【特集記事】「BIG-IP=ロードバランサー」という大きな誤解 負荷分散だけではない、 BIG-IPが企業にもたらす 多様なソリューション

出典元:TechTargetジャパンに2017年10月に掲載されたコンテンツを再構成したものです。
本記事はTechTargetジャパンの許諾を得て掲載しています。

「BIG-IP」といえば負荷分散、そんな思い込みを持つ方は少なくない。
しかしクラウドの普及やサイバー攻撃の増加といったIT環境の変化に適用する機能を豊富に用意している

F5ネットワークスの「BIG-IP」といえば、負荷分散のための機器。オンラインショッピングやゲーム、Webサービスを展開するなど大量のトラフィックをさばく必要のある企業のためのもの――そう思い込んでいるネットワーク管理者は多いのではないだろうか。
確かにBIG-IPは長年にわたりロードバランサー(負荷分散装置)市場で大きな存在感を示してきた。このため、負荷分散というイメージが強いかもしれないが、実は、急速に変化し続けるIT環境に追随し、最適化したネットワークインフラを実現するための機能を豊富に備えている。
BIG-IPは、物理アプライアンスだけでなく仮想アプライアンスでも複数のモデルが提供されており、規 模に応じて選択できる。その上で共通のプラットフォームとなるOS「TMOS」が動作し、さらに用途に応じて、負荷分散およびトラフィック管理を行う「BIG-IP Local Traffic Manager(LTM)」をはじめとするソフトウェアを組み合わせることで、クラウドサービス利用のトラフィック最適化や可視化、セキュリティ強化など、一般的なエンタープライズ企業のニーズに応える多様な機能を提供できる。ここでは、あまり知られていないかもしれない、負荷分散以外の機能を紹介しよう。

「常時SSL」の広がりに伴って高まる「可視化」のニーズに対応

この数年、SSL/TLS(以降、SSLと表記)通信の採用が広がっている。エンドツーエンドでユーザーの情報を保護して盗聴やなりすましアクセスを防ぐといったセキュリティの強化が目的だ。この傾向は加速しており、Googleなどの主要なWebサービスやSNS(ソーシャルネットワークサービス)では、全てのWebページをSSLで暗号化する「常時SSL化」を推奨、徐々に移行に踏み切っている。
しかし残念ながら、サイバー攻撃者側もこの傾向を逆手に取るようになった。不正なホストとの通信をSSLで暗号化し、既存のセキュリティ機器のスキャンをパスしようと試みるマルウェアが多く発見されている。また、悪 意を持つ内部犯行者がSSLで保護された通信経由で機密情報や個人情報を外部に持ち出そうとするケースも報告されており、新たなリスクになりつつある。
何とかしてSSL通信を「見える化」し、悪意のある通信や機密情報が含まれていないかを確認する手だてが必要だ。しかしSSLの復号、再暗号化の処理には大きな負荷がかかる。UTM(統合脅威管理)アプライアンスを使ったとしてもパフォーマンスが低下し、ユーザビリティーに影響を与えることが多い。
これに対し、BIG-IPではSSL通信の暗号化、復号に特化した専用ASICを搭載しているため高速な処理が可能だ。また「App Transport Security」(ATS)に向け、PFS(前方秘匿性)を実現できるECC(楕円曲線暗号)へのシフトが加速しているが、「BIG-IP iシリーズ」は専用ハードウェアでECCの暗号化処理を実現。他製品にはない特徴を有す。
さらにネットワールドが提供する「F5 BIG-IP LTM+SSL Forward Proxyライセンス」を活用すれば、BIG-IPが一度SSL通信を復号して、UTMなど既存のセキュリティ製品に渡してスキャン、SSLを隠れみのに使おうとする脅威を発見できる。ネットワーク構成に手を加えることなくSSL通信を可視化できるため、既存の資産を大いに生かせることもメリットだ。

SSL通信の可視化における課題

クラウドサービスにおける細かなアクセス制御を実現

もう1つ、企業を取り巻く環境で起こった大きな変化といえばクラウドサービスの浸透だろう。特に「Microsoft Office 365」をはじめとするSaaSはその代表格で、社内外との連絡や情報共有、営業支援など、さまざまな場面に欠かせないツールとなっている。だが時に、IT部門のあずかり知らぬところでユーザーがクラウドサービスを利用してしまえば、しかるべきセキュリティポリシーも適用できず、情報漏えいのリスクが高まる恐れもある。いわゆる「シャドーIT」の問題だ。
F5 BIG-IP LTMによってSSL通信を可視化した上でセキュリティ機器を組み合わせれば、トラフィックをアプリケーションレベルで識別し、許可した端末のみ利用可能にしたり、「参照は許可、編集は禁止」といった細かなアクセス制御を適用したりできる。

「Office 365」利用時のパフォーマンスとセキュリティを最適化

クラウド利用時のもう1つの課題がパフォーマンスだ。ネットワールド SI技術本部インフラソリューション技術部ネットワークソリューション課でシステムエンジニアを務める山田晋吾氏は、「あまり知られていませんが、Office 365利用時には各端末が大量のセッションを張り、コネクションを消費します。また、トラフィックも膨大な量に上るため、ネットワークが圧迫されることがあります。導入して初めてOffice 365のパフォーマンスに関するトラブルに直面し、頭を悩ませる企業は少なくありません」と指摘する。
こうしたケースでは、BIG-IP LTMをOffice 365向けのWebプロキシとして利用することで、通信を最適化できる。SSL可視化の場合と同様、既存のネットワーク構成に手を加えることなく導入でき、これまで使ってきたWebプロキシサーバはOffice 365以外のWebアクセスに活用可能だ。「このOffice 365の負荷分散設定時に直面しがちな課題は、Office 365向け通信を判別するためのFQDN情報の取得、登録です。ネットワールドではそれを自動化するためのサンプル設定をオプションで提供しているため、設定の手間を大幅に軽減できます」(山田氏)
さらに「BIG-IP Access Policy Manager(APM)」を組み合わせることで、Office 365と社内システムにまたがるシングルサインオンを社内の「Active Directory」と連携して実現できる。それも、単に認証の回数を減らしてユーザーの利便性を高めるだけでなく、セキュリティも同時に強化する。認証時にPCのソフトウェアやバージョン、パッチ適用状況などをチェックし、セキュリティポリシーを満たしている端末のみを接続させる「検疫機能」、クライアント証明書とワンタイムパスワードを用いた「多要素認証」を組み合わせることで、さらに安全なアクセスを可能にするのだ。

