BranchCache'e Genel Bakış
Uygulama Hedefi: Windows Server 2012, Windows 8
Bilgi Teknolojisi (BT) uzmanları için tasarlanan bu konuda; BranchCache modları, özellikleri, yetenekleri ve farklı işletim sistemlerinde kullanılabilir olan BranchCache işlevselliği de dahil olmak üzere BranchCache hakkında genel bakış bilgisi sağlanmaktadır.
Not
Bu konuya ek olarak, aşağıdaki BranchCache belgeleri kullanılabilir.
- BranchCache Eğitimi Yol Haritası
- BranchCache'deki Yenilikler
- BranchCache Network Shell ve Windows PowerShell Komutları
- BranchCache Dağıtım Kılavuzu
- Çekirdek Ağ Yardımcı Kılavuzu: BranchCache Barındırılan Önbellek Modu Dağıtma
- BranchCache ile İlgili Sık Sorulan Sorular
- Windows Server 2008 R2 için BranchCache
BranchCache ile kimler ilgilenir?
Sistem yöneticisi, ağ veya depolama çözümü mimarı veya başka bir BT uzmanıysanız BranchCache aşağıdaki durumlarda ilginizi çekebilir:
Şubelerden ana ofise geniş alan ağı (WAN) bağlantısı ve iki veya daha fazla fiziksel konumu olan bir kuruluş için BT altyapısını tasarladığınızda ya da desteklediğinizde.
Bulut teknolojilerini dağıtan ve uzak konumlardaki veri ve uygulamalara erişmek için çalışanlar tarafından WAN bağlantısının kullanıldığı bir kuruluş için BT altyapısını tasarladığınızda veya desteklediğinizde.
Şubeler ile ana ofis arasındaki ağ trafiği miktarını azaltarak WAN bant genişliği kullanımını iyileştirmek istediğinizde.
Ana ofisinizde, bu konuda açıklanan yapılandırmalarla eşleşen içerik sunucularını dağıttığınızda veya dağıtmayı planladığınızda.
Şubelerinizdeki istemci bilgisayarlar Windows® 8 veya Windows® 7 çalıştırdığında.
Bu konuda aşağıdaki senaryolar yer almaktadır:
BranchCache nedir?
BranchCache modları
BranchCache özellikli içerik sunucuları
BranchCache ve bulut
İçerik bilgisi sürümleri
BranchCache, dosyalarda içerik güncelleştirmelerini nasıl işler?
BranchCache yükleme kılavuzu
BranchCache için işletim sistemi sürümleri
BranchCache Güvenliği
İçerik akışı ve işlemler
Önbellek Güvenliği
BranchCache nedir?
BranchCache, bazı Windows Server® 2012 ve Windows® 8 sürümlerinin yanı sıra bazı Windows Server® 2008 R2 ve Windows® 7 işletim sistemi sürümlerinde yer alan geniş alan ağı (WAN) bant genişliği iyileştirme teknolojisidir. Kullanıcılar uzak sunuculardaki içeriğe eriştiğinde WAN bant genişliğini iyileştirmek için BranchCache, ana ofisinizden veya barındırılan bulut içerik sunucularından içeriği kopyalayıp şube ofisi konumlarında önbelleğe kaydederek şube ofislerindeki istemci bilgisayarların WAN üzerinden değil, yerel olarak içeriğe erişmesine olanak sağlar.
Şubelerde içerik, önbelleği barındıracak şekilde yapılandırılan sunucularda depolanır veya şube ofisinde bir sunucu kullanılabilir olmadığında, Windows 8 ya da Windows 7 çalıştıran istemci bilgisayarlarda depolanır. Bir istemci bilgisayar, ana ofisten içerik isteyip aldıktan ve içerik şube ofisinde önbelleğe alındıktan sonra, aynı şube ofisindeki diğer bilgisayarlar WAN bağlantısı üzerinden içerik sunucusundan içeriği indirmek yerine yerel olarak içeriği alabilir.
İstemci bilgisayarlar tarafından aynı içerik için daha sonra istekler yapıldığında istemciler, gerçek içerik yerine sunucudan içerik bilgilerini indirir. İçerik bilgileri, özgün içerik öbekleri kullanılarak hesaplanan karmalardan oluşur ve özgün verilerdeki içeriğe kıyasla son derece küçüktür. Önbellek ister istemci bilgisayarda isterse sunucuda bulunsun, istemci bilgisayarlar, şube ofisindeki önbellekten içeriği bulmak için içerik bilgilerini kullanır. İstemci bilgisayarlar ve sunucular, önbelleğe alınan içeriğe yetkisiz kullanıcıların erişememesi için bu içeriği güvenli hale getirmek üzere içerik bilgilerini de kullanabilir.
BranchCache, şube ofislerindeki istemciler ve sunucular için içerik sorgusu yanıt sürelerini artırarak son kullanıcı üretkenliğini artırır ve WAN bağlantıları üzerinden trafiği azaltarak ağ performansının artırılmasına da yardımcı olabilir.
BranchCache modları
BranchCache'nin iki çalışma modu vardır: dağıtılmış önbellek modu ve barındırılan önbellek modu.
Dağıtılmış önbellek modunda BranchCache'i dağıttığınızda, şube ofisindeki içerik önbelleği, istemci bilgisayarlar arasında dağıtılır.
Barındırılan önbellek modunda BranchCache'i dağıttığınızda, şube ofisindeki içerik önbelleği, barındırılan önbellek sunucusu adı verilen bir veya daha fazla sunucu bilgisayarda barındırılır.
Not
Her iki modu kullanarak BranchCache'i dağıtabilirsiniz, ancak her şube ofisi için yalnızca bir mod kullanılabilir. Örneğin, biri sunucu içeren ve diğeri sunucu içermeyen iki şube ofisiniz varsa, bir yandan yalnızca istemci bilgisayarlar içeren ofiste dağıtılmış önbellek modunda BranchCache'i dağıtırken diğer yandan sunucu içeren ofiste barındırılan önbellek modunda BranchCache'i dağıtabilirsiniz.
Aşağıdaki çizimde BranchCache her iki modda dağıtılır.
