BranchCache
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Topik ini, yang ditujukan untuk profesional Teknologi Informasi (TI), memberikan informasi gambaran umum tentang BranchCache, termasuk mode BranchCache, fitur, kemampuan, dan fungsionalitas BranchCache yang tersedia dalam sistem operasi yang berbeda.
Catatan
Selain topik ini, dokumentasi BranchCache berikut tersedia.
Siapa akan tertarik dengan BranchCache?
Jika Anda adalah administrator sistem, arsitek solusi jaringan atau penyimpanan, atau profesional TI lainnya, BranchCache mungkin menarik minat Anda dalam keadaan berikut:
Anda merancang atau mendukung infrastruktur TI untuk organisasi yang memiliki dua lokasi fisik atau lebih dan koneksi jaringan area luas (WAN) dari kantor cabang ke kantor utama.
Anda merancang atau mendukung infrastruktur TI untuk organisasi yang telah menyebarkan teknologi cloud, dan koneksi WAN digunakan oleh pekerja untuk mengakses data dan aplikasi di lokasi jarak jauh.
Anda ingin mengoptimalkan penggunaan bandwidth WAN dengan mengurangi jumlah lalu lintas jaringan antara kantor cabang dan kantor utama.
Anda telah menyebarkan atau berencana menyebarkan server konten di kantor utama Anda yang cocok dengan konfigurasi yang dijelaskan dalam topik ini.
Komputer klien di kantor cabang Anda menjalankan Windows 10, Windows 8.1, Windows 8, atau Windows 7 .
Topik ini mencakup bagian berikut:
Apa itu BranchCache?
BranchCache adalah teknologi pengoptimalan bandwidth jaringan area luas (WAN) yang termasuk dalam beberapa edisi sistem operasi Windows Server 2016 dan Windows 10, serta dalam beberapa edisi Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2 dan Windows 7. Untuk mengoptimalkan bandwidth WAN saat pengguna mengakses konten di server jarak jauh, BranchCache mengambil konten dari kantor utama atau server konten cloud yang dihosting dan menyimpan konten di lokasi kantor cabang, memungkinkan komputer klien di kantor cabang mengakses konten secara lokal daripada melalui WAN.
Di kantor cabang, konten disimpan baik di server yang dikonfigurasi untuk menghosting cache atau, ketika tidak ada server yang tersedia di kantor cabang, pada komputer klien yang menjalankan Windows 10, Windows 8.1, Windows 8 atau Windows 7. Setelah komputer klien meminta dan menerima konten dari kantor utama dan konten di-cache di kantor cabang, komputer lain di kantor cabang yang sama dapat memperoleh konten secara lokal daripada mengunduh konten dari server konten melalui tautan WAN.
Ketika permintaan berikutnya untuk konten yang sama dibuat oleh komputer klien, klien mengunduh informasi konten dari server alih-alih konten aktual. Informasi konten terdiri dari hash yang dihitung menggunakan potongan konten asli, dan sangat kecil dibandingkan dengan konten dalam data asli. Komputer klien kemudian menggunakan informasi konten untuk menemukan konten dari cache di kantor cabang, apakah cache terletak di komputer klien atau di server. Komputer klien dan server juga menggunakan informasi konten untuk mengamankan konten cache sehingga tidak dapat diakses oleh pengguna yang tidak sah.
BranchCache meningkatkan produktivitas pengguna akhir dengan meningkatkan waktu respons kueri konten untuk klien dan server di kantor cabang, dan juga dapat membantu meningkatkan performa jaringan dengan mengurangi lalu lintas melalui tautan WAN.
Mode BranchCache
BranchCache memiliki dua mode operasi: mode cache terdistribusi dan mode cache yang dihosting.
Saat Anda menyebarkan BranchCache dalam mode cache terdistribusi, cache konten di kantor cabang didistribusikan di antara komputer klien.
Saat Anda menyebarkan BranchCache dalam mode cache yang dihosting, cache konten di kantor cabang dihosting di satu atau beberapa komputer server, yang disebut server cache yang dihosting.
Catatan
Anda dapat menyebarkan BranchCache menggunakan kedua mode, namun hanya satu mode yang dapat digunakan per kantor cabang. Misalnya, jika Anda memiliki dua kantor cabang, yang memiliki server dan yang tidak, Anda dapat menyebarkan BranchCache dalam mode cache yang dihosting di kantor yang berisi server, saat menyebarkan BranchCache dalam mode cache terdistribusi di kantor yang hanya berisi komputer klien.
Dalam ilustrasi berikut, BranchCache disebarkan di kedua mode.
Mode cache terdistribusi paling cocok untuk kantor cabang kecil yang tidak berisi server lokal untuk digunakan sebagai server cache yang dihosting. Mode cache terdistribusi memungkinkan Anda untuk menyebarkan BranchCache tanpa perangkat keras tambahan di kantor cabang.
Jika kantor cabang tempat Anda ingin menyebarkan BranchCache berisi infrastruktur tambahan, seperti satu atau beberapa server yang menjalankan beban kerja lain, menyebarkan BranchCache dalam mode cache yang dihosting bermanfaat karena alasan berikut:
Peningkatan ketersediaan cache
Mode cache yang dihosting meningkatkan efisiensi cache karena konten tersedia bahkan jika klien yang awalnya meminta dan menyimpan data secara offline. Karena server cache yang dihosting selalu tersedia, lebih banyak konten di-cache, memberikan penghematan bandwidth WAN yang lebih besar, dan efisiensi BranchCache ditingkatkan.
