Facebook

Facebook、F5ソリューションの採用によりセキュアなリモートアクセスとCitrix XenAppアプリケーションの高速化を実現

世界最大のソーシャル・ネットワーキング・サイトであるFacebookは、自社のリモート・アクセス・ポータルとCitrix XenApp仮想アプリケーション環境が、ネットワークへの侵入やデータ窃盗の経路になることを防ぎつつ、高速で信頼できる接続性とパフォーマンスを提供するという課題を持っていました。

XenAppと緊密な親和性をもち、独自の3要素認証を提供するF5のソリューションを導入したことで、社外にいる社員、ベンダー、コンサルタント、パートナーが、ユーザの個人情報を危険にさらすことなく、アプリケーションやWebサービスに高速に確実に接続できるようになりました。

ビジネス上の課題

FacebookのIT部門では、ベンダーや、コンサルタント、パートナーがCitrix XenApp経由で社内アプリケーションにアクセスすることを許可しています。同部門では、XenApp仮想アプリケーション環境のパフォーマンスと安定性を最適化すると同時に、リモート・アクセス・ポータルのセキュリティの強化を図りたいと考えていました。FacebookのコーポレートITインフラストラクチャ・チームのサイモン・ブラックステイン氏は次のように述べています。「Facebookは攻撃者にとって大きなターゲットです。ですから、リモート・アクセス・ポータルや社内アプリケーションに接続してくる全てのユーザを確実に把握できるようにしておかなければなりません」

Facebookの既存の仮想プライベート・ネットワーク（VPN）と2要素認証では、この要件を満たすことはできませんでした。ブラックステイン氏は次のように語っています。「ユーザを把握した上で、アクセスを制限するツールとしてVPNを利用するのは無理がありました。Citrixや他のベンダーのものよりもさらに優れた、リモートアクセスと認証のためのソリューションが必要でした」

Facebookが調査を行ったところ、多くのソリューションがログインパスワードと証明書の有効性を個別に認証できるようになっているものの、それらが同じユーザのものかどうかを確認することはできないことが明らかになりました。Facebookは、ポータルユーザが有効なIP アドレスからログインしたことを確認するための第3 の認証を取り入れたいと考えましたが、このような機能を備えたアイデンティティ・ソリューションはなかなか見つかりませんでした。「Citrix XenApp環境にスムーズに統合でき、個々のサービスへのユーザアクセスの細かい制御を可能にしてくれるソリューションを求めていました」とブラックステイン氏は話します。

最終的に、Facebookが必要としたのは、IT部門とユーザの両方にとって使いやすいソリューションでした。「Facebookは動きの早い企業です。パートナーやコンサルタントをすばやくオンボーディングし、すぐに仕事に取り掛かれるようにする必要があります。よって、設定の手間がかからず、できるだけ使いやすいソリューションが必要でした」とブラックステイン氏は説明します。

ソリューション

アプリケーション・デリバリ、アイデンティティ、セキュリティに関する様々なソリューションを調査し、最終的にFacebookが選んだのは、BIG-IP Local Traffic Manager（LTM）搭載のF5 BIG-IP 8900（クラスタ構成）3組と、BIG-IP LTMとBIG-IP AccessPolicy Manager（APM）を搭載したBIG-IP 3900ペア1組でした。このソリューションはFacebookのリモートアクセス用ユーザ&パートナー・ポータルの前方に設置されました。

ここでXenAppアプリケーションのパフォーマンス、拡張性、信頼性を最適化しつつ、ユーザのログイン情報を一意の証明書および発信元のIPアドレスと照合するF5独自の3要素認証を行います。また、ユーザのWebサービスへのアクセスの細かい制御にも対応できるようになっています。

インストールのしやすさ、Citrix XenAppとの緊密な統合、強力なiRuleスクリプト言語といったF5 BIG-IPソリューションの特徴を見て、ブラックステイン氏は採用を決めました。「APMを搭載したBIG-IP LTMと他社のソリューションの比較となりましたが、BIG-IPはあらゆる点でもう一方のベンダーより勝っていました」