.jpeg "BranchCache modları")
Dağıtılmış önbellek modu, barındırılan önbellek sunucusu olarak kullanılacak yerel bir sunucu içermeyen küçük şube ofisleri için idealdir. Dağıtılmış önbellek modu, şube ofislerinde ek bir donanım olmadan BranchCache'i dağıtmanıza olanak sağlar.
BranchCache'i dağıtmak istediğiniz şube ofisi, diğer iş yüklerini çalıştıran bir veya daha fazla sunucu gibi ek altyapı içeriyorsa, BranchCache'in barındırılan önbellek modunda dağıtılması aşağıdaki nedenlerle yararlıdır:
Daha yüksek önbellek kullanılabilirliği
Başlangıçta verileri isteyip önbelleğe alan istemci çevrimdışı olduğu halde içerik kullanılabilir olduğundan, barındırılan önbellek modu, önbellek verimliliğini artırır. Barındırılan önbellek sunucusu her zaman kullanılabilir olduğundan, ne kadar çok içerik önbelleğe alınıp büyük ölçüde WAN bant genişliği tasarrufu sağlanırsa, BranchCache verimliliği de o kadar artar.
Birden çok alt ağ şube ofisi için merkezileştirilmiş önbelleğe alma
Dağıtılmış önbellek modu tek bir alt ağda çalışır. Dağıtılmış önbellek modu için yapılandırılmış birden çok alt ağlı şube ofisinde bir alt ağa indirilen dosya, diğer alt ağlardaki istemci bilgisayarlarla paylaşılamaz. Bu nedenle diğer alt ağlardaki istemciler, işlemde WAN bant genişliğini kullanarak dosyanın önceden indirilmiş olduğunu keşfedemez ve ana ofis içerik sunucusundan dosyayı alamaz. Ancak barındırılan önbellek modunu dağıttığınızda bu durum söz konusu değildir; birden çok alt ağlı şube ofisindeki tüm istemciler, istemciler farklı alt ağlarda olsa da, barındırılan önbellek sunucusunda depolanan tek bir önbelleğe erişebilir. Ayrıca Windows Server 2012 sürümündeki BranchCache, her şube ofisi için birden fazla barındırılan önbellek sunucusunu dağıtma yeteneği sağlar.
Uyarı
Dosya ve klasörlerin SMB önbelleğe alımı için BranchCache'i kullanırsanız Çevrimdışı Dosyaları devre dışı bırakmayın. Çevrimdışı Dosyaları devre dışı bırakırsanız SMB önbelleğe alma düzgün çalışmaz.
BranchCache özellikli içerik sunucuları
BranchCache'i dağıttığınızda kaynak içerik, ana ofisinizde BranchCache özellikli içerik sunucularında depolanır. BranchCache tarafından aşağıdaki içerik sunucusu türleri desteklenir:
Not
Yalnızca kaynak içerik (başka bir deyişle, istemci bilgisayarların BranchCache özellikli bir içerik sunucusundan başlangıçta aldığı içerik), BranchCache tarafından hızlandırılır. İstemci bilgisayarların Windows Update veya İnternet'teki Web sunucuları gibi diğer kaynaklardan doğrudan aldığı içerik, istemci bilgisayarlar veya barındırılan önbellek sunucuları tarafından önbelleğe alınmaz ve sonra şube ofisindeki diğer bilgisayarlarla paylaşılmaz. Ancak Windows Update içeriğini hızlandırmak istiyorsanız, ana ofisinizde bir Windows Server Update Services (WSUS) uygulama sunucusu yükleyebilir ve onu bir BranchCache içerik sunucusu olarak yapılandırabilirsiniz.
Web sunucuları
Desteklenen Web sunucuları arasında, Web Sunucusu (IIS) sunucu rolü yüklenmiş olan ve Hypertext Transfer Protocol (HTTP) veya HTTP Secure (HTTPS) kullanan, Windows Server 2012 veya Windows Server® 2008 R2 çalıştıran bilgisayarlar yer alır. Ayrıca, Web sunucusunda BranchCache özelliği yüklü olmalıdır.Windows Server 2012 sürümündeki Web Sunucusu (IIS) hakkında daha fazla bilgi için bkz. Web Server (IIS).
Dosya sunucuları
Desteklenen dosya sunucuları arasında, Dosya Hizmetleri sunucu rolüne sahip olan ve Ağ Dosyaları için BranchCache rol hizmeti yüklenmiş olan, Windows Server 2012 veya Windows Server 2008 R2 çalıştıran bilgisayarlar yer alır. Bu dosya sunucuları, bilgisayarlar arasında bilgi alışverişi için Sunucu İleti Bloğunu (SMB) kullanır. Dosya sunucunuzun yüklemesini tamamladıktan sonra, BranchCache'i etkinleştirmek için klasörleri de paylaşmanız ve Grup İlkesini veya Yerel Bilgisayar İlkesini kullanarak paylaşılan klasörler için karma oluşturmayı etkinleştirmeniz gerekir.Windows Server 2012 sürümündeki Dosya ve Depolama Hizmetleri hakkında daha fazla bilgi için bkz. Dosya ve Depolama Hizmetleri.
Uygulama sunucuları
Desteklenen uygulama sunucuları arasında, Arka Plan Akıllı Aktarım Hizmeti yüklenmiş ve etkinleştirilmiş olan, Windows Server 2012 veya Windows Server 2008 R2 çalıştıran bilgisayarlar yer alır. Ayrıca, uygulama sunucusunda BranchCache özelliği yüklü olmalıdır. Örneğin, BranchCache içerik sunucuları olarak Microsoft Windows Server Update Services (WSUS) ve Microsoft System Center Configuration Manager Branch Distribution Point sunucularını dağıtabilirsiniz.
BranchCache ve bulut
Bulut önemli ölçüde işletim giderlerini azaltma ve yeni ölçek düzeyleri elde etme potansiyeline sahiptir, ancak iş yüklerinin o iş yüklerine bağlı olan kişilerden uzağa taşınması, ağ maliyetlerini artırabilir ve üretkenliği olumsuz etkileyebilir. Kullanıcılar yüksek performans bekler ve uygulamalarının ve verilerinin nerede barındırıldığını umursamaz. BranchCache, paylaşılan veri önbelleği ile ağa bağlı uygulamaların performansını artırabilir ve bant genişliği tüketimini azaltabilir. Bu, çalışanların bulutta dağıtılan sunucuları kullandığı şube ofislerinde ve genel merkezlerde üretkenliği artırır.