Penembolokan terpusat untuk kantor cabang beberapa subnet
Mode cache terdistribusi beroperasi pada satu subnet. Di kantor cabang beberapa subnet yang dikonfigurasi untuk mode cache terdistribusi, file yang diunduh ke satu subnet tidak dapat dibagikan dengan komputer klien di subnet lain.
Karena itu, klien di subnet lain, tidak dapat menemukan bahwa file telah diunduh, mendapatkan file dari server konten office utama, menggunakan bandwidth WAN dalam proses.
Namun, ketika Anda menyebarkan mode cache yang dihosting, ini tidak terjadi - semua klien di kantor cabang beberapa subnet dapat mengakses satu cache, yang disimpan di server cache yang dihosting, bahkan jika klien berada di subnet yang berbeda. Selain itu, BranchCache di Windows Server 2016, Windows Server 2012 R2, dan Windows Server 2012 menyediakan kemampuan untuk menyebarkan lebih dari satu server cache yang dihosting per kantor cabang.
Perhatian
Jika Anda menggunakan BranchCache untuk penembolokan SMB file dan folder, jangan nonaktifkan File Offline. Jika Anda menonaktifkan File Offline, penembolokan BranchCache SMB tidak berfungsi dengan benar.
Server konten dengan dukungan BranchCache
Saat Anda menyebarkan BranchCache, konten sumber disimpan di server konten dengan dukungan BranchCache di kantor utama Anda atau di pusat data cloud. Jenis server konten berikut didukung oleh BranchCache:
Catatan
Hanya konten sumber - yaitu, konten yang awalnya diperoleh komputer klien dari server konten yang didukung BranchCache - dipercepat oleh BranchCache. Isi yang diperoleh komputer klien langsung dari sumber lain, seperti server Web di Internet atau Windows Update, tidak di-cache oleh komputer klien atau server cache yang dihosting lalu dibagikan dengan komputer lain di kantor cabang. Namun, jika Anda ingin mempercepat konten Windows Update, Anda dapat menginstal server aplikasi Windows Server Update Services (WSUS) di kantor utama atau pusat data cloud Anda dan mengonfigurasinya sebagai server konten BranchCache.
Server web
Server Web yang didukung termasuk komputer yang menjalankan Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, atau Windows Server 2008 R2 yang menginstal peran server Server Web (IIS) dan yang menggunakan Hypertext Transfer Protocol (HTTP) atau HTTP Secure (HTTPS).
Selain itu, server Web harus menginstal fitur BranchCache.
Server file
Server file yang didukung termasuk komputer yang menjalankan Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, atau Windows Server 2008 R2 yang memiliki peran server Layanan File dan layanan peran BranchCache for Network Files terinstal.
Server file ini menggunakan Server Message Block (SMB) untuk bertukar informasi antar komputer. Setelah menyelesaikan penginstalan server file, Anda juga harus berbagi folder dan mengaktifkan pembuatan hash untuk folder bersama dengan menggunakan Kebijakan Grup atau Kebijakan Komputer Lokal untuk mengaktifkan BranchCache.
Server aplikasi
Server aplikasi yang didukung termasuk komputer yang menjalankan Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, atau Windows Server 2008 R2 dengan Background Intelligent Transfer Service (BITS) diinstal dan diaktifkan.
Selain itu, server aplikasi harus menginstal fitur BranchCache. Sebagai contoh server aplikasi, Anda dapat menyebarkan server Titik Distribusi Cabang Microsoft Windows Server Update Services (WSUS) dan Microsoft Endpoint Configuration Manager sebagai server konten BranchCache.
BranchCache dan cloud
Cloud memiliki potensi besar untuk mengurangi pengeluaran operasional dan mencapai tingkat skala baru, tetapi memindahkan beban kerja jauh dari orang-orang yang bergantung pada mereka dapat meningkatkan biaya jaringan dan melukai produktivitas. Pengguna mengharapkan performa tinggi dan tidak peduli di mana aplikasi dan data mereka dihosting.
BranchCache dapat meningkatkan performa aplikasi jaringan dan mengurangi konsumsi bandwidth dengan cache data bersama. Ini meningkatkan produktivitas di kantor cabang dan di kantor pusat, di mana pekerja menggunakan server yang disebarkan di cloud.
Karena BranchCache tidak memerlukan perubahan topologi perangkat keras atau jaringan baru, ini adalah solusi yang sangat baik untuk meningkatkan komunikasi antara lokasi kantor dan cloud publik dan privat.
Catatan
Karena beberapa proksi Web tidak dapat memproses header Content-Encoding non-standar, disarankan agar Anda menggunakan BranchCache dengan Hyper Text Transfer Protocol Secure (HTTPS) dan bukan HTTP.
======= Untuk informasi selengkapnya tentang teknologi cloud di Windows Server 2016, lihat Jaringan yang Ditentukan Perangkat Lunak (SDN).
Versi informasi konten
Ada dua versi informasi konten:
Informasi konten yang kompatibel dengan komputer yang menjalankan Windows Server 2008 R2 dan Windows 7 disebut versi 1, atau V1. Dengan segmentasi file V1 BranchCache, segmen file lebih besar dari pada V2 dan berukuran tetap. Karena ukuran segmen tetap yang besar, ketika pengguna membuat perubahan yang memodifikasi panjang file, tidak hanya segmen dengan perubahan yang tidak valid, tetapi semua segmen ke akhir file tidak valid. Panggilan berikutnya untuk file yang diubah oleh pengguna lain di kantor cabang oleh karena itu menghasilkan pengurangan penghematan bandwidth WAN karena konten yang diubah dan semua konten setelah perubahan dikirim melalui tautan WAN.