認証の強化や端末のセキュリティ検査で不正アクセスに備える

方、企業を取り巻くネガティブな変化の最たるものが、不正アクセスやサイバー攻撃の増加だろう。これに対してもBIG-IPは複数の対策を用意している。
前述のBIG-IP APMは、社内システムからOffice 365へという外部サービス利用時の認証強化だけでなく、自宅や外出先などのリモート端末から社内システムへのアクセス時にも活用できる。このとき、毎回変わるマトリクスの中からあらかじめ決めていた順番通りに文字を拾い出し、ワンタイムパスワードとして用いる認証システム「PassLogic」を組み合わせることも可能だ。つい使い回しがちなパスワードに頼るのではなく、ワンタイムパスワードによって認証を強化すると共に、上述のBIG-IP APMが提供する端末チェック機能も併用することで、時間や場所に捉われない多様な働き方を安全に実現できる。

ネットワールドメンバー

運用コストと手間を削減した高パフォーマンスなVDI環境を実現

 働き方改革に取り組む企業の中には、「VMware  Horizon  View」でVDI(仮想デスクトップインフラ)を実現するケースも増えている。この時、BIG-IPでPC-over-IP(PCoIP)をフルプロキシする「PCoIP  Proxy」機能を組み合わせれば、VMware Horizon Viewクライアントとの通信時にユーザー認証を代行し、シングルサインオンを実現。同時に負荷分散も実現し、VMware Horizon Viewを快適に利用できる環境を整える。
 「従来のように、別途VPNクライアントをインストールしたり、SSL VPNライセンスを購入したりする必要がないため、運 用の手間もコストも大幅に削減できます。それでいてユーザーは、通信速度を劣化させることなく、Horizon View本来の高いパフォーマンスで利便性の高いVDI環境を、手間を掛けることなく安全に利用できるようになります」とネットワールドマーケティング本部ソリューションマーケティング部クラウド&セキュリティソリューション課課長渡部隆氏は語る。
 BIG-IPのラインアップではそれ以外にも、SQLインジェクションやクロスサイトスクリプティングといったアプリケーションレイヤーでの攻撃を検出し対処するWebアプリケーションファイアウォール(WAF)製 品「BIG-IP Application Security Manager(ASM)」も提供している。攻撃を検出するだけでなく、非常に高いスループットも両立できる上、機能をカスタマイズできるプログラミング言語「iRules」と開発者向け情報サイト「DevCentral」の情報を利用すれば、新たに登場した攻撃を検出するルールを速やかに追加できる。
 「WAFは運用が難しいとイメージされている方が多くいらっしゃいます。しかし、ASMは手間をかけずに運用し、ブロックするところまで考えられた製品です」と、同社SI技術本部インフラソリューション技術部ネットワークソリューション課係長東條優氏は紹介する。

高度なカスタマイズも可能、ネットワールドならではの知見で支援

このようにBIG-IPは、SSL通信の増加やクラウドの普及、脅威の増加や働き方改革といったIT環境の変化に伴って生じた新たなニーズに対応する。
その上BIG-IPは、いわゆるハードウェアアプライアンスだけでなく、ハイパーバイザー上で動作する仮想アプライアンス「Virtual Edition」も提供しており、IaaSを活用したハイブリッドクラウド環境でも、SSL可視化やセキュリティ強化といったBIG-IPならではの機能を活用できる。
もう1つのBIP-IPの特徴は、iRulesをはじめとするプログラミング言語やAPIを用いて高度なカスタマイズが可能なことだ。ただ、細かなカスタマイズが可能ということは、裏を返せば、ユーザーが設定に迷いかねないということでもある。ネットワールドでは顧客が試行錯誤しなくて済むよう、幾つかの設定情報を無償で提供する。より細かな設定が必要な場合は有償のプロフェッショナルサポートも利用可能だ。特に近年ニーズの高いサイバーセキュリティ対策については、「脆弱性診断サービス」やマルチベンダーで監視を行う「SOCサービス」と連携しながらBIG-IP ASMのポリシーチューニングを行うなど、かゆいところに手の届くサポートを提供する。
こうしたことが可能なのも、BIG-IP製品だけでなく、VMwareやPassLogic、Office 365といったさまざまな製品を取り扱い、構築、運用を支援してきた経験がネットワールドにはあるからだ。「さまざまな強みを持つエンジニア同士が情報を交換し、最適な設定に関する知見を蓄積しています。トラブルが発生した際も問題の切り分けから対応まで一気通貫で対応できます」(東條氏)
また、ネットワールドではBIG-IPのさまざまな機能を体験できる「ハンズオンセミナー」を定期的に開催している。検証用の「ラボ版」も提供しているため、一度試してみてはいかがだろうか。

提供:株式会社ネットワールド
アイティメディア営業企画/制作:TechTargetジャパン編集部

PAGE TOP