BranchCache, yeni donanım veya ağ topolojisi değişiklikleri gerektirmediğinden, ofis konumları ile hem genel hem de özel bulutlar arasındaki iletişimi artırmaya yönelik mükemmel bir çözümdür.
Windows Server 2012 sürümündeki bulut teknolojileri hakkında daha fazla bilgi için bkz. Bulut Altyapınızı Oluşturma.
İçerik bilgisi sürümleri
İki içerik bilgisi sürümü vardır:
Windows Server 2008 R2 ve Windows 7 çalıştıran bilgisayarlarla uyumlu içerik bilgileri, sürüm 1 veya V1 olarak adlandırılır. V1 BranchCache dosya kesimlere ayırma ile dosya kesimleri, V2'den daha büyüktür ve sabit boyutludur. Büyük sabit kesim boyutları nedeniyle, bir kullanıcı dosya uzunluğunu değiştiren bir değişiklik yaptığında, yalnızca değişikliği içeren kesim geçersiz kılınmakla kalmaz, dosyanın sonuna kadarki tüm kesimler de geçersiz kılınır. Değişiklikten sonra tüm içerik ve değiştirilen içerik WAN bağlantısı üzerinden gönderildiğinden, değiştirilen dosya için şube ofisindeki başka bir kullanıcı tarafından yapılan bir sonraki çağrı, WAN bant genişliği tasarrufunda azalmayla sonuçlanır.
Windows Server 2012 ve Windows 8 çalıştıran bilgisayarlarla uyumlu içerik bilgileri, sürüm 2 veya V2 olarak adlandırılır. V2 içerik bilgileri, dosya içindeki değişikliklere daha dayanıklı olan, daha küçük, değişken boyutlu kesimler kullanır. Bu, kullanıcılar güncelleştirilmiş bir sürüme eriştiğinde dosyanın daha eski bir sürümündeki kesimlerin yeniden kullanılabilme olasılığını artırarak kullanıcıların içerik sunucusundan yalnızca dosyanın değiştirilen kısmını almasına neden olarak daha az WAN bant genişliği kullanır.
Aşağıdaki tablo, BranchCache dağıtımınızda hangi istemci, içerik sunucusu ve barındırılan önbellek sunucusu işletim sistemlerini kullandığınıza bağlı olarak kullanılan içerik bilgisi sürümüyle ilgili bilgi sağlar.
Not
Aşağıdaki tabloda, “OS” kısaltması, işletim sistemi demektir.
| İstemci OS | İçerik Sunucusu OS | Barındırılan Önbellek Sunucusu OS | İçerik Bilgisi Sürümü |
|---|---|---|---|
| Windows Server 2008 R2 ve Windows 7 | Windows Server 2012 veya Windows Server 2008 R2 | Windows Server 2012 veya Windows Server 2008 R2; dağıtılmış önbellek modu için yok | V1 |
| Windows Server 2012 ve Windows 8 | Windows Server 2008 R2 | Windows Server 2012 veya Windows Server 2008 R2; dağıtılmış önbellek modu için yok | V1 |
| Windows Server 2012 ve Windows 8 | Windows Server 2012 | Windows Server 2008 R2; dağıtılmış önbellek modu için yok | V1 |
| Windows Server 2012 ve Windows 8 | Windows Server 2012 | Windows Server 2012; dağıtılmış önbellek modu için yok | V2 |
Windows Server 2012 çalıştıran içerik sunucularınız ve barındırılan önbellek sunucularınız olduğunda bunlar, bilgileri isteyen BranchCache istemcisinin işletim sistemi temelinde uygun olan içerik bilgisi sürümünü kullanır.Windows Server 2012 ve Windows 8 çalıştıran bilgisayarlar içerik istediğinde içerik ve barındırılan önbellek sunucuları, V2 içerik bilgilerini kullanır; Windows Server 2008 R2 ve Windows 7 çalıştıran bilgisayarlar içerik istediğinde içerik ve barındırılan önbellek sunucuları V1 içerik bilgilerini kullanır.
Dağıtılmış önbellek modunda BranchCache'i dağıttığınızda, farklı içerik bilgisi sürümlerini kullanan istemciler içeriği birbiriyle paylaşmaz.
BranchCache, dosyalarda içerik güncelleştirmelerini nasıl işler?
Şube ofisi kullanıcıları belge içeriklerini değiştirdiğinde veya güncelleştirdiğinde, değişiklikleri BranchCache'in müdahalesi olmadan doğrudan ana ofisteki içerik sunucusuna yazılır. Kullanıcı belgeyi içerik sunucusundan indirmiş olsa da, şube ofisindeki barındırılan veya dağıtılmış önbellekten alınmış olsa da bu söz konusudur.
Değiştirilen dosya, şube ofisindeki farklı bir istemci tarafından istendiğinde, ana ofis sunucusundan dosyanın yeni kesimleri indirilir ve o şubedeki dağıtılmış veya barındırılan önbelleğe eklenir. Bu nedenle şube ofisi kullanıcıları her zaman önbelleğe alınan içeriğin en son sürümlerini alır.
BranchCache yükleme kılavuzu
Dosya Hizmetleri sunucu rolünün BranchCache özelliğini veya Ağ Dosyaları için BranchCache rol hizmetini yüklemek için Windows Server 2012 sürümündeki Sunucu Yöneticisi'ni kullanabilirsiniz. Rol hizmetinin mi yoksa özelliğin mi yükleneceğini belirlemek için aşağıdaki tabloyu kullanabilirsiniz.