Informasi konten yang kompatibel dengan komputer yang menjalankan Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, dan Windows 8 disebut versi 2, atau V2. Informasi konten V2 menggunakan segmen berukuran variabel yang lebih kecil yang lebih toleran terhadap perubahan dalam file. Ini meningkatkan probabilitas bahwa segmen dari versi file yang lebih lama dapat digunakan kembali ketika pengguna mengakses versi yang diperbarui, menyebabkan mereka hanya mengambil bagian file yang diubah dari server konten, dan menggunakan bandwidth WAN yang lebih sedikit.
Tabel berikut ini menyediakan informasi tentang versi informasi konten yang digunakan tergantung pada klien, server konten, dan sistem operasi server cache yang dihosting yang Anda gunakan dalam penyebaran BranchCache Anda.
Catatan
Dalam tabel di bawah ini, akronim "OS" berarti sistem operasi.
| OS Klien | OS Server Konten | OS Server Cache yang Dihosting | Versi Informasi Konten |
|---|---|---|---|
| Windows Server 2008 R2 dan Windows 7 | Windows Server 2012 atau yang lebih baru | Windows Server 2012 atau yang lebih baru; tidak ada untuk mode cache terdistribusi | V1 |
| Windows Server 2012 atau yang lebih baru; Windows 8 atau yang lebih baru | Windows Server 2008 R2 | Windows Server 2012 atau yang lebih baru; tidak ada untuk mode cache terdistribusi | V1 |
| Windows Server 2012 atau yang lebih baru; Windows 8 atau yang lebih baru | Windows Server 2012 atau yang lebih baru | Windows Server 2008 R2 | V1 |
| Windows Server 2012 atau yang lebih baru; Windows 8 atau yang lebih baru | Windows Server 2012 atau yang lebih baru | Windows Server 2012 atau yang lebih baru; tidak ada untuk mode cache terdistribusi | V2 |
Ketika Anda memiliki server konten dan server cache yang dihosting yang menjalankan Windows Server 2016, Windows Server 2012 R2, dan Windows Server 2012, mereka menggunakan versi informasi konten yang sesuai berdasarkan sistem operasi klien BranchCache yang meminta informasi.
Ketika komputer yang menjalankan Windows Server 2012 dan Windows 8 atau yang lebih baru meminta konten sistem operasi, konten dan server cache yang dihosting menggunakan informasi konten V2; ketika komputer yang menjalankan konten permintaan Windows Server 2008 R2 dan Windows 7, konten dan server cache yang dihosting menggunakan informasi konten V1.
Penting
Saat Anda menyebarkan BranchCache dalam mode cache terdistribusi, klien yang menggunakan versi informasi konten yang berbeda tidak berbagi konten satu sama lain. Misalnya, komputer klien yang menjalankan Windows 7 dan komputer klien yang menjalankan Windows 10 yang diinstal di kantor cabang yang sama tidak berbagi konten satu sama lain.
Cara BranchCache menangani pembaruan konten dalam file
Ketika pengguna kantor cabang memodifikasi atau memperbarui konten dokumen, perubahan mereka ditulis langsung ke server konten di kantor utama tanpa keterlibatan BranchCache. Ini benar apakah pengguna mengunduh dokumen dari server konten atau mendapatkannya dari cache yang dihosting atau didistribusikan di kantor cabang.
Ketika file yang dimodifikasi diminta oleh klien yang berbeda di kantor cabang, segmen baru file diunduh dari server kantor utama dan ditambahkan ke cache terdistribusi atau dihosting di cabang tersebut. Karena itu, pengguna kantor cabang selalu menerima versi terbaru dari konten cache.
Panduan penginstalan BranchCache
Anda dapat menggunakan Manajer Server di Windows Server 2016 untuk menginstal fitur BranchCache atau layanan peran BranchCache for Network Files dari peran server Layanan File. Anda dapat menggunakan tabel berikut untuk menentukan apakah akan menginstal layanan peran atau fitur.
| Fungsionalitas | Lokasi komputer | Instal elemen BranchCache ini |
|---|---|---|
| Server konten (server aplikasi berbasis BITS) | Kantor utama atau pusat data cloud | Fitur BranchCache |
| Server konten (Server web) | Kantor utama atau pusat data cloud | Fitur BranchCache |
| Server konten (server file menggunakan protokol SMB) | Kantor utama atau pusat data cloud | Layanan peran BranchCache for Network Files dari peran server Layanan File |
| Server cache yang dihosting | Kantor cabang | Fitur BranchCache dengan mode server cache yang dihosting diaktifkan |
| Komputer klien dengan dukungan BranchCache | Kantor cabang | Tidak diperlukan penginstalan; cukup aktifkan BranchCache dan mode BranchCache (didistribusikan atau dihosting) pada klien |
Untuk menginstal layanan peran atau fitur, buka Manajer Server dan pilih komputer tempat Anda ingin mengaktifkan fungsionalitas BranchCache. Di Manajer Server, klik Kelola, lalu klik Tambahkan Peran dan Fitur. Wizard untuk Menambahkan Peran dan Fitur terbuka. Saat Anda menjalankan wizard, buat pilihan berikut:
Pada halaman wizard Pilih Jenis Penginstalan, pilih Penginstalan Berbasis peran atau Berbasis Fitur.
