DataPower как основа

IT-инфраструктуры
Антон Литвинов,
специалист по WebSphere Connectivity,
IBM Центральная и Восточная Европа
 Повестка

Краткий обзор WebSphere DataPower

Функции безопасности

Оптимизация приложений

ESB / Интеграция
Почему DataPower?




 -



(SSL/TLS)

 ,
,

Специализированная, максимально оптимизированная аппаратная (AAA)
платформа
FIPS 140-2 Level 3, Common Criteria EAL4*

Высокая производительность за счет нескольких уровней аппаратного ускорения
 10+ лет инноваций в Connectivity
Optimized
Hardware
XA35

Optimal
2000 Acceleration
XS40 12
2001
Interpreter
and Compiler XI50
2002
2003
Gigabit/Sec
OEM HW 2004 WebSphere
Transformation
Solution
2005 Extender
XB60
2006 Blade
Model
Acquisition 9003 2007 XI52
XB62
ITCAM 2008
for
SOA
Model 2009 XG45
9004

AO
2010
Self-Balancing
and Intelligent
Load Distribution

Model
2011
1700 9005
Семейство DataPower
c XI52
XG45
- 2U

,
ESB
1U


(AAA,

XML- , . .)
-

XI50B/XI50z
ESB ( B2B XB62

) ,
- 2U
XI52

B2B (AS1/AS2/AS3/ebMS)

-



XI50B: -
BladeCenter



XI50z: - zEnterprise B2B
(zBX)

5
Размещение и применение
DMZ

4
XI52

5 ESB

XE82 XI52

XI50B
XB62

1
( - ,
-
XI50z
)
System z
2 6
SOA
7 -

3 B2B- 8
 Повестка

Краткий обзор WebSphere DataPower

Функции безопасности

Оптимизация приложений

ESB / Интеграция
 Роли иIBM
цели безопасности
Software Group – Enterprise Networking Software

 Безопасный
доступ к веб- и Mission-critical data
унаследованным
приложениям

 Применение z/OS RACF for

политик User I&A
безопасности
F F
Authorization
I I
Cert/keys
 Безопасная Internet
Internet
R
E
DMZ
R
E Intranet
Intranet
платформа W
A
L
DMZ W
A
L
L L

 Управляет
безопасностью,
реализуя
внешние
политики

Защита данных и других ресурсов на
Защита данных криптографией

устройстве и других серверах – Конечная аутентификация данных
– Доступность всей системы • Проверка конечной точки безопасного
• Защита от несанкционированного соединения
доступа, DoS- и других сетевых атак – Проверка источника данных
• Разрешение доступа только • Проверка отправителя данных
«валидным» сообщениям – Целостность данных
– Идентификация и • Проверка на неизмененность данных
аутентификаия – Конфиденциальность данных
• Проверка сетевых пользователей • Шифрование «открытых» данных
– Авторизация
• Защита данных и других ресурсов от
Page 8 © 2010 IBM Corporation
8 неавторизованного доступа
 IBM Software Group – Enterprise Networking Software

Используйте гибкий движок AAA (Authenticate,

Authorize, Audit)
LDAP
HTTP Headers System/z NSS (RACF, SAF)
WS-Security Tokens Tivoli Access Manager AAA
WS-SecureConversation Kerberos
WS-Trust WS-Trust
Kerberos Netegrity SiteMinder
X.509 RADIUS
SAML Assertion SAML
IP Address LTPA LDAP
LTPA Token Verify Signature ActiveDirectory Add WS-Security
Custom Custom System/z NSS Generate z/OS ICRX Token
Tivoli Access Manager Generate Kerberos
SAML Generate SAML
Extract Map XACML Generate LTPA
Identity
Authenticate Identity Custom Map Tivoli Federated Identity

Audit &
Authorize Post-Process

Extract Map
Resource Resource

URL
SOAP Operation
HTTP Operation
Custom

Page 9 © 2010 IBM Corporation

9
DataPower и Tivoli
DataPower умеет работать в связке с Tivoli в качестве узла применения политик
безопасности [PEP]

Tivoli Security Policy manager (TSPM)

XACML ( ) TAM

. [PAP]
TSPM DataPower
. PEP
[PDP]

Tivoli Federated Identity Manager (TFIM)

Tivoli Access Manager (TAM)

. [PDP]

– PAP: Policy Authoring Point

– PDP: Policy Decision Point
– PEP: Policy Enforcement Point
Шлюз REST
REST-

«Снятие» SSL
Централизованное управление & мониторинг

Точка принятия решений для централизованных Контроль/ограничение трафика
политик безопасности
Маршрутизация / распределение нагрузки
– Аутентификация, Авторизаци, Аудит
– Защита от атак для XML и JSON
– Валидация сообщений и фильтрация

REST REST
JSON XML / JSON XML / HTTP(s)
HTTP(s)

REST- REST-

REST-SOA/SOAP

Трансляция методов HTTP для REST в SOAP
Трансляция из XML в SOAP и обратно

Трансляция JSON в SOAP и обратно

– Возможность конвертации JSON в XML
(JSONX) и обратно

SOAP / HTTP(s)
REST

JSON XML /
HTTP(s)
REST- SOAP-
Мониторинг сервисов (SLM): управление трафиком

Мониторинг сервисов (SLM) позволяет защитить ваши сервисы и
приложения от перегрузки, а также задать квоту на пользование
– Ограничение количеством сообщений в период времени с учетом одновременного
доступа
– Принимаемые действие при пороговом значении:
• Журналирование, задержка, отказ
 Повестка

