Oplon Global Distributed Gateway release 10 è uscita!

06-10-2020 | 8 min di lettura

Oplon Global Distributed Gateway release 10 introduce tantissime novità. Quattro anni di sviluppo, 2 nuovi moduli, decine di nuove funzionalità ne fanno una major release di grande innovazione.

Già dal login iniziale la distribuzione si arricchisce di informazioni che possono mantenere sempre aggiornati chi utilizza con passione gli strumenti Oplon.

Oltre a dare indicazioni sull’ultima versione rilasciata, la pagina iniziale contiene i link alle nostre pagine social e alle ultime news che informano costantemente sulle evoluzioni dei prodotti ma anche approfondimenti su temi specifici sviluppati dallo staff Oplon.

oplon gdg screenshot 1

NOTA: All’atto della stesura di questo documento l’ultima versione rilasciata è la 9.9.13 e la 10 è in fase di rilascio.

Preparazione all’installazione

La nuova versione della suite Oplon è completamente retrocompatibile con le versioni precedenti. Anche le impostazioni degli utenti delle versioni precedenti pur implementando le funzionalità multitenancy.

GDG core: Multitenancy

La multitenancy è ora parte fondamentale della suite Oplon. Con la multitenancy è possible assegnare la gestione di differenti moduli ad altrettanti utilizzatori che potranno agire sulle proprie pertinenze senza avere la possibilità di interagire con altri tenant.

Questa tecnologia permette diversi tipi di applicazione che può essere applicata da ambiti tecnici a organizzativi fino agli ambiti commerciali.

È infatti possibile far gestire separatamente le diverse funzionalità della suite a persone o gruppi di persone, differenti in ottemperanza delle politiche organizzative interne.

È anche possibile assegnare a persone o gruppi di persone differenti, moduli da gestire autonomamente, come ad esempio gli Application Delivery Controller (ADC), sfruttando commercialmente l’utilizzo delle funzionalità per più organizzazioni.

oplon gdg screenshot 2

Oltre alla gestione per singoli Tenant , questi si possono raggruppare in Resourse group in modo da poter assegnare la gestione di più tenant a persone o gruppi differenti. Questa funzionalità agevola la gestione di più integratori su differenti raggruppamenti di risorse assegnate a più clienti.

La funzionalità è stata studiata appositamente per grosse organizzazioni o provider per poter condividere le risorse con più clienti e sfruttare al massimo la potenza di calcolo dei moderni sistemi.

ADC module: HTTP/2 Bridge - HTTP 1.1

Una funzionalità potentissima! HTTP/2 Bridge permette alle applicazioni HTTP 1.1 esistenti di essere esposte in Internet con il nuovo protocollo HTTP/2 senza necessità di modificare o riconfigurare gli application server o i web server.

Come funziona HTTP/2?

Il protocollo HTTP/2 è stato implementato per diminuire il numero di connessioni TCP/IP per ogni singolo client da innumerevoli ad una (1) connessione mantenendo nel contempo l’utilizzo parallelo di più risorse tipico di HTTP 1.0 e HTTP 1.1.

Per questo motivo HTTP/2 implementa il multiplexing dell’unico canale TCP/IP frammentando più flussi paralleli in frame multipli che attraversano il canale TCP/IP. I frame, una volta arrivati dalla parte opposta, vengono ricomposti dal ricevente e parallelizzati nuovamente. I trasferimenti dati sono in doppio flusso (full duplex) client to server e server to client.

image3

Nell’immagine di sopra e di seguito è stato sintetizzato in un disegno quanto avviene all’interno del browser, dove avviene il multiplexing e de-multiplexing dei frame, e quanto avviene all’interno dell’ADC dove i frame vengono ricomposti e parallelizzati verso gli application server/web server. Nel senso opposto, viene eseguito il multiplexing dei response degli application server verso l’unico canale aperto con il client.

image4

Questa funzionalità permette di sfruttare appieno il nuovo protocollo e di non modificare l’infrastruttura applicativa dei datacenter.

La massima compatibilità è garantita con tutte le regole di routing e content rewriting esistenti nelle versioni precedenti e su tutte le funzionalità utilizzate dall’Application Delivery Controller.

Per attivare la funzionalità HTTP/2 bridge è semplicissimo. È sufficiente attivare un nuovo listener, partendo da quello HTTP 1.1 e specificare i parametri HTTP/2 oppure utilizzare l’apposito template:

oplon gdg screenshot 3

ADC module: HTTP/2 Bridge - HTTP 1.0/1.1 autosensing

Niente nella vostra infrastruttura deve essere cambiato per utilizzare HTTP/2!

Se avete delle applicazioni client che non parlano HTTP/2, come ad esempio l’utilizzo di wget su procedure e script, nessun problema.

Oplon ADC è in grado di distinguere anticipatamente il livello di evoluzione del client e impostare la comunicazione su HTTP 1.0/1.1 oppure HTTP/2 in dipendenza del protocollo del client.