Pada halaman wizard Pilih Peran Server, jika Anda menginstal server file berkemampuan BranchCache, perluas Layanan File dan Penyimpanan serta Layanan File dan iSCSI, lalu pilih BranchCache untuk File Jaringan. Untuk menghemat ruang disk, Anda juga dapat memilih layanan peran Deduplikasi Data, lalu melanjutkan wizard ke penginstalan dan penyelesaian. Jika Anda tidak ingin menginstal server file dengan dukungan BranchCache, jangan instal peran Layanan File dan Penyimpanan dengan layanan peran BranchCache for Network Files.
Pada halaman wizard Pilih fitur, jika Anda menginstal server konten yang bukan server file atau Anda menginstal server cache yang dihosting, pilih BranchCache, lalu lanjutkan melalui wizard untuk penginstalan dan penyelesaian. Jika Anda tidak ingin menginstal server konten selain server file atau server cache yang dihosting, jangan instal fitur BranchCache.
Versi sistem operasi untuk BranchCache
Berikut ini adalah daftar sistem operasi yang mendukung berbagai jenis fungsionalitas BranchCache.
Sistem operasi untuk fungsionalitas komputer klien BranchCache
Sistem operasi berikut menyediakan BranchCache dengan dukungan untuk Background Intelligent Transfer Service (BITS), Hyper Text Transfer Protocol (HTTP), dan Server Message Block (SMB).
Windows 10 Enterprise
Windows 10 Education
Windows 8.1 Enterprise
Windows 8 Enterprise
Windows 7 Enterprise
Windows 7 Ultimate
Dalam sistem operasi berikut, BranchCache tidak mendukung fungsionalitas HTTP dan SMB, tetapi mendukung fungsionalitas BranchCache BITS.
Hanya dukungan Windows 10 Pro, BITS
Hanya dukungan Windows 8.1 Pro, BITS
Hanya dukungan Windows 8 Pro, BITS
Hanya dukungan Windows 7 Pro, BITS
Catatan
BranchCache tidak tersedia secara default di sistem operasi Windows Server 2008 atau Windows Vista. Namun, pada sistem operasi ini, jika Anda mengunduh dan menginstal pembaruan Windows Management Framework, fungsionalitas BranchCache hanya tersedia untuk protokol Background Intelligent Transfer Service (BITS). Untuk informasi selengkapnya, dan untuk mengunduh Windows Management Framework, lihat Windows Management Framework (Windows PowerShell 2.0, WinRM 2.0, dan BITS 4.0) di /powershell/scripting/windows-powershell/installing-the-windows-powershell-2.0-engine.
Sistem operasi untuk fungsionalitas server konten BranchCache
Anda dapat menggunakan keluarga sistem operasi Windows Server 2016, Windows Server 2012 R2, dan Windows Server 2012 sebagai server konten BranchCache.
Selain itu, keluarga sistem operasi Windows Server 2008 R2 dapat digunakan sebagai server konten BranchCache, dengan pengecualian berikut:
BranchCache tidak didukung dalam penginstalan Server Core Windows Server 2008 R2 Enterprise dengan Hyper-V.
BranchCache tidak didukung dalam penginstalan Server Core dari Pusat Data Windows Server 2008 R2 dengan Hyper-V.
Sistem operasi untuk fungsionalitas server cache yang dihosting BranchCache
Anda dapat menggunakan keluarga sistem operasi Windows Server 2016, Windows Server 2012 R2, dan Windows Server 2012 sebagai server cache yang dihosting BranchCache.
Selain itu, sistem operasi Windows Server 2008 R2 berikut dapat digunakan sebagai server cache yang dihosting BranchCache:
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Enterprise dengan Hyper-V
Penginstalan Inti Server Perusahaan Windows Server 2008 R2
Penginstalan Windows Server 2008 R2 Enterprise Server Core dengan Hyper-V
Windows Server 2008 R2 untuk Sistem Berbasis Itanium
Windows Server 2008 R2 Pusat Data
Pusat Data Windows Server 2008 R2 dengan Hyper-V
Penginstalan Inti Server Pusat Data Windows Server 2008 R2 dengan Hyper-V
Keamanan BranchCache
BranchCache menerapkan pendekatan aman berdasarkan desain yang bekerja dengan mulus bersama arsitektur keamanan jaringan Anda yang ada, tanpa persyaratan untuk peralatan tambahan atau konfigurasi keamanan tambahan yang kompleks.
BranchCache tidak invasif dan tidak mengubah proses autentikasi atau otorisasi Windows apa pun. Setelah Anda menyebarkan BranchCache, autentikasi masih dilakukan menggunakan kredensial domain, dan cara otorisasi dengan fungsi Daftar Kontrol Akses (ACL) tidak berubah. Selain itu, konfigurasi lain terus berfungsi seperti yang mereka lakukan sebelum penyebaran BranchCache.
Model keamanan BranchCache didasarkan pada pembuatan metadata, yang mengambil bentuk serangkaian hash. Hash ini juga disebut informasi konten.
Setelah informasi konten dibuat, informasi tersebut digunakan dalam pertukaran pesan BranchCache daripada data aktual, dan ditukar menggunakan protokol yang didukung (HTTP, HTTPS, dan SMB).
Data cache disimpan dienkripsi dan tidak dapat diakses oleh klien yang tidak memiliki izin untuk mengakses konten dari sumber asli. Klien harus diautentikasi dan diotorisasi oleh sumber konten asli sebelum mereka dapat mengambil metadata konten, dan harus memiliki metadata konten untuk mengakses cache di kantor lokal.
