Firewall-Cluster eliminiert Tempolimit im Rechenzentrum

Ein hochverfügbares Firewall-Cluster von Fortinet eliminiert das Tempolimit beim Höchstleistungsrechenzentrum Stuttgart. Ein hochverfügbares Firewall-Cluster von Fortinet eliminiert das Tempolimit beim Höchstleistungsrechenzentrum Stuttgart. Foto: Boris Lehner/HLRS

Höchstleistungsrechner sind in Wissenschaft und Industrie mittlerweile unverzichtbar. So ist die Entwicklung von Spitzenprodukten ohne Modellbildung und Supercomputer im härter werdenden globalen Wettbewerb nicht mehr denkbar. In Deutschland stellen drei Bundeshöchstleistungsrechenzentren die Rechenleistung auf Supercomputern bereit – in Stuttgart, Jülich und Garching bei München.

Das Höchstleistungsrechenzentrum Stuttgart (HLRS) wurde 1995 gegründet und ist damit das älteste in diesem Trio von Super-Rechenzentren. Seit 2003 ist das HLRS eine eigenständige zentrale Einrichtung der Universität Stuttgart. Es beherbergt einen der schnellsten Supercomputer Europas und bedient mit seinen Kapazitäten sowohl die Wissenschaft als auch die Industrie in Deutschland und Europa. Als Institut der Universität Stuttgart betreibt das HLRS eigene Forschungsarbeit im Bereich des Höchstleistungsrechnens. Die Schwerpunkte liegen auf den Themen Skalierbarkeit, Leistungsoptimierung, Big Data und Green IT in den Anwendungsbereichen Gesundheit, Umwelt, Energie und Mobilität. Auch die Untersuchung sozialer, politischer und philosophischer Aspekte der Simulationen spielen eine große Rolle. Für seine Forschungsarbeiten wurden die Stuttgarter bereits mehrfach international ausgezeichnet.

Über eine Public-Private-Partnerschaft mit Porsche und T-Systems stehen die Rechner und Services seit 1995 auch der Privatwirtschaft zur Verfügung. So hat das HLRS gemeinsam mit der Automobilindustrie das Automotive Simulation Center Stuttgart (ASCS) gegründet. Diese Entwicklungs- und Forschungsplattform ermöglicht in enger Abstimmung von Automobilherstellern, Zulieferern, Rechnerherstellern und Software-Firmen die vorwettbewerbliche Forschung rund um Mobilität.

Redundanz und hohe Performance sind essentiell

Der Anspruch an die Hochverfügbarkeit und die Performance ist in diesem Umfeld groß und wächst kontinuierlich. Infolgedessen wurde das HLRS 2018 mit leistungsstarken Verbindungen für das Internet sowie für den Anschluss seiner externen Partner und Kunden ausgerüstet. Die bereitgestellten Kapazitäten liegen bei 100 Gigabit pro Sekunde. Die Migration auf die höhere Durchsatzgeschwindigkeit wurde für einige Teile der vorhandenen Infrastruktur allerdings zum Problem. So konnten die bestehenden Sicherheits-Gateways den neuen, höheren Datendurchsatz nicht mehr bewältigen, da sie nur auf 10 Gigabit pro Sekunde ausgelegt waren. Um die sensiblen Daten aus Forschung und Wirtschaft weiterhin sicher zu transportieren, wurden daher neue Firewalls notwendig.

„Wir brauchten eine Firewall, die auf dem neuesten Stand der Technik ist und uns sowohl die geforderten Redundanzen, als auch die entsprechende Bandbreite garantieren konnte, damit wir die Daten unserer akademischen und industriellen Kunden absichern können“, schildert Daniel Sugondo, beim HLRS Verantwortlicher für Networks and Firewalls, die Anforderungen. „Die neue Lösung sollte nicht unbedingt ein Höchstmaß an Features bieten – in erster Linie ging es uns darum, eine Stateful Firewall einzusetzen, die ein VPN-Gateway bereitstellt, damit wir die Endpunkte möglichst nah beieinander platzieren können.“

