F5 による Tier 1 アプリケーションワークロードの AWS への移行

導入

パブリッククラウドへの本番ワークロードの移行または展開を検討している企業は、Amazon Web Services (AWS) をプラットフォームの選択肢として検討する可能性があります。現在、AWS には 2,000 の政府機関と 5,000 の教育機関を含む、190 か国に 100 万を超えるアクティブな顧客がいます。¹ ガートナーによると、AWSは収益（47％）と売上高の両方で圧倒的な市場シェアリーダーであり続けている。²アプリケーションワークロードのシェア（41.5%）²パブリッククラウドの Infrastructure-as-a-Service (IaaS) にデプロイされます。このホワイトペーパーでは、エンタープライズアプリケーション向けパブリッククラウドの広範な導入を妨げてきた多くの要因を検討し、F5 アプリケーション配信サービスが AWS 導入の加速に重要な役割を果たす方法を説明します。

インフラストラクチャとサービスを迅速に導入する必要性

ほとんどの企業にとって、アプリケーションはパフォーマンスパラメータが明確に定義された静的なリソースではありません。ユーザーエクスペリエンスに影響を与えないように、予期しない需要の急増に頻繁に適応する必要があります。社内 IT サービスの柔軟性のなさと固定資産への投資の必要性により、IT 組織は従来、平均需要ではなくピーク需要を満たすようにインフラストラクチャとアプリケーションリソースをプロビジョニングすることで、変動する需要に対応してきました。しかし、新しいインフラストラクチャ、ネットワーク、および関連するアプリケーションリソースの調達と展開は、複雑で時間のかかるプロセスであり、かなりの設備投資が必要です。

AWS は、インフラストラクチャとソフトウェア資産への必要な投資をすでに行っているため、この課題を部分的に解決し、企業がリソースを過剰にプロビジョニングすることなく無制限の容量のメリットを享受できるようにします。 AWS のようなパブリッククラウド IaaS プロバイダーを使用する利点は、企業が新しいアプリケーションを迅速に導入できる俊敏性、オンデマンドでリソースを割り当てる柔軟性、および OpEx と CapEx モデルの経済性です。

パブリッククラウドへのアプリケーションの移行に関する企業の懸念

アプリケーションをクラウドに移行することを検討する際に、アプリケーションのセキュリティ、パフォーマンス、管理制御が IT 部門の最大の懸念事項の 1 つであることは驚くべきことではありません。 AWS は、これらのアプリケーション配信要因の一部に対処するためのネイティブツールとサービスを多数提供していますが、それらのツールにはさまざまな機能と機能セットがあり、アプリケーションの要件を満たさない可能性があります。

安全

今日の脅威の状況を考えると、ほとんどの組織は、クラウドでホストされるアプリケーションに対する最大の懸念としてセキュリティを挙げています。ワークロードをパブリッククラウドインフラストラクチャに移行する際には、高度なマルウェアや、ボリューム型 DDoS とアプリケーション層攻撃 (OWASP Top 10、クロスサイトスクリプティング、SQL インジェクションなど) を組み合わせたレイヤー 4 ～ 7 のセキュリティ脅威から保護することが重要です。 AWS はセキュリティに関して責任共有モデルを使用しており、これはクラウドのセキュリティとクラウド内のセキュリティの 2 つのセグメントに分かれています。クラウドのセキュリティは、基盤となる IaaS インフラストラクチャ (コンピューティング、ストレージ、物理ハードウェアなど) のセキュリティに関係しており、これは AWS の責任です。クラウドのセキュリティとは、ハイパーバイザー層より上のすべてのもの (OS、アプリケーション、データなど) を保護することです。これは消費者の責任です。

一貫したアプリケーションアクセスも必須です。組織は、デバイスや場所に関係なく、すべてのユーザーに対してアクセスが均一であり、同時に社内ポリシーに準拠していることをどのように保証するのでしょうか? ユーザーが複数のユーザー名/パスワードの組み合わせを記憶しなければならない場合、パスワード疲れによってセキュリティが損なわれ、効率が低下する可能性があります。ほとんどの企業は、自社のデータセンター/プライベートクラウド環境に展開されているワークロードに加えて、パブリッククラウドワークロードを展開している可能性があります。そのため、これらのユーザーにとって、ハイブリッドクラウド環境全体で一貫性のある実証済みのセキュリティプラクティス/ポリシーを複製して適用できることが不可欠です。

パフォーマンス

ユーザーエクスペリエンスと生産性は引き続き重要な考慮事項であり、どちらもクラウド内のアプリケーションのパフォーマンスに依存します。場合によっては、クラウドプロバイダーのデータセンターがユーザーから遠く離れているため、ユーザーとアプリケーション間の遅延が増加し、パフォーマンスに影響します。さらに、キャッシュ、圧縮、TCP 最適化など、レイテンシーに対処するために通常使用される方法の一部は、AWS では利用できません。

