Super-Firewall-Cluster schützt Campusnetz

Wenn es um Supercomputer geht, passen keine Standardlösungen. Ebenso wenig, wenn am Forschungszentrum Jülich der eigene Zugang ins Campus- und Wissenschaftsnetz geschützt werden muss. Eine clevere Lösung mit Potenzial für die Zukunft konnte schließlich überzeugen.

 

In Jülich im Rheinland ist er zu Hause – Europas derzeit schnellster Rechner. Das Forschungszentrum und sein Jülich Supercomputing Centre (JSC) inklusive Partner haben schon einige Varianten von Supercomputern entwickelt, doch mit Juwels besitzt man nun seit November letzten Jahres den flexiblen und energieeffizienten europäischen Spitzenreiter. Dank eines neuen Booster-Moduls sind mittlerweile 85 Petaflops möglich, was 85 Billiarden Rechenoperationen pro ­Sekunde oder der Rechenleistung von mehr als 300.000 modernen PCs entspricht. Auch ganz allgemein gehört das Forschungszentrum Jülich zu den größten inter­disziplinären Forschungszentren Europas. Hier geht man die Lösung wichtiger gesellschaftlicher Herausforderungen in den Bereichen Information, Energie und Bioökonomie an. Seine Rechenkapazität der höchsten Leistungsklasse stellt das JSC europaweit Wissenschaftlern an Universitäten und Forschungseinrichtungen sowie der Industrie zur Verfügung.

 

Dass ein solches Supercomputing Centre ein extrem leistungsfähiges Netz benötigt, leuchtet selbst dem Laien ein. Dementsprechend wurde auch der Netzzugang in das deutsche Wissenschaftsnetz X-WiN im Jahr 2018 auf eine Bandbreite von 2 x 100 Gbit/s erhöht, um den Nutzern einen schnellen Zugang zu den Supercomputer-CPU-Ressourcen und den zuge­hörigen Datenspeichern zu ermöglichen. Diese Er­weiterung stellte das Forschungszentrum gleichzeitig vor eine neue Herausforderung: den Schutz des Netzzugangs weiter zu gewährleisten. Der zentrale Fire­wall-Cluster, der bislang als primärer Eingangspunkt diente, war nun der erhöhten Bandbreite nicht mehr gewachsen. Aus diesem Grund entschied sich das ­Jülich Supercomputing Centre für die Beschaffung eines neuen hochverfügbaren Firewall-Clusters.

 

Die Ansprüche des JSC an den neuen Cluster waren hoch – nicht nur mit Blick auf das Rechenzentrum und seine Leistung. Neben den veränderten Bandbreiten­anforderungen, denen er gerecht werden sollte, gab es zahlreiche weitere Voraussetzungen zu erfüllen. Die Hochverfügbarkeitslösung sollte einerseits hohe ­Sicherheit gewährleisten, aber auch funktionale Verbesserungen liefern und leicht administrierbar sein. Ein Stateful Packet Filter war Bedingung, Application Inspection oder Deep Inspection waren wünschenswert. Ein weiteres Muss waren die funktionale Unterstützung von IPv6 und die Lieferung der geforderten Durchsatzraten für IPv6-Verkehr. Zudem sollte das System auf eine ­Betriebsfähigkeit von mindestens fünf Jahren ausgelegt werden. Alle Leistungsmerkmale wurden schließlich herstellerunabhängig im Rahmen einer europaweiten Ausschreibung veröffentlicht.

Ein in der Nähe ansässiges Systemhaus bot die nach den Bewertungskriterien der Ausschreibung beste ­Lösung. Die auf dem Gebiet der Hochverfügbarkeit erfahrenen Lösungsarchitekten, die schon mehrmals mit dem JSC zusammengearbeitet hatten, ent­wickelten einen cleveren und maßgeschneiderten Ansatz. Als zerti­fizierte Partner des Herstellers Fortinet kannte das Systemhaus SAR aus Baesweiler die Vorteile der Firewall-Cluster des Anbieters für dieses Projekt genau. Denn dank der von Fortinet selbst entwickelten und gebauten Chips besitzt der nun eingesetzte Firewall-Cluster (bestehend aus zwei Fortigate FG-3980E) als einzige Lösung genügend Leistungsstärke, um den Zugang zum Forschungsnetz zu schützen, aber die enorme Bandbreite nicht zu limitieren. Man verfügt so letztendlich über einen Stateful Packet Filter, der die geforderte Leistung in Bezug auf Durchsatz pro Sekunde deutlich übertrifft. Zudem kombiniert die in dieser Form einzig­artige Lösung (Security Fabric) Security-Prozessoren, ein intuitives Betriebssystem und angewandte Threat Intelligence.

 

Gerüstet für weitere Erfolgsprojekte

 

Diesem besonderen Projekt mit hohem Sicherheits- und Leistungsanspruch konnte man schließlich nur mit einer besonderen Lösung beikommen. Wie so oft haben letztendlich Erfahrung und Kooperation zwischen IT-Experten und Hersteller gepunktet. Denn lediglich auf diese Weise konnte ein Ergebnis erzielt werden, dass selbst den Ansprüchen eines Supercomputing Centres gerecht wird. Für die nächsten Jahre ist der Zugang zum Super-Campusnetz nun ge­sichert: Zur Ausschreibung gehört zusätzlich ein Fünfjahresvertrag für Wartung und Produktweiterentwicklung.

 

Auch hier stellt der Dienstleister hohe Anforderungen an sich selbst: Das Forschungszentrum erhält bei Ausfall einer Komponente den Ersatz innerhalb von vier Stunden, damit der Betrieb am Forschungszentrum Jülich schnell wieder hochverfügbar ist. Jülich profitiert hierbei von Sicherheitslösungen mit preisgekrönter Leistung, mehr Transparenz und stärkerer Kontrolle. ­Zusätzlich punktet das Gesamtsystem durch eine einfachere Adminis­tration des Gesamtsystems. Da die Fortinet-Produkte sehr detailliert aufeinander abgestimmt sind, ist das JSC damit gleichzeitig auch bestens für Erweiterungen in der Zukunft und die Entwicklung weiterer Supercomputer gerüstet.

 

Die Forschungszentrum Jülich GmbH …

… ist eine der renommiertesten Forschungseinrichtungen Deutschlands und betreibt, gestützt auf die Schlüsselkompetenzen Physik und Supercomputing, interdisziplinäre Forschung in den Bereichen Gesundheit, Energie und Umwelt sowie Information. Mit seinen rund 6.150 Mitarbeitern gehört das 1956 in NRW gegründete Institut zu den größten Forschungseinrichtungen Europas.

 

Dieser Artikel ist zuerst erschienen in der Printausgabe 05/2021 der ITDirector.

Bildquelle: Forschungszentrum Jülich/Wilhelm-Peter Schneider

Systemhaus SAR GmbH