Lo stesso listener con lo stesso indirizzo e la stessa porta è quindi utilizzabile indifferentemente per applicazioni che parlano solo HTTP 1.0/1.1 e da applicazioni che parlano anche HTTP/2.

image6

FIM new module: File Integrity Monitoring

Il modulo File Integrity Monitoring (FIM) verifica costantemente l’integrità del sistema che sta tenendo sotto controllo.

FIM è in grado di scoprire manomissioni di file e directory avvisando immediatamente la violazione da parte di intrusi permettendo di ricorrere immediatamente ad azioni di rimedio.

FIM è il modulo che permette di ottenere la certificazione PCI-DSS. PCI-DSS interessa qualunque soggetto tratti una ben precisa informazione: il numero della carta di pagamento (tecnicamente noto come PAN) emessa dai brand Visa, Mastercard, American Express, JCB o Discovery. Quindi tutte le attività commerciali (negozi, alberghi, operatori di e-commerce), le banche, i service provider (fornitori di hosting i tenutari, nel database, dei dati delle carte di credito).

FIM può essere attivato su tutta la suite Oplon per organizzazioni che necessitano di ottenere la certificazione PCI-DSS o le organizzazioni che dispongono di un moderno sistema di sicurezza.

FIM può anche essere installato e attivato anche piattaforme diverse da Oplon per verificare costantemente l’integrità dei file e directory come ad esempio installazioni Apache, JBoss, Tomcat, MySQL, OS Linux. Il sistema è comunque parametrizzabile e può essere configurato per qualsiasi servizio.

oplon gdg screenshot 4

File Integrity Monitoring di Oplon si integra con tutti i sistemi SIEM e di gestione centralizzata allarmi dei datacenter e delle organizzazioni.

GDG module: Let’s Encrypt rinnovo automatico dei certificati

Questa versione aggiunge alla già presente funzionalità di creazione automatica dei certificati digitali Let’s Encypt attraverso protocollo ACME, la possibilità di abilitare il rinnovo automatico dei certificati in scadenza in ottemperanza alle specifiche Let’s Encrypt.

Il sistema verifica costantemente che se il numero di giorni di “avvertimento” dell’imminenza della scadenza del certificato viene raggiunto, entra nella pianificazione di rinnovo. Infatti, con Let’s Encrypt al momento in cui si scrive, pone un limite di 5 richieste contemporanee di rinnovo con una conseguente attesa di 2 minuti per eseguire ulteriori rinnovi. L’algoritmo tiene conto di questi limiti schedulando anticipatamente e in maniera frazionata i rinnovi dei certificati in scadenza.

oplon gdg screenshot 5

oplon gdg screenshot 6

CACERTM new module: Certification Authority & Certificates Manager

Questo nuovo modulo integra ed amplifica la gestione dei certificati digitali per grosse organizzazioni e service provider. Questa funzionalità permette di creare certificati CA root, di firmare ulteriori certificati CA intermediari, di gestire in maniera strutturata grossi volumi di certificati con funzionalità di caricamento massivo (bulk-load) e di export massivo per la distribuzione agli utenti.

Questo modulo permette a grandi organizzazioni di elevare in maniera semplice il livello di sicurezza di accesso alle applicazioni senza il bisogno di utilizzare VPN per applicazioni WEB.

Il sistema, completamente HTML5 via browser, è stato studiato per essere semplice ed intuitivo con operazioni guidate da wizard.

oplon gdg screenshot 7

Operazioni di generazione e manutenzione massiva di certificati sono effettuabili attraverso lo strumento di import da excel facilitando l’intestazione iniziale e potendola delegare anche a personale non relativo all’information technology.

oplon gdg screenshot 11

Nella stessa maniera è possibile effettuare un export massivo di certificati firmati per poterlo agevolmente distribuire agli tenti.

ADC module: Domain loading and executing priority

Con la gestione dei domini (virtual domain) è possibile utilizzare, oltre ai domini, delle espressioni regolari per analizzare il nome del dominio richiesto ed eseguire l’intsradamento verso i servizi applicativi che corrispondono alla regola. In questa versione, visto il grande utilizzo di questa tecnica, sono state apportate le implementazioni per effettuare la scansione in maniera ordinata in base alla impostazione visuale.

A livello visuale è possibile spostare l’ordine dei domini dall’interfaccia grafica per determinare la priorità di analisi e quindi routing durante il runtime.

Questo permette di creare regole di routing semplificate nel caso si gestiscano innumerevoli domini Internet.

oplon gdg screenshot 12

ADC module: TLS 1.3

Da questa versione viene rinnovato completamente lo stack SSL/TLS introducendo il nuovo protocollo TLS 1.3 riducendo drasticamente i tempi di handshake.