Die Ausschreibung für das Projekt gewann die in Stuttgart beheimatete indasys IT Systemhaus Gruppe, innerhalb der sich das Team der indasys connectivity auf Themen rund um Netzwerke und Netzwerksicherheit spezialisiert hat. Die Systemhaus-Gruppe hatte vor Jahren beim HLRS schon die vorherige Firewall mit 10 Gigabit pro Sekunde – ebenfalls ein Fortinet-Produkt – installiert. Die Spezialisten des Stuttgarter Systemhauses sind im „Ländle“, aber auch einigen angrenzenden Bundesländern für eine Vielzahl unterschiedlicher Unternehmen und Organisationen tätig. Die Expertise im Security-Markt ist hoch. „Als Teilnehmer an der Ausschreibung des HLRS haben wir natürlich den Markt untersucht und dabei festgestellt, dass es nur wenige Produkte gab, die den Anforderungen des Hochleistungsrechenzentrums entsprachen“, berichtet Sebastian Schwab, der für indasys das HLRS-Projekt plante, realisierte und bis heute verantwortet.

Der Fortinet-Partner schlug für das HLRS eine Lösung auf der Basis der hochverfügbaren Firewall FortiGate 3980E-HA vor, die explizit die Anforderungen abdeckt, die das Hochleistungsrechenzentrum an eine Firewall hat. Damit ist ein sicherer Zugang der akademischen und industriellen Kunden zu den Supercomputern der Einrichtung gewährleistet. Welche Bedeutung der konsequente Schutz durch eine hochverfügbare Firewall für das HLRS hat, zeigt sich in der Zahl der versuchten und abgewehrten Angriffe. Diese liegt laut Aufzeichnungen der Logserver derzeit bei rund hundert pro Sekunde. „Da wir schon vorher gute Erfahrungen mit Fortinet-Produkten und indasys gemacht hatten und Fortinet als einziger Anbieter alle Anforderungen erfüllen konnte, ging der Zuschlag schließlich an die Stuttgarter Systemhaus-Gruppe“, fasst Sugondo die Entscheidung zusammen.

Sorgfältige Planung ist projektentscheidend

Nach der Auftragserteilung machten sich die Experten vom HLRS und die externen Systemintegratoren von indasys noch einmal an die Feinkonzeption. Dabei wurden zahlreiche Fragen geklärt, um einen reibungslosen Projektablauf sicherzustellen, etwa wie die Redundanzprotokolle funktionieren sollen und sich die Anbindung zwischen den beiden räumlich getrennten Lokationen sinnvoll gestalten lässt.

Gemeinsam mit dem HLRS arbeitete indasys dann den Migrationsplan aus, um die bestehende Infrastruktur auf die neue Plattform zu portieren. Vor Ort beim Kunden wurde zudem eine Testumgebung implementiert, um die geplante Firewall in einem möglichst praxisnahen Umfeld zu testen und zu konfigurieren.

Heute ist das HLRS durch ein Clustered-Firewall-System mit zwei separaten Hardware-Elementen im Aktiv-Passiv-Modus geschützt. Der FortiCare-Wartungsvertrag garantiert dem Höchstleistungsrechenzentrum einen lückenlosen Service. Ein entscheidendes Kriterium für den Zuschlag an die Lösung mit FortiGate 3980E-HA war nicht zuletzt die Option, dass sich die beim HLRS vorhandene Anzahl an Anschlüssen mit einen einzigen Firewall-Cluster verbinden ließ, ohne Abstriche bei der Geschwindigkeit machen zu müssen. Diese Möglichkeit war zur Zeit der Projektausschreibung noch ein Alleinstellungsmerkmal. Pro Cluster-Einheit verfügt die Firewall-Lösung über je zehn „100 Gigabit pro Sekunde“-Anschlüsse pro Gerät. Für die notwendige, höchstmögliche Redundanz sorgt die Installation der Geräte an zwei separaten Lokationen. Mit dem Flaggschiff des Firewall-Portfolios von Fortinet werden die sensiblen Daten, die in dem Stuttgarter Höchstleistungsrechenzentrum bewegt werden, in Sekundenbruchteilen komfortabel gescannt. Durch den Firewall-Cluster mit „100 Gigabit pro Sekunde“-Anschlüssen arbeiten akademische und industrielle Kunden heute auf einem zukunftsorientierten Sicherheitsniveau und sind vor Cyber-Attacken geschützt.

back to top