| İşlevsellik | Bilgisayar konumu | Bu BranchCache öğesini yükleyin |
|---|---|---|
| İçerik sunucusu (BITS tabanlı uygulama sunucusu) | Ana ofis veya bulut veri merkezi | BranchCache özelliği |
| İçerik sunucusu (Web sunucusu) | Ana ofis veya bulut veri merkezi | BranchCache özelliği |
| İçerik sunucusu (SMB protokolünü kullanan dosya sunucusu) | Ana ofis veya bulut veri merkezi | Dosya Hizmetleri sunucu rolünün Ağ Dosyaları için BranchCache rol hizmeti |
| Barındırılan önbellek sunucusu | Şube ofisi | Barındırılan önbellek sunucusu modu etkinleştirilmiş şekilde BranchCache özelliği |
| BranchCache özellikli istemci bilgisayar | Şube ofisi | Yükleme gerekmez; tek yapmanız gereken istemcide BranchCache'i ve bir BranchCache modunu (dağıtılmış veya barındırılan) etkinleştirmektir |
Rol hizmetini veya özelliği yüklemek için Sunucu Yöneticisi'ni açın ve BranchCache işlevini etkinleştirmek istediğiniz bilgisayarları seçin. Sunucu Yöneticisi'nde Yönet'e ve ardından Rol ve Özellik Ekle'ye tıklayın.Rol ve Özellik Ekle sihirbazı açılır. Sihirbazı çalıştırırken aşağıdaki seçimleri yapın:
Yükleme Türünü Seçin sihirbaz sayfasında Rol tabanlı ve özellik tabanlı yükleme'yi seçin.
Sunucu Rollerini Seç sihirbaz sayfasında, BranchCache özellikli dosya sunucusu yüklüyorsanız Dosya Hizmetleri'ni seçin. Daha sonra sihirbaz yapılandırma işleminde de Ağ Dosyaları için BranchCache'i seçin. BranchCache özellikli bir dosya sunucusunu yüklemek istemiyorsanız, Ağ Dosyaları için BranchCache rol hizmeti ile Dosya Hizmetleri rolünü yüklemeyin.
Özellikleri seç sihirbaz sayfasında, dosya sunucusu olmayan bir içerik sunucusu yüklüyorsanız veya bir barındırılan önbellek sunucusu yüklüyorsanız BranchCache seçeneğini belirleyin. Dosya sunucusu veya barındırılan önbellek sunucusundan başka bir içerik sunucusu yüklemek istemiyorsanız BranchCache özelliğini yüklemeyin.
BranchCache için işletim sistemi sürümleri
Aşağıda, farklı türlerde BranchCache işlevlerini destekleyen işletim sistemlerinin bir listesi yer almaktadır.
BranchCache istemci bilgisayarı işlevselliği için işletim sistemleri
Windows® 8 Enterprise
Windows® 7 Enterprise
Windows® 7 Ultimate
BranchCache içerik sunucusu işlevselliği için işletim sistemleri
Windows Server 2012 işletim sistemi ailesi, BranchCache içerik sunucuları olarak kullanılabilir.
Ayrıca Windows Server® 2008 R2 işletim sistemi ailesi de aşağıdaki istisnalarla birlikte BranchCache içerik sunucuları olarak kullanılabilir:
BranchCache, Hyper-v ile Windows Server® 2008 R2 Enterprise sürümünün Sunucu Çekirdeği yüklemelerinde desteklenmez.
BranchCache, Hyper-v ile Windows Server® 2008 R2 Datacenter sürümünün Sunucu Çekirdeği yüklemelerinde desteklenmez.
BranchCache barındırılan önbellek sunucusu işlevselliği için işletim sistemleri
Windows Server 2012 işletim sistemi ailesi, BranchCache barındırılan önbellek sunucuları olarak kullanılabilir.
Ayrıca aşağıdaki Windows Server® 2008 R2 işletim sistemleri de BranchCache barındırılan önbellek sunucuları olarak kullanılabilir:
Windows Server® 2008 R2 Enterprise
Hyper-V ile Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Enterprise Sunucu Çekirdeği Yüklemesi
Hyper-V ile Windows Server 2008 R2 Enterprise Sunucu Çekirdeği Yüklemesi
Itanium Tabanlı Sistemler için Windows Server 2008 R2
Windows Server® 2008 R2 Datacenter
Hyper-V ile Windows Server® 2008 R2 Datacenter
Hyper-V ile Windows Server 2008 R2 Datacenter Sunucu Çekirdeği Yüklemesi
BranchCache Güvenliği
BranchCache, ek ekipman veya karmaşık ek güvenlik yapılandırması gerekmeden mevcut ağ güvenliği mimarilerinizde sorunsuz şekilde çalışan, tasarımı gereği güvenli bir yaklaşım uygular.
BranchCache, bozucu değildir ve herhangi bir Windows kimlik doğrulama veya yetkilendirme işlemini değiştirmez. BranchCache'i dağıttıktan sonra kimlik doğrulama, etki alanı kimlik bilgileri kullanılarak gerçekleştirilmeye devam eder ve Erişim Denetim Listeleri (ACL) ile yetkilendirmenin çalışma şekli değişmez. Ayrıca diğer yapılandırmalar, BranchCache dağıtımından önce olduğu gibi çalışmaya devam eder.
BranchCache güvenlik modeli, karma serisi biçimini alan meta verilerin oluşturulmasını temel alır. Bu karmalar, içerik bilgisi olarak da adlandırılır.
İçerik bilgisi oluşturulduktan sonra, gerçek veriler yerine BranchCache ileti alışverişlerinde kullanılır ve desteklenen protokoller (HTTP, HTTPS ve SMB) kullanılarak gönderilip alınır.
Önbelleğe alınan veriler şifrelenmiş şekilde tutulur ve özgün kaynaktaki içeriğe erişme izni olmayan istemciler tarafından erişilemez. İstemcilerin içerik meta verilerini alabilmesi için önce kimliğinin doğrulanması ve yetkilendirilmesi ve yerel ofisteki önbelleğe erişmek için içerik meta verilerine sahip olması gerekir.
BranchCache nasıl içerik bilgisi oluşturur?
Birden çok öğeden içerik bilgisi oluşturulduğundan, içerik bilgisinin değeri her zaman benzersizdir. Bu öğeler şunlardır:
Karmaların türetildiği gerçek içerik (örneğin, Web sayfaları veya paylaşılan dosyalar).
Karma algoritması ve blok boyutu gibi yapılandırma parametreleri. İçerik bilgisi oluşturmak için içerik sunucusu, içeriği kesimlere böler ve sonra da bu kesimleri bloklara ayırır. BranchCache, her bir blok ve kesimi belirlemek ve doğrulamak için güvenli şifreleme karmalarını kullanarak SHA256 karma algoritmasını destekler.