高度なトラフィック管理と可視性

ほとんどの企業では、ビジネスクリティカルなアプリケーションのために、データセンターで高度なトラフィック管理 (基本的な負荷分散を超えた) を必要としています。 AWS は、Elastic Load Balancing (ELB) と Application Load Balancer (ALB) を介して基本的な負荷分散サービスを提供していますが、組織は HTTP/HTTPS と TCP 以外にどのようなプロトコルサポートが必要かを検討する必要があります。基本的なヘルスチェックと負荷分散アルゴリズムで十分でしょうか? 消費者はアプリケーションデータを操作する必要が頻繁にありますが、そのためには URL 検査や書き換えなどの完全な L7 アプリケーションプロキシ機能が必要です。コンテキストとともに着信クライアントトラフィックを確認する機能は、きめ細かなトラフィックステアリングの決定を行うために重要です。

F5 が AWS の導入を実現する方法

上記の懸念に対処するには、F5 の BIG-IP ソリューションのような統合プラットフォームを通じて提供される、高度でプログラム可能なアプリケーション配信およびセキュリティサービスが必要です。このプラットフォームは、場所に関係なく、すべてのアプリケーションのセキュリティ、パフォーマンス、可用性を保証します。また、新しいクラウドベースのアプリケーションと既存のアプリケーションの両方において、すべてのハイブリッド環境にわたって一貫した方法でアプリケーションサービスとそれに関連するポリシーを配信および管理することも可能になります。

F5 BIG-IP Virtual Editions (VE) は、インテリジェントなトラフィック管理 (ローカルとグローバルの両方)、アクセラレーション、最適化から DNS、高度なアプリケーションアクセス、洗練されたアプリケーションセキュリティまで、アプリケーションサービスとネットワークサービスを含む、すべての BIG-IP ハードウェアで利用できる同じ一貫したサービスセットを提供する仮想 BIG-IP アプライアンスです。これらのサービスは、アプリケーションスタックの一部として完全に統合され、自動的に構成されます。 F5 はハードウェアと仮想アプリケーション配信コントローラ (ADC) の両方の市場リーダーであり、現在 Fortune50 企業のうち 48 社が F5 のアプリケーションサービスに依存しているため、特定のビジネスでアプリケーションのサービスと保護のために F5 がすでに採用されている可能性は十分にあります。

F5 セキュリティサービス

BIG-IP VE は、制御、柔軟性、可視性を犠牲にすることなくクラウドアプリケーションを保護する包括的な L4～7 セキュリティサービスを提供します。これらのサービスは AWS のサービスを補完し、高度な WAF (Web アプリケーションファイアウォール) を通じて、複雑な DDoS 攻撃、Web スクレイピング、多層 Web ベースアプリケーション攻撃、データ盗難、漏洩をすべて防止できます。異常なトラフィックパターンを認識するインテリジェンスと高度な動作分析により、F5 ソリューションは自動化されたボットネット攻撃を検出し、軽減することができます。 F5 ソリューションは、F5 iRules® データパススクリプトの機能を活用して、アプリケーションの脆弱性の悪用やゼロデイ攻撃に迅速に対応できます。 F5 を使用すると、社内の各アプリケーションのファイアウォールルールとポリシーの調整と構成に費やされた労力と専門知識を、クラウドホスト型アプリケーションの VE で活用して再利用できます。

F5 の ID およびアクセス管理アーキテクチャは、ユーザー、デバイス、環境、アプリケーション、およびネットワークのコンテキスト認識に基づいています。つまり、F5 ソリューションは、データセンターとクラウド全体のアプリケーションアクセスに対する ID フェデレーションとシングルサインオンを可能にします。同時に、安全なコンテキストベースのアクセス、Web ベースのマルウェアや持続的な脅威からの保護、包括的なエンドポイントデバイスの検査により、アプリケーションのセキュリティとデータの整合性を実現します。

可用性とパフォーマンス

BIG-IP の高度なローカルトラフィック管理サービスは、HTTP/TCP を超える幅広いプロトコル (HTTP 2.0、SPDY、UDP など) と高度なアプリケーションフローをサポートします。フルプロキシアーキテクチャである BIG-IP プラットフォームは、アプリケーショントラフィックの完全な可視性を提供し、その過程で SSL トラフィックを復号化および再暗号化します。また、グループ内のサーバーのパフォーマンスレベルを動的に追跡し、詳細なヘルス監視と接続状態の管理も提供します。 BIG-IP アプリケーション配信最適化サービスは、アプリケーションの応答時間を短縮し、待ち時間と遅延を最小限に抑え、モバイルデバイスからの Web 要求を完了するために必要なデータの往復回数を削減します。