Cara BranchCache menghasilkan informasi konten
Karena informasi konten dibuat dari beberapa elemen, nilai informasi konten selalu unik. Elemen-elemen ini adalah:
Konten aktual (seperti halaman Web atau file bersama) tempat hash diturunkan.
Parameter konfigurasi, seperti algoritma hashing dan ukuran blok. Untuk menghasilkan informasi konten, server konten membagi konten menjadi segmen lalu membagi segmen tersebut menjadi blok. BranchCache menggunakan hash kriptografi yang aman untuk mengidentifikasi dan memverifikasi setiap blok dan segmen, mendukung algoritma hash SHA256.
Rahasia server. Semua server konten harus dikonfigurasi dengan rahasia server, yang merupakan nilai biner dengan panjang arbitrer.
Catatan
Penggunaan rahasia server memastikan bahwa komputer klien tidak dapat menghasilkan informasi konten itu sendiri. Hal ini mencegah pengguna jahat menggunakan serangan brute force dengan komputer klien berkemampuan BranchCache untuk menebak perubahan kecil dalam konten di seluruh versi dalam situasi di mana klien memiliki akses ke versi sebelumnya tetapi tidak memiliki akses ke versi saat ini.
Detail informasi konten
BranchCache menggunakan rahasia server sebagai kunci untuk mendapatkan hash khusus konten yang dikirim ke klien yang berwenang. Menerapkan algoritma hash ke rahasia server gabungan dan Hash Data menghasilkan hash ini.
Hash ini disebut rahasia segmen. BranchCache menggunakan rahasia segmen untuk mengamankan komunikasi. Selain itu, BranchCache membuat Daftar Hash Blok, yang merupakan daftar blok data yang di-hash, dan Hash Data, yang dihasilkan dengan hash Daftar Hash Blok.
Informasi konten mencakup hal-hal berikut:
Daftar Hash Blok:
BlockHashi = Hash(dataBlocki) 1<=i<=nHash Data (HoD):
HoD = Hash(BlockHashList)Rahasia Segmen (Kp):
Kp = HMAC(Ks, HoD)
BranchCache menggunakan protokol Penembolokan Konten Serekan dan protokol Kerangka Kerja Pengambilan untuk mengimplementasikan proses yang diperlukan untuk memastikan penembolokan dan pengambilan data yang aman di antara cache konten.
Selain itu, BranchCache menangani informasi konten dengan tingkat keamanan yang sama dengan yang digunakannya saat menangani dan mengirimkan konten aktual itu sendiri.
Alur dan proses konten
Alur informasi konten dan konten aktual dibagi menjadi empat fase:
Bagian berikut menjelaskan fase ini.
Proses BranchCache: Meminta konten
Pada fase pertama, komputer klien di kantor cabang meminta konten, seperti file atau halaman Web, dari server konten di lokasi jarak jauh, seperti kantor utama. Server konten memverifikasi bahwa komputer klien berwenang untuk menerima konten yang diminta. Jika komputer klien diotorisasi dan server konten dan klien diaktifkan BranchCache, server konten menghasilkan informasi konten.
Server konten kemudian mengirim informasi konten ke komputer klien menggunakan protokol yang sama seperti yang akan digunakan untuk konten aktual.
Misalnya, jika komputer klien meminta halaman Web melalui HTTP, server konten mengirim informasi konten menggunakan HTTP. Karena itu, jaminan keamanan tingkat kawat konten dan informasi konten identik.
Setelah bagian awal informasi konten (Hash Data + Rahasia Segmen) diterima, komputer klien melakukan tindakan berikut:
Menggunakan Rahasia Segmen (Kp) sebagai kunci enkripsi (Ke).
Menghasilkan ID Segmen (HoHoDk) dari HoD dan Kp:
HoHoDk = HMAC(Kp, HoD + C), where C is the ASCII string "MS_P2P_CACHING" with NUL terminator.
Ancaman utama pada lapisan ini adalah risiko terhadap Rahasia Segmen, namun BranchCache mengenkripsi blok data konten untuk melindungi Rahasia Segmen. BranchCache melakukan ini dengan menggunakan kunci enkripsi yang berasal dari Rahasia Segmen dari segmen konten tempat blok konten berada.
Pendekatan ini memastikan bahwa entitas yang tidak memiliki rahasia server tidak dapat menemukan konten aktual dalam blok data. Rahasia Segmen diperlakukan dengan tingkat keamanan yang sama dengan segmen teks biasa itu sendiri, karena pengetahuan tentang Rahasia Segmen untuk segmen tertentu memungkinkan entitas untuk mendapatkan segmen dari rekan-rekan dan kemudian mendekripsinya. Pengetahuan tentang Rahasia Server tidak segera menghasilkan teks biasa tertentu tetapi dapat digunakan untuk mendapatkan jenis data tertentu dari teks sandi dan kemudian mungkin mengekspos beberapa data yang diketahui sebagian ke serangan tebakan brute-force. Oleh karena itu, rahasia server harus dirahasiakan.
Proses BranchCache: Menemukan konten
Setelah informasi konten diterima oleh komputer klien, klien menggunakan ID Segment untuk menemukan konten yang diminta di cache kantor cabang lokal, apakah cache didistribusikan antara komputer klien atau terletak di server cache yang dihosting.
Jika komputer klien dikonfigurasi untuk mode cache yang dihosting, komputer dikonfigurasi dengan nama komputer server cache yang dihosting dan kontak server tersebut untuk mengambil konten.