Sunucu gizli anahtarı. Tüm içerik sunucuları, rastgele uzunlukta ikili değer olan bir sunucu gizli anahtarı ile yapılandırılmalıdır.
Not
Sunucu gizli anahtarı kullanılması, istemci bilgisayarların kendi başına içerik bilgisi oluşturamamasını sağlar. Bu, kötü niyetli kullanıcıların, istemcinin önceki bir sürüme erişiminin olduğu, ancak geçerli sürüme erişiminin olmadığı durumlarda sürümler arasındaki küçük içerik değişikliklerini tahmin etmek için BranchCache özellikli istemci bilgisayarlarla deneme yanılma saldırılarını kullanmasını önler.
İçerik bilgisi ayrıntıları
BranchCache, yetkili istemcilere gönderilen içeriğe özgü bir karma türetmek için anahtar olarak sunucu gizli anahtarını kullanır. Birleşik sunucu gizli anahtarına bir karma algoritması uygulandığında, Veri Karması bu karmayı oluşturur.
Bu karma, kesim gizli anahtarı olarak adlandırılır. BranchCache, iletişimlerin güvenliğini sağlamak için kesim gizli anahtarlarını kullanır. Ayrıca BranchCache, karma veri bloklarının listesi olan bir Blok Karma Listesini ve Blok Karma Listesi karıştırılarak oluşturulan bir Veri Karmasını oluşturur.
İçerik bilgisi aşağıdakileri içerir:
Blok Karma Listesi:
BlockHashi = Hash(dataBlocki) 1<=i<=nVeri Karması (HoD):
HoD = Hash(BlockHashList)Kesim Gizli Anahtarı (Kp):
Kp = HMAC(Ks, HoD)
BranchCache, içerik önbellekleri arasında verilerin güvenli şekilde önbelleğe alınması ve alınmasını sağlamak için gerekli işlemleri uygulamak üzere Eş İçerik Önbelleğe Alma protokolünü ve Alma Çerçevesi protokolünü kullanır.
Ayrıca BranchCache, gerçek içeriği işlerken ve iletirken kullandığı aynı güvenlik derecesiyle içerik bilgilerini işler.
İçerik akışı ve işlemler
İçerik bilgilerinin akışı ve gerçek içerik dört aşamaya ayrılır:
BranchCache işlemleri: İçerik isteme
BranchCache işlemleri: İçerik bulma
BranchCache işlemleri: İçeriği alma
BranchCache işlemleri: Önbellek içeriği
Aşağıdaki bölümlerde bu aşamalar açıklanmaktadır.
BranchCache işlemleri: İçerik isteme
Birinci aşamada, şube ofisindeki istemci bilgisayar, ana ofis gibi uzak bir konumdaki içerik sunucusundan dosya veya Web sayfası gibi içerikleri ister. İçerik sunucusu, istemci bilgisayarın istenen içeriği alma yetkisinin olduğunu doğrular. İstemci bilgisayarın yetkisi varsa ve hem içerik sunucusu hem de istemci BranchCache özellikliyse içerik sunucusu, içerik bilgilerini oluşturur.
İçerik sunucusu, gerçek içerik için kullanılanla aynı protokolü kullanarak istemci bilgisayara içerik bilgilerini gönderir. Örneğin, istemci bilgisayarı HTTP üzerinden bir Web sayfası istediyse içerik sunucusu, HTTP kullanarak içerik bilgilerini gönderir. Bu nedenle, içerik bilgileri ve içeriğin hat düzeyinde güvenlik garantileri aynıdır.
İçerik bilgilerinin ilk kısmı (Veri Karması + Kesim Gizli Anahtarı) alındıktan sonra istemci bilgiler aşağıdaki eylemleri gerçekleştirir:
Şifreleme anahtarı (Ke) olarak Kesim Gizli Anahtarını (Kp) kullanır.
HoD ve Kp içinden Kesim Kimliğini (HoHoDk) oluşturur:
HoHoDk = HMAC(Kp, HoD + C), where C is the ASCII string “MS_P2P_CACHING” with NUL terminator.
Bu katmandaki birincil tehdit, Kesim Gizli Anahtarı üzerindeki risktir; ancak BranchCache, Kesim Gizli Anahtarını korumak için içerik veri bloklarını şifreler. BranchCache, içerik bloklarının bulunduğu içerik kesiminin Kesim Gizli Anahtarından türetilen şifreleme anahtarını kullanarak bunu yapar. Bu yaklaşım, sunucu gizli anahtarına sahip olmayan bir varlığın bir veri bloğundaki gerçek içeriği bulamamasını sağlar. Belirli bir kesim için Kesim Gizli Anahtarının, bir varlığın eşlerinden kesimi almasını ve şifresini çözmesini sağladığı bilindiğinden Kesim Gizli Anahtarı, düz metin kesimiyle aynı güvenlik derecesiyle değerlendirilir. Sunucu Gizli Anahtarının bilinmesi hemen herhangi bir düz metin oluşturmaz, ancak şifre metninden belirli veri türlerini türetmek ve kısmen bilinen verileri deneme yanılma saldırılarına ifşa etmek için kullanılabilir. Bu nedenle sunucu gizli anahtarı gizli tutulmalıdır.
BranchCache işlemleri: İçerik bulma
İstemci bilgisayar tarafından içerik bilgileri alındıktan sonra istemci, söz konusu önbellek ister istemci bilgisayarlar arasında dağıtılmış olsun, isterse barındırılan önbellek sunucusunda bulunuyor olsun, yerel şube ofisi önbelleğinde istenen içeriği bulmak için Kesim Kimliğini kullanır.
İstemci bilgisayar, barındırılan önbellek modu için yapılandırıldıysa, barındırılan önbellek sunucusunun bilgisayar adıyla yapılandırılır ve içeriği almak için bu sunucuyla iletişim kurar.
Ancak istemci bilgisayar, dağıtılmış önbellek modu için yapılandırıldıysa içerik, şube ofisinde birden çok bilgisayardaki birden çok önbellekte depolanabilir. İçerik alınmadan önce istemci bilgisayarın içeriğin nerede bulunduğunu keşfetmesi gerekir.