ブラックステイン氏によれば、導入はスムーズに進み、わずか数週間で完了しました。「導入は驚くほど簡単でした。XenAppへの統合も難なく終わり、認証に必要な、高度にカスタマイズされたソリューションを構築することができました。スクリプティングの知識の多少に関係なく、誰でも、高度にカスタマイズされたiRuleを記述できます。またDevCentralサイトでは数千人のユーザから寄せられたiRuleスクリプト言語のサンプルが公開されていて、大変役に立ちます」

ブラックステイン氏はまた、F5は一緒に仕事がしやすい相手だと感じたと言います。「多くのベンダーは自社のソリューションについて『フリーサイズ』という考え方のもと仕事をしていますが、F5はそうではありませんでした。私達がニーズをF5に伝えると彼らはこちらが何を必要とし、またなぜそれが必要なのかを理解してくれ、構築に協力してくれたのです」。またFacebookは、iRuleを利用して、ソリューションをできるだけ使いやすくするためにポータル・インターフェイスのカスタマイズと合理化を行いました。

メリット

BIG-IPを導入したことで、Facebookには、XenApp環境との確実な統合、強力な認証とセキュリティ、社外コンサルタント向けの簡単な設定とアクセスといった多数のビジネスメリットがもたらされました。

■  XenApp環境の運用管理の簡素化

BIG-IPソリューションはXenApp環境と緊密に統合されているため、Facebookは両方のソリューションに対して中間の位置から簡単にセキュリティポリシーを適用することができます。ブラックステイン氏は次のように述べています。「BIG-IPとXenAppをスムーズに連動させることは難しいかもしれないし2つのベンダーとやり取りしなければならないため、必要なレベルのサポートは期待できないのでは、といった懸念を表す声も一部から聞かれました。しかし、それは大間違いでした。F5のソリューションとXenAppはスムーズに連携しています。XenAppに変更があればF5はすぐに対応しますし、両社共、完璧なサポートを提供してくれています。その結果、ポータルのユーザはアプリケーションにすばやく簡単かつ確実にアクセスできるようになりました」

■  信頼性の高いアプリケーション・アクセスを保証

BIG-IP LTMのトラフィック管理とサーバヘルスチェックの機能を活用することで、Facebookではアプリケーションのパフォーマンスと信頼性を向上させることに成功しています。ブラックステイン氏はこう説明します。

「このポータルは弊社にとってミッションクリティカルなサービスです。ベンダーそしてコールセンターの多くは様々な地域とタイムゾーンに分散しています。つまり、私達が眠っている間にも働いている人達がいるのです。このことは、たとえ夜間やメンテナンス時、あるいは停電発生時にも、決してポータルを止めてはならないことを意味しています」。マシンの起動・停止時にF5のソリューションにより継続的なアプリケーション・アクセスが確保されるのも、ブラックステイン氏のチームにメリットをもたらしています。「Citrixはアプリケーションの仮想化というすばらしい仕事をしています。しかしF5は、そのアプリケーションをネットワークを使ってすばやく確実に配信するというさらに素晴らしいことをやってのけているのです」

■  リモート・アクセス・ポータルのセキュリティの向上

BIG-IP APMとカスタマイズ可能なiRuleにより提供される強力な3要素認証を使うことで、Facebookでは他のソリューションから得られるものよりもはるかに高い水準のセキュリティをリモート・アクセス・ポータルにおいて実現しています。ブラックステイン氏はこう話します。

「F5を使うことで実現した高度な認証プロセスは、弊社のユーザとビジネスをおびやかす膨大なリスクの解消に役立っています。ログイン情報を証明書と発信元IPアドレスと照らし合わせて記録的な速さで照合できるため、今ではネットワーク上のポータルユーザを把握できないということはありません。F5の導入で適切なWebサービスの利用法がよく分かるようになりました」

Facebookでは、社内のメッセージング・インフラストラクチャのサポート、さらには業務アプリケーションへのアクセスに影響を与えることなく新しいデータセンターにアプリケーションを集約する戦略の一環として、BIG-IP Global Traffic Manager（GTM）を導入することも計画しています。

PDFをダウンロード