Namun, jika komputer klien dikonfigurasi untuk mode cache terdistribusi, konten mungkin disimpan di beberapa cache di beberapa komputer di kantor cabang. Komputer klien harus menemukan lokasi isi sebelum konten diambil.
Ketika dikonfigurasi untuk mode cache terdistribusi, komputer klien menemukan konten dengan menggunakan protokol penemuan yang didasarkan pada protokol Web Services Dynamic Discovery (WS-Discovery). Klien mengirim pesan Probe multicast WS-Discovery untuk menemukan konten yang di-cache melalui jaringan. Pesan pemeriksaan menyertakan ID Segment, yang memungkinkan klien untuk memeriksa apakah konten yang diminta cocok dengan konten yang disimpan di cache mereka. Klien yang menerima pesan Probe awal membalas klien kueri dengan pesan Unicast Probe-Match jika ID Segmen cocok dengan konten yang di-cache secara lokal.
Keberhasilan proses WS-Discovery tergantung pada fakta bahwa klien yang melakukan penemuan memiliki informasi konten yang benar, yang disediakan oleh server konten, untuk konten yang dimintanya.
Ancaman utama terhadap data selama fase Konten permintaan adalah pengungkapan informasi, karena akses ke informasi konten menyiratkan akses resmi ke konten. Untuk mengurangi risiko ini, proses penemuan tidak mengungkapkan informasi konten, selain ID Segment, yang tidak mengungkapkan apa pun tentang segmen teks biasa yang berisi konten.
Selain itu, komputer klien lain yang dijalankan oleh pengguna berbahaya pada subnet jaringan yang sama dapat melihat lalu lintas penemuan BranchCache ke sumber konten asli yang melalui router.
Jika konten yang diminta tidak ditemukan di kantor cabang, klien meminta konten langsung dari server konten di seluruh tautan WAN.
Setelah konten diterima, konten ditambahkan ke cache lokal, baik di komputer klien atau di server cache yang dihosting. Dalam hal ini, informasi konten mencegah klien atau server cache yang dihosting untuk ditambahkan ke cache lokal konten apa pun yang tidak cocok dengan hash. Proses verifikasi konten dengan mencocokkan hash memastikan bahwa hanya konten yang valid yang ditambahkan ke cache, dan integritas cache lokal dilindungi.
Proses BranchCache: Mengambil konten
Setelah komputer klien menemukan konten yang diinginkan pada host konten, yang merupakan server cache yang dihosting atau komputer klien mode cache terdistribusi, komputer klien memulai proses pengambilan konten.
Pertama, komputer klien mengirimkan permintaan ke host konten untuk blok pertama yang diperlukan. Permintaan berisi ID Segment dan rentang blokir yang mengidentifikasi konten yang diinginkan. Karena hanya satu blok yang dikembalikan, rentang blok hanya berisi satu blok. (Permintaan untuk beberapa blok saat ini tidak didukung.) Klien juga menyimpan permintaan dalam Daftar Permintaan Terutang lokalnya.
Setelah menerima pesan permintaan yang valid dari klien, host konten memeriksa apakah blok yang ditentukan dalam permintaan ada di cache konten host konten.
Jika host konten memiliki blok konten, maka host konten mengirimkan respons yang berisi ID Segment, ID Blokir, blok data terenkripsi, dan vektor inisialisasi yang digunakan untuk mengenkripsi blok.
Jika host konten tidak memiliki blok konten, host konten mengirimkan pesan respons kosong. Ini menginformasikan komputer klien bahwa host konten tidak memiliki blok yang diminta. Pesan respons kosong berisi ID Segment dan ID Blokir blok yang diminta, bersama dengan blok data berukuran nol.
Ketika komputer klien menerima respons dari host konten, klien memverifikasi bahwa pesan sesuai dengan pesan permintaan di Daftar Permintaan Yang Belum Terutang. (ID Segmen dan indeks blok harus cocok dengan permintaan yang luar biasa.)
Jika proses verifikasi ini tidak berhasil dan komputer klien tidak memiliki pesan permintaan yang sesuai dalam Daftar Permintaan Yang Berdasar, komputer klien akan membuang pesan.
Jika proses verifikasi ini berhasil dan komputer klien memiliki pesan permintaan yang sesuai dalam Daftar Permintaan Luar Biasa, komputer klien mendekripsi blok. Klien kemudian memvalidasi blok yang didekripsi terhadap hash blok yang sesuai dari informasi konten yang awalnya diperoleh klien dari server konten asli.
Jika validasi blok berhasil, blok yang didekripsi disimpan dalam cache.
Proses ini diulang sampai klien memiliki semua blok yang diperlukan.
Catatan
Jika segmen lengkap konten tidak ada di satu komputer, protokol pengambilan mengambil dan menyusun konten dari kombinasi sumber: sekumpulan komputer klien mode cache terdistribusi, server cache yang dihosting, dan - jika cache kantor cabang tidak berisi konten lengkap - server konten asli di kantor utama.
Sebelum BranchCache mengirim informasi atau konten konten, data dienkripsi. BranchCache mengenkripsi blok dalam pesan respons. Di Windows 7, algoritma enkripsi default yang digunakan BranchCache adalah AES-128, kunci enkripsinya adalah Ke, dan ukuran kuncinya adalah 128 bit, seperti yang ditentukan oleh algoritma enkripsi.
BranchCache menghasilkan vektor inisialisasi yang cocok untuk algoritma enkripsi dan menggunakan kunci enkripsi untuk mengenkripsi blok. BranchCache kemudian merekam algoritma enkripsi dan vektor inisialisasi dalam pesan.
