BIG-IP SSL OrchestratorをAWSに導入することが最適な選択となり得る4つの理由

現在、世界のITコミュニティには、困難なさまざまな要因が重なっています。

顕著な要因としては、世界的な半導体不足がよく知られており、アプリ配信やセキュリティ ハードウェアのリードタイムが延びていることが挙げられます。F5 iSeriesアプライアンスの需要は引き続き堅調ですが、アプライアンスに対する高い需要と持続的なチップ不足により、iSeriesアプライアンスの納期が長期化しています（F5 rSeriesアプライアンスとVELOSシャーシに関しては、サプライ チェーンによる品不足の影響はそれほど大きくないようです）。

第二の大きな要因は、サイバー戦争への懸念とともに、東欧での紛争が続いていることです。2018年にF5 Labsが報告したように、政府機関や民間企業、さらにはホーム オフィスもサイバー攻撃の標的となりえます。

この2つの要因は、新たなセキュリティの導入が急務であるにもかかわらず、多くの組織がソリューションを迅速に調達できない環境と深く関係しています。とはいえ、より高度な脅威が増加する中、セキュリティを保留にすることは選択肢としてあり得ないことも分かっています。

その顕著な例として、ランサムウェアが挙げられます。ランサムウェアの脅威は、2019年の全データ侵害の6％から、2021年にはF5 Labsが調査した全攻撃チェーンの42％に増加し、どれだけ誇張してもし過ぎることがないほどの影響をもたらしています。ランサムウェアは、おそらく他のどのタイプのマルウェアよりも、信頼できるベンダーを通じて伝播し、重要なインフラストラクチャやデータを使用できなくし、国内外の経済に悪影響を与えることで、サプライ チェーンに危害を及ぼす可能性を秘めています。

ランサムウェアの攻撃チェーンを阻止するには、個々のランサムウェア攻撃ベクトルをマスクする暗号化されたチャネルを詳しく見ることができる可視化ソリューションを導入することが重要です。クラウドに導入されたBIG-IP SSL Orchestratorを使用することで、これらのチャネルを解読し、ネットワークを通過するSSL/TLSトラフィックを可視化することができます。復号化されたトラフィックをセキュリティ スタックにオーケストレーションして脅威を検査すると同時に、世界的なチップ不足とサプライ チェーンの問題によって引き起こされる長いリードタイムを回避できます。

サイバー攻撃の増加や世界的なサプライ チェーン不足の中でセキュリティ ニーズに対応するため、当社はAmazon Web Services（AWS）と提携し、AWSに導入可能なBIG-IP SSL Orchestratorのハイパフォーマンス仮想エディションの提供を開始しました。以下に、AWSへのSSL Orchestrator（SSLO）の導入が最適な選択となり得る4つの理由を説明します。

1）ハードウェアのリードタイムが通常より長期化している場合

セキュリティは非常に重要であるため、世界的な半導体不足とサプライ チェーンの中断を理由に保留にすることはできません。多くの場合、組織では、セキュリティ スタックを導入してアプリケーションを保護するために必要なハードウェアを数カ月も待つ余裕はないでしょう。

幸い、まだ他の選択肢があります。高性能のBIG-IP Virtual Editionを使用すると、Amazon Web ServicesにBIG-IP SSL Orchestratorを導入することで、サプライ チェーンの問題によるリードタイムの長期化を回避でき、世界的なハードウェア不足の場合でも組織のセキュリティ優先事項に対応することが可能になります。AWSにSSL Orchestratorを導入する場合、オンプレミス ソリューションとVEソリューションの両方に存在する同一の機能セットを利用することができます。すべてのフォーム ファクタでは、当社の主要なBIG-IPソフトウェアを活用し、共通のユース ケースと機能を共有します。AWSでは、BIG-IP SSL Orchestratorを迅速に立ち上げ、容量要件の増加やセキュリティ ニーズの変化に応じてオンデマンドで拡張することができます。