BIG-IP DNS とグローバルサーバー負荷分散サービスは、最高のユーザーエクスペリエンス、災害復旧、フェイルオーバーポリシーを提供する最も近いクラウドデータセンターにユーザーを誘導します。ユーザーの近接性、地理的位置、ネットワークの状態、アプリケーションの可用性はすべて、ルーティングの決定に考慮されます。このプラットフォームは、さまざまなグローバル負荷分散方法と、各アプリケーションおよびユーザーに固有のインテリジェントな監視を採用しています。 F5 は DNS DDoS 保護も提供し、悪意のある IP アドレスへのアクセスをブロックし、DNSSEC で応答を保護します。何よりも、DNS クエリとヘルスチェックは使用ごとに課金されないため、DNS DDoS 攻撃中に正当なクエリと不正なクエリの両方に対して高額な料金が請求されることを回避できます。

アプリケーションのパフォーマンス要件を満たすスケーラビリティ

アプリケーションワークロードをパブリッククラウドプラットフォームに移行する主な利点は、データセンターでプロビジョニングされた基本容量を超えてアプリケーションを拡張できることです。 AWS Auto Scaling を使用すると、アプリケーションは可用性を維持しながら、事前に定義されたしきい値に従って Amazon EC2 の容量を自動的に拡大または縮小します。 BIG-IP ソリューションは AWS Auto Scaling と統合され、動的にスケーリングされた BIG-IP アプリケーションおよびセキュリティサービスを実現します。また、BIG-IP VE はプールメンバーの追加や削除をネイティブに処理するため、帯域外オーケストレーションや構成管理は必要ありません。 F5 は、BIG-IP LTM の自動スケーリング (図 1 を参照) に加えて、BIG-IP LTM と BIG-IP ASM の両方が BIG-IP VE 上でプロビジョニングされる、自動スケーリングされたアプリケーションセキュリティを可能にするソリューションをリリースしました。

図1: F5 アプリケーションおよびセキュリティサービスを Amazon EC2 インスタンスとともに自動的に拡張します。

簡素化され自動化された展開

AWS Cloud Formation テンプレート (CFT) は、インフラストラクチャ (サーバー、ストレージ、ネットワーク、コンピューティング) リソースのデプロイを自動化するためのスクリプト化された方法を提供します。これらは、AWS 内で同じ BIG-IP イメージと構成を複数回迅速に展開するための繰り返し可能な方法を提供するため、貴重な作業時間をより緊急のビジネス問題に再割り当てできます。 CFT は F5 のエンジニアによって徹底的に設計およびテストされているため、BIG-IP VE の導入や構成に関する心配がなくなり、F5 の仮想アプライアンスが F5 の専門家の信頼を得てプロビジョニングされることが保証されます。それだけでなく、Ansible、Chef、Puppet などのサードパーティの自動化ツールとのシームレスな統合により、これらの CFT は BIG-IP VE の自動化とオーケストレーションのプロセスを簡素化します。 F5 CFT はすべてオープンソースであり、GitHub から無料で入手できるため、F5 愛好家は特定のビジネス要件に合わせてテンプレートを変更できます。

さらに、F5 は、選択した CFT を AWS Marketplace から直接利用できるようにすることで、AWS マーケットプレイスとの統合をさらに緊密にし、より迅速かつ容易に実装できるようにしました。たとえば、さまざまな自動スケーリングソリューション (自動スケール BIG-IP LTM、自動スケール WAF など) をマーケットプレイスから選択して導入し、1 時間以内に実稼働環境で稼働させることができるため、F5 ユーザーがこれらの複雑なソリューションを自分で構成する必要がなくなり、数日、場合によっては数週間の作業時間を節約できます。

DevCentral™ コミュニティサイトでは、BIG-IP VE の展開用のサブネット、ネットワークインターフェイス、ルーティングテーブルなどの VPC リソースの構成例が提供されています。これらの例では、CloudInit ユーザーデータスクリプトを使用して、特定のパッケージアプリケーション (Microsoft SharePoint、Exchange など) およびカスタムアプリケーション用の BIG-IP iApps® テンプレートを展開する方法も示します。 AWS CFT と機能的に類似した F5 iApps は、各アプリケーションに必要な特定のサービスを迅速に導入できるようにするために作成されました。iApps は、各アプリケーションのトラフィック管理、暗号化、ファイアウォール、パフォーマンス最適化などのサービスの構成とポリシーも定義します。

