F5 on AWS の革新の 1 年を振り返る

先週、ラスベガスでこれまでで最大規模の AWS re:Invent カンファレンスが開催され、クラウド業界の巨人の最新かつ最高のプラットフォーム開発について学ぶことに熱心な 50,000 人を超える参加者が集まりました。 騒ぎが収まり、長引くネバダの二日酔いも薄れてきた今こそ、AWS 上の F5 にとって今年もダイナミックで生産的な一年だったことを振り返るのに、これ以上の時期はないのではないでしょうか。 それでは、ゆっくりくつろぎながら、過去 1 年間の F5 の AWS における最も注目すべき進歩のいくつかを詳しく見てみましょう。

1. BIG-IP クラウド エディションが AWS Marketplace で利用可能に
2. F5 Advanced WAF が AWS Marketplace で利用可能に
3. F5 クラウド サービス早期アクセス
4. セキュリティハブとの統合
5. AWS トランジットゲートウェイのサポート
6. CloudFormation テンプレートの進捗状況と AWS クイックスタート
7. AWS インテリジェンスコミュニティ (IC) マーケットプレイスで利用可能
8. AWS WAF 向け F5 マネージドルール

1) BIG-IP Cloud Edition が AWS Marketplace で利用可能に

簡単に言えば、BIG-IP Cloud Edition on AWS は、F5 の最高クラスの仮想アプリケーションサービスを、BIG-IQ の大幅に強化された集中管理機能と組み合わせたものです。 アプリケーション ポートフォリオが拡大し続け、自動化と俊敏性の必要性がますます高まる中、適切な規模の専用アプリケーション サービスと、詳細で洞察に富んだ分析、アプリケーション チームのセルフサービス、自動スケーリングを組み合わせることほど優れた方法はありません...そう思いませんか?

基本的に、BIG-IP Cloud Edition は、業界をリードするアプリケーション サービスと開発の俊敏性のどちらかを選択する必要があるという、現在では誤った考え方を再構築します。 BIG-IP Cloud Edition を使用すると、両方を選択して、デジタル変革による IT への高まるプレッシャーに対処することができます。 F5 のお客様は、AWS 環境内で BIG-IP Cloud Edition を試用および導入できるようになりました。

BIG-IP Cloud Editionソリューション ガイドを確認するか、AWS Marketplace の製品ページにアクセスしてください。

2) AWS Marketplace での F5 Advanced WAF の提供開始

パブリック クラウドをめぐる論争が続くこの段階では、ほとんどの人が共有セキュリティ モデルの概念をよく知っています。つまり、クラウド プロバイダーが基盤となるクラウド インフラストラクチャのセキュリティに責任を持ち、ユーザーがアプリとデータを保護する責任を負います。

同時に、サイバー犯罪者は攻撃方法を絶えず進化させ、脆弱性を悪用してアプリにアクセスし影響を与える新しい方法を見つけています。 セキュリティ専門家を長年悩ませてきた一般的な攻撃ベクトル (XSS、インジェクションなど) に加えて、マルウェアやボット関連の攻撃からリソースを麻痺させる DoS 攻撃に至るまで、最近ではより革新的で洗練されたメカニズムがアプリを脅かすために使用されています。 このような高度な脅威があるため、パブリック クラウド アプリを保護する際には、市場で最も高度なアプリケーション セキュリティ ソリューションを実装することが贅沢ではなく必須となります。

その後、F5 は業界で最も包括的な WAF ソリューションであるAdvanced WAFをリリースしました。これは AWS で利用可能で、最も複雑な攻撃からワークロードを確実に保護します。 高度な WAF の機能には、レイヤー 7 の動作 DoS 検出と軽減、資格情報の保護、プロアクティブなボット防御が含まれます。

詳細については、 Advanced WAF の Web ページをご覧いただくか、 AWS Marketplaceをご覧ください。

3) F5クラウドサービス早期アクセス

re:Invent では、AWS SaaS ファクトリーを中心に構築された革新的な新しいサービス配信プラットフォーム機能を発表できることを非常に嬉しく思っています。 F5 クラウド サービスは、当初は早期アクセス プレビューであり、関心のある方は、次の F5 クラウド サービスのプレビューを無料ですぐに試用できます。

• DNS – DNS をターゲットとした DDoS 保護が組み込まれた、グローバルに分散された権威 DNS サービス。
• GSLB – F5 グローバル サーバ ロード バランシング (GSLB) サービスは、クラウドおよびハイブリッド ベースのアプリケーション展開にインテリジェントなロード バランシングを提供します。

F5 クラウド サービスの発表を確認し、こちらから早期アクセス プレビューにサインアップしてください。

4) AWS セキュリティハブとの統合

AWS が Andy Jassy の re:Invent 基調講演で新しい Security Hub サービスを発表したとき、鋭い観察力を持つ視聴者の皆さんは、画面上におなじみの大きな赤いボールが映っていることに気づいたかもしれません。 嬉しいことに、F5 は実際にこの新しいツールのローンチ パートナーであり、顧客がこの中央レポート コンソールに Advanced WAF と BIG-IP ASM Virtual Edition を統合できるようにしています。 これにより、セキュリティチームは、ブロックされたトラフィックからの定義済みアラート情報 (攻撃の種類、ソースなど) を AWS Security Hub にエスカレーションして、さらに確認できるようになります。 さらに、自動化されたコンプライアンスチェックにより、AWS Security Hub は F5 WAF 構成を評価し、業界の要件への準拠を確保できます。