Краткий обзор WebSphere DataPower

Функции безопасности

Оптимизация приложений

ESB / Интеграция

DataPower

IP-

4.0.2

IP-

14


dynamic feedback


WAS ND VE

Weighted Least Connection

Session Affinity

15
 Повестка

Краткий обзор WebSphere DataPower

Функции безопасности

Оптимизация приложений

ESB / Интеграция
ESB

Что такое Enterprise Service Bus?
ESB – это гибкая связывающая инфраструктура для объединения
приложений как сервисов
DataPower ESB
Маршрутизация на основе содежимого сообщений

Динамическая маршрутизация на основе любого содержимого сообщений
– Атрибуты, такие как вызывающий IP, запрощенный URL, заголовки протокола, и т.д.
– Данные в сообщении, такие как SOAP-заголовки, XML-, неXML-содержимое, и т.д..

Запрашивание репозитория для получения маршрутов
– WebSphere Service Registry & Repository, XML-файлы, базы данных, веб-сервера

Трансформация любых данных в любые

Изменение формата сообщения с непревзойденной гибкостью
– Для сопоставления типов данных используйте WebSphere Transformation Extender

Input Output
Message Message

? ?
<XML/> TEXT binary <XML/> TEXT binary
WebSphere TX Design Studio
DataPower ESB
Смена транспортных протоколов

Интеграция транспортных протоколов это очень просто
– Поддержка протоколов: HTTP(s), WebSphere MQ, WebSphere MQ FTE, WebSphere
JMS, Tibco EMS, SFTP, FTP(s), NFS, IMS, Database (DB2, Oracle, Sybase, SQL
Server)

Поддержка синхронного, асинхронного взаимодействия, pub-sub, гарантированной
доставки

WebSphere
HTTP(s) JMS

WebSphere TIBCO
MQ, MQ FTE EMS

FTP(s) Database
DB2, SQL Server,
Oracle, Sybase,
SFTP
IMS NFS
DataPower ESB
Outside World DMZ Internal Network
Packaged Apps
Proprietary Apps Packaged Apps
HTTP(s) Data Proprietary Apps
FTP(s) Data
Browsers

DataPower ESB SFTP(SSH)

Protocol Firewall

Domain Firewall
HTTP
WMQ(s) WMQ
– Простая установка и настройка WS JMS
Enhanced TIBCO EMS DataPower Packaged Apps
Partner Internet Security
– Конфигурация связей приложений Apps ESB IMS
Proprietary Apps
DMZ LDAP Data
– Работа с разными системами: Connect
ACL
.Net, Java, Legacy FTP
ODBC JMS NFS
SaaS DB
EMS
Packaged Apps
Packaged Apps Proprietary Apps
Proprietary Apps Data
Data

ESB-концентратор

Маршрутизация на основе содержимого
Безопасность
– AAA, защита от атак

Обогащение данных – Валидация сообщений и фильтрация

Трансформация сообщений
Централизованное управление и мониторинг

Смена протоколов
Интеллектуальное распределение нагрузки

Сценарий для примера

Cobol / MQ
SOAP / HTTP(s)

MQ Queue
Manager
2
1
Использование XC10 в качестве side cache
1. .
2. DataPower XI
XC10.
5.
3. XI

Простая интеграция с существующим бизнес-процессом
– Не требуется внесения изменений в клиентское
. приложение или серверную часть
– Простая реализация механизма side cache на
4. XI XC10.
уровне ESB
5. XI.

Значительное снижение нагрузки с конечных серверов
для повторяющихся запросов

Ответ от кэша в милисекундах
DataPower XI
1
3
5

2 4

REST

DataPower XC10
Совмещая технологии ESB: “Гибридная шина”

WESB –
WAS WMB –

SOA

-/
IT-
BPM
-/
-

ESB

WDP –

,
Legacy Back office /
Client-Server Call- Legacy / System Z
WebSphere DataPower – основа Вашей инфраструктуры

:

IBM DataPower ( ,
)

http://www-01.ibm.com/software/integration/datapower/

developerWorks DataPower

http://www.ibm.com/developerworks/forums/forum.jspa?forumID=1198

http://www.ibm.com/developerworks/websphere/zones/businessintegration/dp.html
(Also search for “DataPower” within “WebSphere”, “SOA/Web Services” and “XML”)

http://www.ibm.com/developerworks/views/websphere/libraryview.jsp (Search “DataPower”)

IBM Redbooks:

http://www.redbooks.ibm.com/cgi-bin/searchsite.cgi?query=datapower

: IBM WebSphere
DataPower SOA Appliance

http://www.amazon.com/IBM-WebSphere-DataPower-Appliance-Handbook/dp/0137148194

YouTube:

http://www.youtube.com/watch?v=uWYBDviv5Ts&feature=channel

DataPower:

http://www.ibm.com/podcasts/software/websphere/datapower/index.rss

www.ibm.com/software/integration/datapower