Server dan klien tidak pernah bertukar, berbagi, atau saling mengirim kunci enkripsi. Klien menerima kunci enkripsi dari server konten yang menghosting konten sumber. Kemudian, menggunakan algoritma enkripsi dan vektor inisialisasi yang diterimanya dari server, ia mendekripsi blok. Tidak ada autentikasi eksplisit atau otorisasi lain yang terpasang dalam protokol unduhan.
Ancaman keamanan
Ancaman keamanan utama pada lapisan ini meliputi:
Mengubah data:
Klien yang melayani data ke pemohon mengubah data. Model keamanan BranchCache menggunakan hash untuk mengonfirmasi bahwa klien maupun server tidak mengubah data.
Pengungkapan informasi:
BranchCache mengirimkan konten terenkripsi ke klien mana pun yang menentukan ID Segmen yang sesuai. ID segmen bersifat publik, sehingga setiap klien dapat menerima konten terenkripsi. Namun, jika pengguna berbahaya mendapatkan konten terenkripsi, mereka harus mengetahui kunci enkripsi untuk mendekripsi konten. Protokol lapisan atas melakukan autentikasi lalu memberikan informasi konten kepada klien yang diautentikasi dan diotorisasi. Keamanan informasi konten setara dengan keamanan yang disediakan untuk konten itu sendiri, dan BranchCache tidak pernah mengekspos informasi konten.
Penyerang mengintai kabel untuk mendapatkan konten. BranchCache mengenkripsi semua transfer antar klien dengan menggunakan AES128 di mana kunci rahasia adalah Ke, mencegah data di-sniff dari kawat. Informasi konten yang diunduh dari server konten dilindungi dengan cara yang sama persis seperti data itu sendiri dan karenanya tidak lebih atau kurang dilindungi dari pengungkapan informasi daripada jika BranchCache tidak digunakan sama sekali.
Penolakan Layanan:
Klien kewalahan oleh permintaan data. Protokol BranchCache menggabungkan penghitung manajemen antrean dan timer untuk mencegah klien kelebihan beban.
Proses BranchCache: Konten cache
Pada komputer klien mode cache terdistribusi dan server cache yang dihosting yang terletak di kantor cabang, cache konten dibangun dari waktu ke waktu karena konten diambil melalui tautan WAN.
Ketika komputer klien dikonfigurasi dengan mode cache yang dihosting, mereka menambahkan konten ke cache lokal mereka sendiri dan juga menawarkan data ke server cache yang dihosting. Protokol Cache yang Dihosting menyediakan mekanisme bagi klien untuk menginformasikan server cache yang dihosting tentang konten dan ketersediaan segmen.
Untuk mengunggah konten ke server cache yang dihosting, klien memberi tahu server bahwa ia memiliki segmen yang tersedia. Server cache yang dihosting kemudian mengambil semua informasi konten yang terkait dengan segmen yang ditawarkan, dan mengunduh blok dalam segmen yang sebenarnya dibutuhkan. Proses ini diulang sampai klien tidak memiliki lebih banyak segmen untuk menawarkan server cache yang dihosting.
Untuk memperbarui server cache yang dihosting dengan menggunakan Protokol Singgahan yang Dihosting, persyaratan berikut harus dipenuhi:
Komputer klien diperlukan untuk memiliki sekumpulan blok dalam segmen yang dapat ditawarkannya ke server cache yang dihosting. Klien harus menyediakan informasi konten untuk segmen yang ditawarkan; ini terdiri dari ID Segment, Hash segmen Data, Rahasia Segmen, dan daftar semua hash blok yang terkandung dalam segmen.
Untuk server cache yang dihosting yang menjalankan Windows Server 2008 R2, sertifikat server cache yang dihosting dan kunci privat terkait diperlukan, dan otoritas sertifikasi (CA) yang mengeluarkan sertifikat harus dipercaya oleh komputer klien di kantor cabang. Ini memungkinkan klien dan server untuk berhasil berpartisipasi dalam autentikasi Https Server.
Penting
Server cache yang dihosting yang menjalankan Windows Server 2016, Windows Server 2012 R2 , atau Windows Server 2012 tidak memerlukan sertifikat server cache yang dihosting dan kunci privat terkait.
Komputer klien dikonfigurasi dengan nama komputer server cache yang dihosting dan nomor port Protokol Kontrol Transmisi (TCP) tempat server cache yang dihosting mendengarkan lalu lintas BranchCache. Sertifikat server cache yang dihosting terikat ke port ini. Nama komputer server cache yang dihosting dapat menjadi nama domain yang sepenuhnya memenuhi syarat (FQDN), jika server cache yang dihosting adalah komputer anggota domain; atau bisa menjadi nama NetBIOS komputer jika server cache yang dihosting bukan anggota domain.
Komputer klien secara aktif mendengarkan permintaan blok masuk. Port tempat mendengarkan diteruskan sebagai bagian dari pesan penawaran dari klien ke server cache yang dihosting. Ini memungkinkan server cache yang dihosting untuk menggunakan protokol BranchCache untuk terhubung ke komputer klien untuk mengambil blok data di segmen.
Server cache yang dihosting mulai mendengarkan permintaan HTTP masuk saat diinisialisasi.
Jika server cache yang dihosting dikonfigurasi untuk memerlukan autentikasi komputer klien, klien dan server cache yang dihosting diperlukan untuk mendukung autentikasi HTTPS.
