangreiches Build-System auf Fedora-Basis |
|
Noch zögern aber offenbar gerade die Anbieter von Sicherheitsgeräten. Scheucher möchte die Kontrolle über das Gesamtsystem behalten: “Wir greifen oft tief in das System ein und möchten uns nicht von den Plänen anderer abhängig machen. Gerade die Build-Mechanismen lassen sich nur wenig beeinflussen.” Die hohe Qualität von Debian bietet dem Entwickler genügend Freiraum, um eigene Software zu paketieren und bestehende notfalls zu modifizieren. Die fertigen Appliances holen ihre Pakete und Updates dann auch einerseits vom Orginal-Debian-Server, die spezifischen Bundles kommen jedoch andererseits direkt von einem eigenen Repository. “Auf diese Weise müssen wir keine Pakete neu signieren”, sagt Scheucher.
Astaro nutzt zwar auch die Signaturen der einzelnen Pakete, unterzeichnet aber immer das komplette Bundle eines Releases in Form eines Tar-Archives. “Der Vorteil davon ist”, so Hennig, “dass auf jeder Appliance die gleiche Software läuft. Das macht den Support einfacher.” Bei mehreren zehntausend aktiven Installationen von einigen hundert MByte kommen so bis zu 4 TByte pro Update zusammen. Zur Verteilung nutzt der Firewall-Hersteller Amazons Cloudfront [9].
Online- und Offline-Updates
Secunet hingegen verteilt seine Updates immer direkt als Images per USB-Stick oder CD und fährt dabei einen sehr konservativen Ansatz. Der Hersteller testet die Software intensiv und liefert nur ein minimales System aus: “Bisher hatten wir noch kein kritisches Update”, bemerkt Entwicklungsleiter Lemke.
Jedes Gerät benötigt eine Schnittstelle zur Administration und zur Überwachung. Die dazu eingesetzten Methoden weisen jedoch eine große Spannweite auf. Astaro setzt auf ein reines Web-Interface und hat dazu sogar ein eigenes Template-System entwickelt, das rund zwanzig Widgets kennt. “Damit können unsere Anwender alles steuern”, erklärt Hennig. Es gäbe zwar ein Command-Line-Interface, aber dafür gewähre das Unternehmen keinen offiziellen Support, verrät sein Kollege Hansen.
Auf den Firewalls können sich Admins auch als Root einloggen, verändern sie jedoch auf diese Weise Einstellungen, verlieren sie die Garantie. Das Unternehmen hat sich dagegen entschieden, die Geräte zu vernageln: “Letztlich kommt doch jeder auf dem einen oder anderen Weg auf das System. Wir haben ja nichts zu verbergen”, erklärt Hansen den Entschluss. Secxtreme hat dazu eine ähnliche Meinung, setzt jedoch auf eine von der Curses-Bibliothek Newt und dessen Tool Whiptail angetriebene Konfigurationsapplikation [10].
Streitpunkt Rootshell
Dazu loggt sich der Anwender per SSH auf der Appliance ein und führt die Einstellungen direkt durch. Über diesen sinnvollen Umweg erhält der Systemverwalter der Geräte ebenfalls auf Wunsch eine Rootshell. Einzelne Reporting-Funktionen lassen sich über einen integrierten Webserver abrufen, in der Grundeinstellung hat die Appliance aber keine weiteren Ports geöffnet. Die Anbieter weisen darauf hin, dass die Installation zusätzlicher Software nicht im Sinne des Appliance-Modells ist, selbst wenn das theoretisch möglich ist.
Deutlich weniger Kontrolle haben die Admins übrigens über eine Sina-Box: Jeglicher Zugriff ist ohnehin nur über bestehende IPSec-Verbindungen möglich, deren initiale Konfiguration auf einer Smartcard hinterlegt ist. Authorisierte Admins können über ein CLI ausgewählte Parameter einsehen oder die Uhr stellen, aber die eigentliche Verwaltung von Sicherheitsbeziehungen, Benutzer und Zertifikaten geschieht in einem zentralen Management, das das Unternehmen in Java implementiert und das auf einem separaten System auf RHEL-Basis läuft. Damit ist dieser Management-Client zwar funktional mächtiger, erfordert aber ein weiteres System mit einer installierten Java-Umgebung.
Feste Bindungen eingehen
Am wenigsten Arbeit haben Systemverwalter mit einer Appliance, die sie nur mit ihrem Netz verbinden, bei der sie also die Hardware aus einer Hand vom Lösungsanbieter miterwerben. Die will aber erst einmal ausgewählt sein. Anbieter günstiger Server in Rackbauweise sind leicht zu finden, stimmen alle befragten Experten überein. Problematisch ist allein der langfristige Support, etwa ob die zugrundeliegende Linux-Distribution auch Treiber für eine neue Netzwerkkarte mitbringt oder ob die automatisierten Tools neue Festplattengrößen richtig berücksichtigen.
Die Beschäftigung mit der Hardware nimmt daher letztlich mehr Zeit ein, als vorher vermutet, berichten die Entwickler. Markus Jastroch vom Lieferanten Pyramid empfiehlt dann auch solche Geräte auszuwählen, die aus bewährten und bekannten Komponenten bestehen und die auch über einen längeren Zeitraum verfügbar bleiben.