Dağıtılmış önbellek modu için yapılandırıldığında istemci bilgisayarlar, Web Hizmetleri Dinamik Bulma (WS-Bulma) protokolü temelinde bir bulma protokolü kullanarak içeriği bulur. İstemciler, önbelleğe alınan içeriği ağ üzerinden bulmak için WS-Bulma çok noktaya yayın Araştırma iletileri gönderir. Araştırma iletileri, istemcilerin istenen içeriğin önbelleklerinde depolanan içerikle eşleşip eşleşmediğini kontrol etmesini sağlayan Kesim Kimliğini içerir. Kesim Kimliği, yerel olarak önbelleğe alınan içerikle eşleşirse, ilk Araştırma iletisini alan istemciler, tek noktaya yayın Araştırma-Eşleştirme iletileri ile sorgulayan istemciye yanıt verir.
WS-Bulma işleminin başarısı, bulma işlemini gerçekleştiren istemcinin, istediği içerik için içerik sunucusu tarafından sağlanan doğru içerik bilgilerine sahip olmasına bağlıdır.
İçerik bilgilerine erişim, içeriğe yetkili erişimi belirttiğinden, İçerik isteme aşamasında verilere yönelik ana tehdit, bilgilerin ifşa edilmesidir. Bu riski en aza indirmek için bulma işlemi, içeriği barındıran düz metin kesimiyle ilgili herhangi bir şey göstermeyen Kesim Kimliği dışında içerik bilgilerini göstermez.
Ayrıca aynı ağ alt ağındaki kötü niyetli bir kullanıcı tarafından çalıştırılan başka bir istemci bilgisayar, yönlendiriciden geçen özgün içerik kaynağına giden BranchCache bulma trafiğini görebilir.
İstenen içerik şube ofisinde bulunmazsa istemci, WAN bağlantısında doğrudan içerik sunucusundan içeriği ister.
İçerik alındıktan sonra, istemci bilgisayarda veya barındırılan önbellek sunucusunda yerel önbelleğe eklenir. Bu durumda içerik bilgileri, bir istemcinin veya barındırılan önbellek sunucusunun, karmalarla eşleşmeyen herhangi bir içeriği yerel önbelleğe eklemesini önler. Karmaları eşleştirerek içeriği doğrulama işlemi, önbelleğe yalnızca geçerli içeriğin eklenmesini ve yerel önbelleğin bütünlüğünün korunmasını sağlar.
BranchCache işlemleri: İçeriği alma
Bir istemci bilgisayar, barındırılan önbellek sunucusu veya dağıtılmış önbellek modu istemci bilgisayar olan içerik ana bilgisayarında istenen içeriği bulduktan sonra içerik alma işlemini başlatır.
Önce istemci bilgisayar, gerekli ilk blok için içerik ana bilgisayarına bir istek gönderir. Bu istek, istenen içeriği belirleyen blok aralığını ve Kesim Kimliğini içerir. Yalnızca bir blok döndürüldüğünden blok aralığı yalnızca tek bir blok içerir. (Birden çok blok isteği şu anda desteklenmemektedir.) İstemci, isteği yerel Bekleyen İstek Listesinde de depolar.
Bir istemciden geçerli bir istek iletisi alındıktan sonra içerik ana bilgisayarı, istekte belirtilen bloğun, içerik ana bilgisayarının içerik önbelleğinde mevcut olup olmadığını kontrol eder.
İçerik ana bilgisayarı, içerik bloğuna sahipse içerik ana bilgisayarı, Kesim Kimliğini, Blok Kimliğini, şifrelenmiş veri bloğunu ve bloğu şifrelemek için kullanılan başlatma vektörünü içeren bir yanıt gönderir.
İçerik ana bilgisayarı, içerik bloğuna sahip değilse içerik ana bilgisayarı boş bir yanıt iletisi gönderir. Bu, istemci bilgisayara, istenen bloğun içerik ana bilgisayarında olmadığını bildirir. Boş bir yanıt iletisi, sıfır boyutlu veri bloğuyla birlikte, istenen bloğun Blok Kimliğini ve Kesim Kimliğini içerir.
İstemci bilgisayar, içerik ana bilgisayarından yanıtı aldığında istemci, iletinin Bekleyen İstek Listesindeki bir istek iletisine karşılık geldiğini doğrular. (Kesim Kimliği ve blok dizini, bekleyen isteğinkilerle eşleşmelidir.)
Bu doğrulama işlemi başarısız olursa ve istemci bilgisayarın Bekleyen İstek Listesinde karşılık gelen bir istek iletisi olmazsa istemci bilgisayar, iletiyi atar.
Bu doğrulama işlemi başarılı olursa ve istemci bilgisayarın Bekleyen İstek Listesinde karşılık gelen bir istek iletisi olursa istemci bilgisayar, bloğun şifresini çözer. Daha sonra istemci, şifresi çözülen bloğu, başlangıçta özgün içerik sunucusundan aldığı içerik bilgilerindeki uygun blok karmasına karşı doğrular.
Blok doğrulaması başarılı olursa, şifresi çözülen blok önbellekte depolanır.
Bu işlem, istemci tüm gerekli bloklara sahip oluncaya kadar yinelenir.
Not
Tüm içerik kesimleri tek bir bilgisayarda yoksa alma protokolü, içeriği kaynakların birleşiminden (dağıtılmış önbellek modu istemci bilgisayarlar kümesi, barındırılan önbellek sunucusu ve şube ofisi önbellekleri tam içeriği barındırmıyorsa, ana ofisteki özgün içerik sunucusu) alıp derler.
BranchCache, içerik bilgilerini veya içeriği göndermeden önce veriler şifrelenir. BranchCache, yanıt iletisindeki bloğu şifreler.Windows 7 sürümünde BranchCache'in kullandığı varsayılan şifreleme algoritması AES-128'dir ve şifreleme algoritmasının belirttiği gibi şifreleme anahtarı Ke ve anahtar boyutu 128 bit'tir. BranchCache, şifreleme algoritması için uygun bir başlatma vektörü oluşturur ve bloğu şifrelemek için şifreleme anahtarını kullanır. Daha sonra BranchCache, iletide şifreleme algoritmasını ve başlatma vektörünü kaydeder. Sunucular ve istemciler hiçbir zaman şifreleme anahtarını gönderip almaz veya birbiriyle paylaşmaz. İstemci, kaynak içeriği barındıran içerik sunucusundan şifreleme anahtarını alır. Daha sonra, sunucudan aldığı şifreleme algoritmasını ve başlatma vektörünü kullanarak bloğun şifresini çözer. İndirme protokolünde yerleşik olarak başka bir belirtik kimlik doğrulaması veya yetkilendirme yoktur.