2）SSL/TLS検査を迅速に拡張する必要があり、インフラストラクチャのアクセラレーションとオフロードを活用したい場合

AWSにSSL Orchestratorを導入する利点の1つは、容量要件の増加に応じてネットワーク インフラストラクチャの拡張を心配する必要がないことです。AWSでは、拡張性の高いAWSプラットフォームでトラフィックの復号化と再暗号化を行うことができます。これにより、SSLオフロードのパフォーマンスが強化され、最大限のセキュリティと費用対効果が得られます。ネットワークを通過する暗号化トラフィックの量が増えても、必要に応じて復号化およびオーケストレーション ソリューションを柔軟にスケールアウトすることができます。

SSL OrchestratorをAWSに導入することで、暗号化された脅威とオーケストレーション ソリューションは高性能になり、ネットワーク状況の変化や組織のニーズに適応可能となり、現代のセキュリティ環境に求められる柔軟性と拡張性に対応することができます。

3）レイヤー3からレイヤー7に侵入するランサムウェアに対する防御が必要である

セキュリティ専門家にとって残念なことに、ランサムウェアはさまざまな攻撃ベクトルを通じてネットワークに侵入します。しかし、これらの攻撃ベクトルの多くには、暗号化されたチャネルを経由して侵入するという共通点があります。したがって、暗号化されたトラフィックを可視化することが、包括的なランサムウェア対策を行う上で非常に重要な側面となります。今日、トラフィックの90％が暗号化されていると推定されており、攻撃者が暗号のプライバシー面を利用して、ネットワーク監視プログラムによる検出を回避しやすくなっています。実際、F5 Labsは、83％のフィッシング サイトが有効なTLS証明書を使用していると報告しています。フィッシング、ソフトウェアやブラウザの脆弱性（CVE）、ドライブバイ ダウンロードは、ランサムウェアの最も一般的な侵入経路であり、これらの攻撃ベクトルはすべて暗号化されている可能性が高くなっています。したがって、暗号化されたトラフィックを監視することは、ネットワークに侵入または通過するランサムウェアを検出する上で非常に重要な手段です。

BIG-IP SSL Orchestratorを使用すると、ソリューションのインテリジェントな分類指標を活用して、トラフィックやネットワークの状況、セキュリティ ニーズに基づいて、集中的かつ適切なセキュリティ サービス チェーンを作成し、セキュリティ サービスを連鎖させることができます。

4）柔軟な購入オプションが欲しい

BIG-IP SSL OrchestratorをAWSに導入する場合は、「柔軟性」が重要なポイントになります。SSL OrchestratorとAWSを組み合わせることにより、セキュリティの総所有コストとインフラストラクチャのフットプリントを削減しながら、選択したモデルとライセンスの高性能VEを使用してSSL Orchestratorを柔軟に利用することができます。SSL/TLSトラフィックの復号化には容量が必要なため、SSL Orchestratorを高性能VEとしてライセンスすることを強くお勧めします。スループット ライセンスのVEは、SSL Orchestratorには推奨されません。この方法でソフトウェアをライセンスすると、SSL Orchestratorにパフォーマンスの問題が発生する可能性があるからです。AWSにSSL Orchestratorを導入するには、高性能BIG-IP VEを活用します。スループット制限のないこれらの仮想エディション インスタンスは、インスタンスを駆動できるvCPUの数によってのみ上限が設定されます。

AWSでは、SSL Orchestratorに必要なリソースとインフラストラクチャのみを使用すればよいため、セキュリティへの投資を最大限に活用することができます。

BIG-IP SSL OrchestratorをAWSの高性能仮想エディションとして利用することで、ランサムウェアやその他のマルウェア、コマンドアンドコントロール サーバーのアウトリーチやデータ流出からアプリケーションとデータを保護するという、半導体不足やサプライ チェーンに起因する懸念を緩和できます。

さらに詳しい内容について

SSL OrchestratorをAWSに導入することがお客様にとって適切かどうかを確認するには、共同ソリューションの概要およびAWS Marketplaceのリストをご覧ください。このソリューションに関するご質問は、sales.f5.comまでお問い合わせください。

導入の準備ができたら、Terraformのテンプレートと導入に関するドキュメントをご覧ください。