フェデレーションされたパブリックおよびプライベートの展開

パブリッククラウドリソースを既存のプライベートデータセンターと統合することで、組織は既存の投資を引き続き活用しながら、優先順位付けされたスケジュールに基づいてアプリケーションワークロードを移行できます。 BIG-IP VE、F5 iApps、AWS CFT が連携して、追加のアプリケーションリソースを迅速かつ透過的に導入できる統合クラウド構成を作成します。このフェデレーテッドクラウド構成の主な利点には、アプリケーションユーザーのシームレスなリダイレクト、地理位置情報とアクセラレーションテクノロジー、AWS Direct Connect を使用した安全な接続などがあります。アプリケーションリソースがプライベートデータセンターから配信されるか、パブリッククラウドから配信されるかに関係なく、ユーザーエクスペリエンスは影響を受けません。プライベートクラウドリソースとパブリッククラウドリソースの透過的かつ継続的な使用は、需要、プロジェクトが新規か既に実施されているか、または要求者の特定の場所に基づいて行うことができます。

F5® BIG-IQ® 集中管理は、クラウドとオンプレミスの両方で F5 の物理デバイスと仮想デバイスを集中的に制御するポイントを提供します。 BIG-IQ 集中管理は、アプリケーション管理を簡素化し、コンプライアンスを確保し、F5 デバイスとサービスをどこにあっても一貫して安全に管理するためのツールを提供します。 BIG-IQ 集中管理は、F5 デバイスおよび次の F5 モジュールのポリシー、ライセンス、SSL 証明書、イメージ、および構成を処理します。

BIG-IP® ローカルトラフィックマネージャー™ (LTM)
BIG-IP® アプリケーションセキュリティマネージャ™ (ASM)
BIG-IP® アドバンストファイアウォールマネージャー™ (AFM)
BIG-IP® アクセスポリシーマネージャー® (APM)
BIG-IP DNS（監視のみ）
F5 不正防止ソリューション WebSafe および MobileSafe のダッシュボード

BIG-IQ Centralized Management は、物理アプライアンスまたは仮想アプライアンスとして利用可能で、AWS Marketplace から直接実行することもできます。

図2: F5 BIG-IQ 集中管理は、パブリッククラウドとプライベートクラウド全体の F5 デバイスとサービスに適用されます。

柔軟なライセンスモデル

BIG-IP Virtual Editions は主に Good-Better-Best バンドルで提供され、次の 3 つの異なる購入モデルがあります。

公共料金の請求。テストおよび開発のプリプロダクションワークロード、または一時的なクラウドバーストとスケーラビリティの使用ケースの場合、F5 は柔軟性とオンデマンドの後払い使用を提供する時間単位のユーティリティライセンスを提供します。すべてのユーティリティオファーには、プレミアムサポートとソフトウェアアップグレードが含まれています。
ライセンス持ち込み (BYOL)。このオプションは、既存の BIG-IP VE ライセンスがプライベートデータセンターから AWS に直接移行されるハイブリッドクラウド環境に最適です。
年間サブスクリプション。 F5 では、永続的な VE ライセンスに加えて、年間サブスクリプションの BYOL VE ライセンスも提供しています。サポートされているあらゆるハイブリッドクラウド環境で使用できるため、移植性と柔軟性が向上します。年間サブスクリプションは、安定したトラフィックを持つ本番ワークロードに最適で、AWS Marketplace から入手できます。
エンタープライズライセンス契約 (ELA)。最大限の柔軟性と俊敏性を求める大規模なエンタープライズ環境の場合、ELA ではプレミアムサポートとソフトウェアアップグレードが含まれた 3 年間の契約で複数の VE を購入することができます。

さらに、BIG-IQ 集中管理ライセンスマネージャーは、すべてのハイブリッド環境で BIG-IP 製品ライセンスを管理するために無料で利用できます。

結論

パブリッククラウドサービスの導入はここ数年で飛躍的に増加しており、AWS はこれらのサービスにおいて一貫して市場リーダーとなっています。多くの IT スタートアップ企業や、より大規模で有名な企業が、AWS クラウドに完全に導入し、大きな成功を収めています。企業がアプリケーションをクラウドに移行する計画を立てている場合、F5 BIG-IP 仮想エディションを使用すると、F5 のアプリケーション配信およびセキュリティサービスをクラウドアプリケーションワークロードに簡単に移植できます。そうすることで、パブリッククラウドのセキュリティ、パフォーマンス、制御に関して企業顧客が抱える多くの基本的な懸念に対処できます。 AWS Marketplace の BIG-IP ソリューションで利用できる柔軟なライセンスモデルにより、企業は最小限の財務的負担で AWS でアプリケーションを計画、ステージング、展開し、AWS クラウドの俊敏性と効率性のメリットを享受できるようになります。

¹ Amazon クラウドエッセンシャル: 知っておくべき 5 つの事実 (https://n2ws.com/blog/5-facts-amazon-cloud-essentials.html)
² AWS vs Azure vs Google Cloud 市場シェア 2017 ("https://www.skyhighnetworks.com/cloud-security-blog/microsoft-azure-closes-iaas-adoption-gap-with-amazon-aws/)