Güvenlik tehditleri
Bu katmandaki birincil güvenlik tehditleri şunlardır:
Verilerde değişiklik yapılması:
İstek sahibine veri sunan bir istemci, verilerde değişiklik yapar. BranchCache güvenlik modeli, istemcinin veya sunucunun verileri değiştirmediğini onaylamak için karmaları kullanır.
Bilgi ifşası:
BranchCache, herhangi bir istemciye uygun Kesim Kimliğini belirten şifrelenmiş içerik gönderir. Kesim Kimlikleri herkese açık olduğundan herhangi bir istemci şifrelenmiş içeriği alabilir. Ancak kötü niyetli bir kullanıcı şifrelenmiş içeriği alırsa, içeriğin şifresini çözmek için şifreleme anahtarını bilmesi gerekir. Üst katman protokol, kimlik doğrulamasını gerçekleştirir ve kimliği doğrulanmış ve yetkili istemciye içerik bilgilerini verir. İçerik bilgilerinin güvenliği, içeriğe sağlanan güvenliğe eşdeğerdir ve BranchCache hiçbir zaman içerik bilgilerini göstermez.
Bir saldırgan, içeriği almak için hatta sızar. BranchCache, gizli anahtarın Ke olduğu AES128'i kullanarak istemciler arasındaki tüm aktarımları şifreleyip hattan verilere sızılmasını önler. İçerik sunucusundan indirilen içerik bilgileri, tamamen verilerle aynı şekilde korunur ve bu nedenle BranchCache'in kullanılmamasına kıyasla bilgi ifşasına karşı daha fazla veya daha az korumalı değildir.
Hizmet Reddi:
Bir istemci, istemci istekleriyle doludur. BranchCache protokolleri, istemcilerin aşırı yüklenmesini önlemek için kuyruk yönetimi sayaçlarını ve zamanlayıcılarını birleştirir.
BranchCache işlemleri: Önbellek içeriği
Şube ofislerinde bulunan dağıtılmış önbellek modu istemci bilgisayarları ve barındırılan önbellek sunucularında içerik önbellekleri, zaman içinde WAN bağlantıları üzerinden içerik alındıkça oluşturulur.
İstemci bilgisayarlar, barındırılan önbellek modu ile yapılandırıldığında, kendi yerel önbelleğine içerik ekler ve barındırılan önbellek sunucusuna da veri sunar. Barındırılan Önbellek Protokolü, istemcilerin barındırılan önbellek sunucusunu içerik ve kesim kullanılabilirliği hakkında bilgilendirmesi için bir mekanizma sağlar. Barındırılan önbellek sunucusuna içerik yüklemek için istemci, sunucuya kullanılabilir bir kesimi olduğunu bildirir. Daha sonra barındırılan önbellek sunucusu, sunulan kesimle ilişkili tüm içerik bilgilerini alır ve gerçekten ona ihtiyaç duyan kesim içindeki blokları indirir. İstemcide artık barındırılan önbellek sunucusuna sunulacak bir kesim olmayıncaya kadar bu işlem yinelenir.
Barındırılan Önbellek Protokolünü kullanarak barındırılan önbellek sunucusunu güncelleştirmek için aşağıdaki gereksinimler karşılanmalıdır:
İstemci bilgisayarın, barındırılan önbellek sunucusuna sunabileceği bir kesim içinde blok kümesine sahip olması gerekir. İstemci, sunulan kesim için içerik bilgilerini sağlamalıdır; bu, Kesim Kimliğinden, kesim Veri Karmasından, Kesim Gizli Anahtarından ve kesim içinde bulunan tüm blok karmalarının listesinden oluşur.
Windows Server 2008 R2 çalıştıran barındırılan önbellek sunucuları için bir barındırılan önbellek sunucusu sertifikası ve ilişkili özel anahtar gereklidir; ayrıca sertifikayı düzenleyen sertifika yetkilisine (CA), şube ofisindeki istemci bilgisayarların güveniyor olması gerekir. Bu, istemci ve sunucunun HTTPS Sunucusu kimlik doğrulamasına başarıyla katılmasına olanak sağlar.
Önemli
Windows Server 2012 çalıştıran barındırılan önbellek sunucuları, barındırılan önbellek sunucu sertifikası ve ilişkili özel anahtarı gerektirmez.
İstemci bilgisayar, barındırılan önbellek sunucusunun BranchCache trafiğini dinlediği İletim Denetimi Protokolü (TCP) bağlantı noktası numarası ve barındırılan önbellek sunucusunun bilgisayar adı ile yapılandırılır. Barındırılan önbellek sunucusunun sertifikası, bu bağlantı noktasına bağlıdır. Barındırılan önbellek sunucusu bir etki alanı üyesi bilgisayarıysa barındırılan önbellek sunucusunun bilgisayar adı tam etki alanı adı (FQDN) olabilir; veya barındırılan önbellek sunucusu bir etki alanı üyesi değilse bu, bilgisayarın NetBIOS adı olabilir.
İstemci bilgisayar, gelen blok isteklerini etkin şekilde dinler. Dinleme yaptığı bağlantı noktası, istemciden barındırılan önbellek sunucusuna teklif iletilerinin parçası olarak iletilir. Bu, barındırılan önbellek sunucusunun, kesimdeki veri bloklarını almak için istemci bilgisayara bağlanmak amacıyla BranchCache protokollerini kullanmasını sağlar.
Barındırılan önbellek sunucusu başlatıldığında gelen HTTP isteklerini dinlemeye başlar.
Barındırılan önbellek sunucusu, istemci bilgisayar kimlik doğrulaması zorunlu tutulacak şekilde yapılandırılırsa, HTTPS kimlik doğrulamasını desteklemek için hem istemci hem de barındırılan önbellek sunucusu gereklidir.