Hardware ins Lager
Die Bevorratung solcher Bauteile lassen sich Spezialanbieter natürlich auch vergüten, daher kann es sich bei größeren Stückzahlen lohnen, direkt mit Unternehmen aus Fernost zu verhandeln. “Das lohnt aber erst ab mehreren tausend Einheiten”, weiß Gert Hansen. Sein Team trifft sich mehrmals im Jahr mit Lieferanten, um anstehende Änderungen vorzuplanen.
Astaro hat einen ausgeklügelten Testmechanismus entwickelt, der jede einzelne Appliance beim Konfektionieren auf Konformität prüft. “Die Qualitätskontrolle und die Verhandlungen mit unseren Partnern vor Ort sind oft langwierig”, erinnert sich Hansen: Das lohnt sich nur für den, der wirklich viele Geräte abnimmt. Er bemängelt weiterhin die geringe Verlässlichkeit vermeintlich günstiger Produktionsfirmen in China. Die Situation in Taiwan sei dagegen besser.
Wer lieber einen Anbieter hierzulande wünscht, zahlt zwar einen Aufpreis, der sich aber bei geringen Stückzahlen wegen überschaubarerer Liefersituationen und kürzeren Reaktionszeiten auszahlt. Dazu kommt, dass einige Spezialisten auch Zusatzdienstleistungen wie den Austausch von Komponenten oder Vorortservice anbieten (siehe Tabelle 2). Auch hier ist es eine Frage des Preises und der Logistik, ob sich Anwender an den Anbieter der Software wenden und so nur einen einzigen Ansprechpartner haben, oder ob sie sich bei Hardwareschäden an den Lieferanten halten.
|
Tabelle 2: |
|||
|---|---|---|---|
|
Anbieter |
Schwerpunkt |
Sitz |
Kontakt |
|
Pyramid |
Erfahrener, langjähriger Anbieter aus Deutschland. Bietet |
Freiburg, Deutschland |
|
|
Apligo |
Deutscher Hersteller, der auch Hardware-Support wie |
Karlsruhe, Deutschland |
|
|
Secudos |
Deutscher Anbieter, der mit Domos eine gehärtete |
Dortmund, Deutschland |
|
|
Nexcom |
Direkter Systemintegrator aus Taiwan. Baut mitunter auch |
Taipeh, Taiwan |
|
|
Portwell |
Systemintegrator aus Fernost, günstige Preise ab gewissen |
Taiwan |
|
Schönheit auch von außen
Sollen die Geräte auch einen optischen Wiedererkennungswert erhalten, lackieren die Anbieter auch Gehäuse, Rackmount-Ohren oder verbauen individualisierte Frontblenden. Manchmal reicht es jedoch schon, einen Satz Aufkleber für die vordere Gehäusewand produzieren zulassen. LEDs ansteuern kann jeder Linux-Kernel. Darüber hinaus stellt Scheucher aber die Frage: “Wer sieht schon die LEDs im Serverraum im Keller?” Für kleine LC-Displays hingegen gibt es mit LCD4Linux ein Open-Source-Projekt, das Treiber für viele gängige Modelle mitbringt [11].
Aufwand und Nutzen
Sowohl Anbieter als auch Anwender haben viele Vorteile, wenn sie Appliances einsetzen. Die Anbieter haben eine bessere Kontrolle über die Betriebsumgebung und tun sich leichter damit, bestimmte Leistungsvereinbarungen (SLA) abzugeben. Kunden schätzen die einfache Administration und die Gewissheit, sich im Problemfall nur mit einem einzigen Partner auseinanderzusetzen, statt einen kräftezehrenden Kampf gegen Hardware-, Betriebssystem- und Anwendungsanbieter auszufechten, bei dem sich die Beteiligten reihum gegenseitig des Fehlers bezichtigen.
Gleichwohl mag die Entscheidung, eine eigene Distribution herauszugeben, wohl überlegt sein: Die Aufwände, die dafür notwendige Infrastruktur zu schaffen und vor allem über einen längeren Zeitraum aktuell zu halten, überschätzen Entwickler schnell. Gerade für die Qualitätssicherung und den automatisierten Ablauf des Build-Prozesses sollten Anbieter genügend Ressourcen vorsehen. Wer diese Aufwände scheut, findet auf Kosten etwas geringerer Flexibilität und Kontrolle eine Reihe von Fertiglösungen, die regelmäßige Aufgaben abnehmen. Welche Lösung in welchen Container passt, bleibt vom Anwendungsfall abhängig.
|
Infos |
|---|
|
[1] Jörg Fritsch, “Lockstoff: Secxtreme Honeybox-Appliance im Test”: Linux-Magazin 12/09, S. 86 [2] Reeder-König Malcom McLean: [http://containerstory.com/hintergrund.php] [3] Secxtreme: [http://sec-xtreme.com] [4] Secunet: [http://secunet.com/sina] [5] Pyramid: [http://pyramid.de] [6] Suse Studio: [http://susstudio.com] [7] R-Builder von R-Path: [http://rpath.org] [8] Secudos: [http://secudos.de] [9] Amazon Cloudfront:[http://aws.amazon.com/cloudfront/] [10]Newt: [https://fedorahosted.org/newt/] [11] LCD4Linux:[http://ssl.bulix.org/projects/lcd4linux/] |