Populasi cache mode cache yang dihosting
Proses penambahan konten ke cache server cache yang dihosting di kantor cabang dimulai ketika klien mengirim INITIAL_OFFER_MESSAGE, yang mencakup ID Segment. ID Segmen dalam permintaan INITIAL_OFFER_MESSAGE digunakan untuk mengambil Hash Data segmen yang sesuai, daftar hash blok, dan Rahasia Segmen dari cache blok server cache yang dihosting. Jika server cache yang dihosting sudah memiliki semua informasi konten untuk segmen tertentu, respons terhadap INITIAL_OFFER_MESSAGE akan OK, dan tidak ada permintaan untuk mengunduh blokir terjadi.
Jika server cache yang dihosting tidak memiliki semua blok data yang ditawarkan yang terkait dengan hash blok di segmen, respons terhadap INITIAL_OFFER_MESSAGE TERTARIK. Klien kemudian mengirim SEGMENT_INFO_MESSAGE yang menjelaskan segmen tunggal yang ditawarkan. Server cache yang dihosting merespons dengan pesan OK dan memulai pengunduhan blok yang hilang dari komputer klien penawaran.
Hash segmen Data, daftar hash blok, dan rahasia segmen digunakan untuk memastikan bahwa konten yang sedang diunduh belum diubah atau diubah. Blok yang diunduh kemudian ditambahkan ke cache blok server cache yang dihosting.
Keamanan Cache
Bagian ini menyediakan informasi tentang bagaimana BranchCache mengamankan data yang di-cache pada komputer klien dan di server cache yang dihosting.
Keamanan cache komputer klien
Ancaman terbesar terhadap data yang disimpan di BranchCache adalah perusakan. Jika penyerang dapat mengubah informasi konten dan konten yang disimpan di cache, maka mungkin untuk menggunakan ini untuk mencoba dan meluncurkan serangan terhadap komputer yang menggunakan BranchCache. Penyerang dapat memulai serangan dengan memasukkan perangkat lunak berbahaya sebagai pengganti data lain. BranchCache mengurangi ancaman ini dengan memvalidasi semua konten menggunakan hash blok yang ditemukan dalam informasi konten. Jika penyerang mencoba mengubah data ini, penyerang akan dibuang dan diganti dengan data yang valid dari sumber asli.
Ancaman sekunder terhadap data yang disimpan di BranchCache adalah pengungkapan informasi. Dalam mode cache terdistribusi, klien hanya menyimpan konten yang dimintanya sendiri; namun, data tersebut disimpan dalam teks yang jelas, dan mungkin berisiko. Untuk membantu membatasi akses cache ke Layanan BranchCache saja, cache lokal dilindungi oleh izin sistem file yang ditentukan dalam ACL.
Meskipun ACL efektif dalam mencegah pengguna yang tidak sah mengakses cache, pengguna dengan hak istimewa administratif dapat memperoleh akses ke cache dengan mengubah izin yang ditentukan dalam ACL secara manual. BranchCache tidak melindungi dari penggunaan berbahaya akun administratif.
Data yang disimpan dalam cache konten tidak dienkripsi, jadi jika kebocoran data menjadi perhatian, Anda dapat menggunakan teknologi enkripsi seperti BitLocker atau Sistem File Enkripsi (EFS). Cache lokal yang digunakan oleh BranchCache tidak meningkatkan ancaman pengungkapan informasi yang ditanggung oleh komputer di kantor cabang; cache hanya berisi salinan file yang berada tidak terenkripsi di tempat lain pada disk.
Mengenkripsi seluruh disk sangat penting di lingkungan di mana keamanan fisik klien sulit dipastikan. Misalnya, mengenkripsi seluruh disk membantu mengamankan data sensitif di komputer seluler yang mungkin dihapus dari lingkungan kantor cabang.
Keamanan cache server cache yang dihosting
Dalam mode cache yang dihosting, ancaman terbesar terhadap keamanan server cache yang dihosting adalah pengungkapan informasi. BranchCache dalam lingkungan cache yang dihosting bertingkah sama dengan mode cache terdistribusi, dengan izin sistem file yang melindungi data yang di-cache. Perbedaannya adalah bahwa server cache yang dihosting menyimpan semua konten yang didukung komputer dengan BranchCache di permintaan kantor cabang, bukan hanya data yang diminta satu klien. Konsekuensi dari penyusupan yang tidak sah ke dalam cache ini bisa jauh lebih serius, karena lebih banyak data berisiko.
Di lingkungan cache yang dihosting di mana server cache yang dihosting menjalankan Windows Server 2008 R2, penggunaan teknologi enkripsi seperti BitLocker atau EFS disarankan jika salah satu klien di kantor cabang dapat mengakses data sensitif di seluruh tautan WAN. Anda juga perlu mencegah akses fisik ke cache yang dihosting, karena enkripsi disk hanya berfungsi ketika komputer dimatikan ketika penyerang mendapatkan akses fisik. Jika komputer diaktifkan atau dalam mode tidur, enkripsi disk menawarkan sedikit perlindungan.
Catatan
Server cache yang dihosting yang menjalankan Windows Server 2016, Windows Server 2012 R2, atau Windows Server 2012 mengenkripsi semua data dalam cache secara default, sehingga penggunaan teknologi enkripsi tambahan tidak diperlukan.
Bahkan jika klien dikonfigurasi dalam mode cache yang dihosting, klien masih akan menyimpan data secara lokal, dan Anda mungkin ingin mengambil langkah-langkah untuk melindungi cache lokal selain cache di server cache yang dihosting.