Barındırılan önbellek modu önbellek popülasyonu
Bir şube ofisindeki barındırılan önbellek sunucusunun önbelleğine içerik ekleme işlemi, istemcinin, Segment Kimliğini içeren bir INITIAL_OFFER_MESSAGE göndermesiyle başlar. INITIAL_OFFER_MESSAGE isteğindeki Segment Kimliği, barındırılan önbellek sunucusunun blok önbelleğinden ilgili segment Veri Karmasını, blok karmaları listesini ve Segment Gizli Anahtarını almak için kullanılır. Barındırılan önbellek sunucusu, belirli bir kesim için tüm içerik bilgilerine zaten sahipse, INITIAL_OFFER_MESSAGE öğesine verilen yanıt OK olacaktır ve blokları indirme isteği oluşmaz.
Barındırılan önbellek sunucusu, kesimdeki blok karmalarıyla ilişkili tüm sunulan veri bloklarına sahip değilse, INITIAL_OFFER_MESSAGE öğesine verilen yanıt INTERESTED olacaktır. Daha sonra istemci, sunulan tek kesimi açıklayan bir SEGMENT_INFO_MESSAGE gönderir. Barındırılan önbellek sunucusu, OK iletisiyle yanıt verir ve sunan istemci bilgisayardan eksik blokların indirilmesini başlatır.
İndirilmekte olan içeriğin kurcalanmadığından veya değiştirilmediğinden emin olmak için segment Veri Karması, blok karmalarının listesi ve segment gizli anahtarı kullanılır. İndirilen bloklar daha sonra barındırılan önbellek sunucusunun blok önbelleğine eklenir.
Önbellek Güvenliği
Bu bölüm, istemci bilgisayarlarda ve barındırılan önbellek sunucularında BranchCache'in önbelleğe alınan verilerin güvenliğini nasıl sağladığına ilişkin bilgi sağlar.
İstemci bilgisayar önbellek güvenliği
BranchCache'te depolanan verilere yönelik en büyük tehdit onaysız değişikliktir. Bir saldırgan, önbellekte depolanan içeriği ve içerik bilgilerini değiştirebiliyorsa, BranchCache kullanan bilgisayarlara karşı bir saldırı girişiminde bulunmak ve saldırı başlatmak için bu kullanılabilir. Saldırganlar, diğer veriler yerine kötü niyetli yazılım ekleyerek saldırı başlatabilir. BranchCache, içerik bilgilerinde bulunan blok karmaları kullanarak tüm içeriği doğrulayıp bu tehdidi azaltır. Bir saldırgan bu verileri değiştirme girişiminde bulunursa veriler atılır ve özgün kaynaktaki geçerli verilerle değiştirilir.
BranchCache'te depolanan verilere yönelik ikincil bir tehdit de bilgi ifşasıdır. Dağıtılmış önbellek modunda istemci yalnızca istediği içeriği önbelleğe alır; ancak bu veriler düz metin olarak depolanır ve risk altında olabilir. Yalnızca BranchCache'e yönelik önbellek erişiminin kısıtlanmasına yardımcı olmak için yerel önbellek, ACL'de belirtilen dosya sistemi izinleri tarafından korunur. ACL, yetkisiz kullanıcıların önbelleğe erişmesini önleme konusunda etkili olsa da, yönetici ayrıcalıklarına sahip bir kullanıcının ACL'de belirtilen izinleri elle değiştirerek önbelleğe erişim elde etmesi mümkündür. BranchCache, yönetici hesabının kötü niyetli kullanımına karşı koruma sağlamaz.
İçerik önbelleğinde depolanan veriler şifrelenmez, bu nedenle veri sızıntısı endişesi söz konusudur ve BitLocker veya Şifreleme Dosya Sistemi (EFS) gibi şifreleme teknolojilerini kullanabilirsiniz. BranchCache tarafından kullanılan yerel önbellek, şube ofisindeki bir bilgisayardan kaynaklanan bilgi ifşası tehdidini artırmaz; önbellek yalnızca diskte başka bir yerde şifrelenmemiş şekilde kalan dosyaların kopyalarını içerir. Diskin tamamının şifrelenmesi özellikle istemcilerin fiziksel güvenliğinin güvence altına alınmasının zor olduğu ortamlarda önemlidir. Örneğin, tüm diskin şifrelenmesi, şube ofisi ortamından kaldırılabilecek mobil bilgisayarlardaki hassas verilerin güvenliğinin sağlanmasına yardımcı olur.
Barındırılan önbellek sunucusu önbellek güvenliği
Barındırılan önbellek modunda, barındırılan önbellek sunucusu üzerindeki en büyük tehdit, bilgi ifşasıdır. Barındırılmış önbellek ortamındaki BranchCache, önbelleğe alınan verileri koruyan dosya sistemi izni ile, dağıtılmış önbellek moduna benzer şekilde hareket eder. Tek fark, barındırılan önbellek sunucusunun, yalnızca tek bir istemcinin istediği verileri değil, şube ofisindeki herhangi bir BranchCache özellikli bilgisayarın istediği tüm içerikleri depolamasıdır. Çok daha fazla veri risk altında olduğundan, bu önbelleğe yetkisiz giriş çok daha ciddi sonuçlar doğurabilir.
Barındırılan önbellek sunucusunun Windows Server 2008 R2 çalıştırdığı bir barındırılan önbellek ortamında, şube ofisindeki istemcilerden herhangi biri WAN bağlantısı üzerinden hassas verilere erişebiliyorsa BitLocker veya EFS gibi şifreleme teknolojilerinin kullanılması önerilir. Ayrıca disk şifrelemesi yalnızca bir saldırgan fiziksel erişim elde edince bilgisayar kapandığında çalıştığından, barındırılan önbelleğe fiziksel erişimin önlenmesi de gerekir. Bilgisayar açıksa veya uyku modundaysa, disk şifrelemesi düşük düzeyde koruma sunar.
Not
Windows Server 2012 çalıştıran barındırılan önbellek sunucuları varsayılan olarak önbellekteki tüm verileri şifreler; bu nedenle ek şifreleme teknolojisi gerekmez.
Bir istemci barındırılan önbellek modunda yapılandırılmış olsa da yine de verileri yerel olarak önbelleğe kaydeder ve barındırılan önbellek sunucusundaki önbelleğe ek olarak yerel önbelleği korumak için adımlar atmak isteyebilirsiniz.