Di seguito la rappresentazione grafica del numero di messaggi scambiati per l’instaurazione del canale cifrato con TLS 1.2 e TLS 1.3.

oplon gdg screenshot 14

Anche con questo nuovo protocollo è possibile ottenere Perfect Forward Secrecy con il nuovo set di ciphersuite. In ogni caso, protocoll e le ciphersuite precedenti possono essere ancora utilizzati per applicazioni ancora non aderenti alle nuove implementazioni di sicurezza.

oplon gdg screenshot 13

È possibile differenziare l’utilizzo dei protocolli tra frontend e backend anche per singoli listener e per singoli endpoint garantendo la massima elasticità di utilizzo.

I protocolli supportati sono: TLSv1.3 TLSv1.2 TLSv1.1 TLSv1 SSLv3 SSLv2Hello

ADC module: ALPN protocol

ALPN protocol è pienamente supportato sia nei listeners sia nei servizi di backend (endpoint).

La funzionalità ALPN permette di indicare il protocollo applicativo da utilizzare dopo l’handshake TLS. Unitamente a TLS-SNI fornisce la possibilità di utilizzare un unico indirizzo porta per molteplici protocolli applicativi.

L’implementazione prevede di indicare i protocolli applicativi abilitati e di instradare le richieste in base al valore proposto.

oplon gdg screenshot 16

ADC module: L4/UDP downtime Out Of Order

Con il protocollo UDP a layer 4 è stata data la possibilità di mettere temporaneamente in Out Of Order un endpoint nel momento in cui la risposta attesa supera il timeout impostato. Per attivare la nuova funzionalità è sufficiente, in una comunicazione UDP a layer 4, indicare nell’endpoint un tempo di downtime superiore a 0 millisecondi.

oplon gdg screenshot 17

ADC module: TLS-SNI implementation sniForwarding

Con connessioni TLS-SNI end-to-end terminate nel listener è possibile specificare di eseguire il forwarding del nome host (domain) indicato nell’handshake all’endpoint durante l’handshake di re- encryption.

image20

Rimane la possibilità di instaurare per ogni singolo endpoint una connessione TLS-SNI con un nome dominio diverso da quello indicato nella connessione terminata nel listener.

image21

Oppure una connessione nell’endpoint senza il supporto del protocollo TLS-SNI.

image22

ADC module: New parameters functions

Nuovi parametri per gestire le molteplici attività di routing applicativo sono state implementate alcune funzionalità che rendono più semplice la gestione.

Tra queste sono stati aggiunti i seguenti parametri:

1) redirectToSSL - se impostato e la connessione perviene in chiaro, viene eseguito un redirect con gli stessi valori ma in SSL

2) proxyDestionation - è un nuovo parametri della funzionalità proxy pass. Permette di cambiare l’elemento dell’header “Destination:” con il nuovo valore impostato. Utilizzato soprattutto su connesssione WEBDAV.

3) removePortFromHost – se impostato, permette di rimuovere l’indicazione della porta nell’elemento dell’header Host:. Ad esempio se nell’header HTTP arriva il valore Host: http://www.mydomain.com:4443, al servizio endpoint verrà consegnato Host: http://www.mydomain.com:

ProxyPass

WRSK module: WORKSPACE

Nelle visualizzazioni sintetiche degli ADC sono ora presenti anche i pannelli che evidenziano lo stato delle connessioni con Highwater, Tunnelse Sessions. Questo permette di avere in un singolo punto la visualizzazione dello stato di quello specifico ADC o cluster ADC.

oplon gdg screenshot 18

WRSK module: REST API

Sono state rilasciate funzionalità REST API che permettono in maniera sicura di eseguire operazioni da script. Le funzioni sono auto documentanti attraverso l’help online direttamente da browser.

Accedendo alla console con l’URI https://ip_address:4444/japi/help, dopo essersi autenticati verrà proposta la lista delle API disponibili.

oplon gdg screenshot 19

Entrando nel link di ogni funzione è disponibile l’help per poterla utilizzare al meglio.

oplon gdg screenshot 20

ADC module: New templates

Sono stati implementati nuovi template per facilitare le operazioni di setup dei servizi con l’adeguamento ai nuovi protocolli. In particolare di seguito i nuovi template:

1) HTTP/2 listener: Permette di creare un listener HTTP/2

2) HTTP/2 listener con richiesta del certificato client: Permette di creare un listener HTTP/2 con impostati i parametri di richiesta del certificato client autorizzato tramite certificato digitale censito in un truststore.

3) x-forwarded-headers - http header rewite rule: questa regola introduce nell’header le caratteristiche necessarie per comunicare a WordPress l’utilizzo di un reverse-proxy.

4) RewriteHref_From_Http_To_Https - http body rewrite rule: modifica i body html provenienti dai servizi endpoint da “http” a “https”. Questa regola è utile nei casi in cui i servizi endpoint non siano in SSL e riferiscono dei link non in SSL.

5) OplonHTTPCookieSetOption - http header rewite rule: Su servizi che non prevedono sistemi di sicurezza sui cookie è possibile modificarli on-the-fly in fase di creazione Set- Cookie, per aggiungere le funzionalità che abilitano le nuove implementazioni di sicurezza come sameSite, Max-Age, secure, HttpOnly, Domain...