F5 と Security Hub の統合の詳細については、こちらの記事をご覧ください。

5) AWS トランジットゲートウェイのサポート

AWS Transit Gateway (TGW) は、re: で発表されたもう 1 つのサービスです。 Invent では、F5 が再び立ち上げパートナーとなりました。 本質的に、TGW は、異なるネットワークが相互にルーティングする方法を改善するように設計された新しい集中型ルーティング構造です。 VPC ピアリングなどの以前の AWS ルーティング構造でも同様の結果が得られましたが、分散化されており制限がありました。

F5 の顧客にとってメリットとなるさまざまな機能の活用方法を考えると、私たちは AWS 以上にこれに期待しているかもしれません。 この例としては、TGW を使用して AWS 環境全体のトラフィックの完全なサニタイズを実施することが挙げられます。 これを実現するには、F5 Advanced WAF インスタンスが配置された専用のセキュリティ VPC を作成し、すべての受信トラフィックをこの VPC 経由でルーティングするように TGW ルールを設定します。これにより、この VPC から送信されるすべてのトラフィックから悪意のあるトラフィックが除去され、正当なトラフィックのみが TGW によって他の AWS リージョンや VPC にルーティングされるようになります。

この DevCentral の記事で、この TGW の使用例やその他の使用例について詳しく学んでください。

6) CloudFormation テンプレートの進捗状況と AWS クイックスタート

近年、F5 の優秀なエンジニア チームが、F5 の CloudFormation テンプレート (CFT) ポートフォリオの構築に熱心に取り組んできました。 CFT に馴染みのない方のために説明すると、CFT は、AWS にリソースをデプロイするためのシンプルで自動化された方法を提供する Infrastructure-as-Code の一種です。 これらのテンプレートを活用することで、ユーザーはわずか数分で多様で複雑なアーキテクチャに Virtual Edition を展開できます。

過去 12 か月間に、GitHub 上の F5 の CloudFormationリポジトリで行われた主な開発は次のとおりです。

• ハイブリッド自動スケール BIG-IP VE テンプレート– BYOL VE インスタンスを展開し、トラフィックが増加すると、自動スケーリング イベントによって追加の PAYG VE インスタンスがプロビジョニングされるようにします。
• BIG-IP DNSによる自動スケール – AWS ELB を第 1 層のロードバランサーとして使用する代わりに、BIG-IP DNS を使用して、自動スケーリング BIG-IP VE の層間でトラフィックを分散します。
• BIG-IQ License Manager VE テンプレート– BIG-IQ LM インスタンスのスタンドアロンまたはクラスターの展開を有効にします。

F5 は、新しい CFT の開発に加えて、既存の Auto Scale LTM CFT を AWS QuickStartにラップして、本番環境やサンドボックス環境の立ち上げをさらに容易にすることにも取り組んでいます。

この新しい QuickStart に関する情報はここ で参照できます。また、F5 の CFT の詳細についてはここ で参照できます。

7) AWS Intelligence Community (IC) マーケットプレイスでの提供 

AWS C2S、別名Commercial Cloud Servicesは、AWSクラウドの隔離された極秘領域を米国にもたらした政府のプログラムおよび契約手段です。 インテリジェンスコミュニティ（IC）。 これにより、極秘の政府ワークロードを AWS インフラストラクチャ上で安全に実行し、必要なすべての IC コンプライアンス要件を満たしながら AWS サービスを活用できるようになりました。 C2S 顧客の効率性を向上させ、調達サイクルを短縮するために、AWS は、すべてのソリューションが事前に審査され、IC 顧客による使用が承認される Marketplace のバージョンをリリースしました。

AWS との数か月にわたるコラボレーションの後、F5 の BIG-IP Virtual Edition がこのマーケットプレイスに追加され、IC のお客様は、オンプレミスで以前に構成していたものと同じトラフィック管理およびセキュリティ サービスを AWS クラウドでシームレスに実装できるようになりました。

8) AWS WAF 向け F5 マネージドルール

すべてのアプリケーションが同じように作成されるわけではなく、ビジネス目的、展開場所、ユーザー データの機密性や重要性、規制要件など、さまざまな要因によってアプリケーションが大きく異なることは周知の事実です。 最終的に、セキュリティ要件はワークロードごとに異なることになります。 たとえば、機密データを扱うミッションクリティカルなアプリでは、サイバー脅威に対する高度な保護が必要になる可能性が高くなりますが、基本的な非クリティカルなアプリケーションでは、エンタープライズグレードの WAF の高度な機能のすべてが必要になる可能性は低くなります。 このような場合は、AWS の WAF のようなより基本的なファイアウォールで十分な場合があります。

F5 は、これらの重要度の低いワークロード向けに、AWS のネイティブ WAF 上に実装して追加の保護要素を提供できる一連のルールセットを開発しました。 3 つの異なるルールが用意されており、それぞれ特定の脅威タイプから保護します。

• ボット保護– 脆弱性スキャナー、Web スクレーパー、DDoS ツールなどの悪意のあるボットのアクティビティを防止します。
• CVE 脆弱性- Apache、Bash、Java、MySQL、Ruby On Rails、WordPress などのシステムを標的とする一般的な脆弱性と露出 (CVE) から保護します。
• Web エクスプロイト- XSS、SQL インジェクション、パス トラバーサルなどの OWASP トップ 10 の脅威から保護します。

詳細については、この記事をご覧いただくか、AWS Marketplaceにアクセスしてください。

以上で終了です。ここで取り上げた内容やAWS 上の F5についてご質問がある場合は、お気軽にお問い合わせください。 F5 は今後 1 年間に AWS 向けに多数の製品開発を計画しており、クラウドへの移行中も引き続きお客様を支援していきますので、どうぞご期待ください。