パブリック クラウドへの本番ワークロードの移行または展開を検討している企業は、Amazon Web Services (AWS) をプラットフォームの選択肢として検討する可能性があります。 現在、AWS には 2,000 の政府機関と 5,000 の教育機関を含む、190 か国に 100 万を超えるアクティブな顧客がいます。1 ガートナーによると、AWSは収益(47%)と売上高の両方で圧倒的な市場シェアリーダーであり続けている。2アプリケーションワークロードのシェア(41.5%)2パブリック クラウドの Infrastructure-as-a-Service (IaaS) にデプロイされます。 このホワイト ペーパーでは、エンタープライズ アプリケーション向けパブリック クラウドの広範な導入を妨げてきた多くの要因を検討し、F5 アプリケーション配信サービスが AWS 導入の加速に重要な役割を果たす方法を説明します。
ほとんどの企業にとって、アプリケーションはパフォーマンス パラメータが明確に定義された静的なリソースではありません。ユーザー エクスペリエンスに影響を与えないように、予期しない需要の急増に頻繁に適応する必要があります。 社内 IT サービスの柔軟性のなさと固定資産への投資の必要性により、IT 組織は従来、平均需要ではなくピーク需要を満たすようにインフラストラクチャとアプリケーション リソースをプロビジョニングすることで、変動する需要に対応してきました。 しかし、新しいインフラストラクチャ、ネットワーク、および関連するアプリケーション リソースの調達と展開は、複雑で時間のかかるプロセスであり、かなりの設備投資が必要です。
AWS は、インフラストラクチャとソフトウェア資産への必要な投資をすでに行っているため、この課題を部分的に解決し、企業がリソースを過剰にプロビジョニングすることなく無制限の容量のメリットを享受できるようにします。 AWS のようなパブリッククラウド IaaS プロバイダーを使用する利点は、企業が新しいアプリケーションを迅速に導入できる俊敏性、オンデマンドでリソースを割り当てる柔軟性、および OpEx と CapEx モデルの経済性です。
アプリケーションをクラウドに移行することを検討する際に、アプリケーションのセキュリティ、パフォーマンス、管理制御が IT 部門の最大の懸念事項の 1 つであることは驚くべきことではありません。 AWS は、これらのアプリケーション配信要因の一部に対処するためのネイティブツールとサービスを多数提供していますが、それらのツールにはさまざまな機能と機能セットがあり、アプリケーションの要件を満たさない可能性があります。
今日の脅威の状況を考えると、ほとんどの組織は、クラウドでホストされるアプリケーションに対する最大の懸念としてセキュリティを挙げています。 ワークロードをパブリック クラウド インフラストラクチャに移行する際には、高度なマルウェアや、ボリューム型 DDoS とアプリケーション層攻撃 (OWASP Top 10、クロスサイト スクリプティング、SQL インジェクションなど) を組み合わせたレイヤー 4 ~ 7 のセキュリティ脅威から保護することが重要です。 AWS はセキュリティに関して責任共有モデルを使用しており、これはクラウドのセキュリティとクラウド内のセキュリティの 2 つのセグメントに分かれています。 クラウドのセキュリティは、基盤となる IaaS インフラストラクチャ (コンピューティング、ストレージ、物理ハードウェアなど) のセキュリティに関係しており、これは AWS の責任です。 クラウドのセキュリティとは、ハイパーバイザー層より上のすべてのもの (OS、アプリケーション、データなど) を保護することです。これは消費者の責任です。
一貫したアプリケーション アクセスも必須です。 組織は、デバイスや場所に関係なく、すべてのユーザーに対してアクセスが均一であり、同時に社内ポリシーに準拠していることをどのように保証するのでしょうか? ユーザーが複数のユーザー名/パスワードの組み合わせを記憶しなければならない場合、パスワード疲れによってセキュリティが損なわれ、効率が低下する可能性があります。 ほとんどの企業は、自社のデータセンター/プライベート クラウド環境に展開されているワークロードに加えて、パブリック クラウド ワークロードを展開している可能性があります。 そのため、これらのユーザーにとって、ハイブリッド クラウド環境全体で一貫性のある実証済みのセキュリティ プラクティス/ポリシーを複製して適用できることが不可欠です。
ユーザー エクスペリエンスと生産性は引き続き重要な考慮事項であり、どちらもクラウド内のアプリケーションのパフォーマンスに依存します。 場合によっては、クラウド プロバイダーのデータ センターがユーザーから遠く離れているため、ユーザーとアプリケーション間の遅延が増加し、パフォーマンスに影響します。 さらに、キャッシュ、圧縮、TCP 最適化など、レイテンシーに対処するために通常使用される方法の一部は、AWS では利用できません。
ほとんどの企業では、ビジネスクリティカルなアプリケーションのために、データセンターで高度なトラフィック管理 (基本的な負荷分散を超えた) を必要としています。 AWS は、Elastic Load Balancing (ELB) と Application Load Balancer (ALB) を介して基本的な負荷分散サービスを提供していますが、組織は HTTP/HTTPS と TCP 以外にどのようなプロトコル サポートが必要かを検討する必要があります。 基本的なヘルスチェックと負荷分散アルゴリズムで十分でしょうか? 消費者はアプリケーション データを操作する必要が頻繁にありますが、そのためには URL 検査や書き換えなどの完全な L7 アプリケーション プロキシ機能が必要です。 コンテキストとともに着信クライアント トラフィックを確認する機能は、きめ細かなトラフィック ステアリングの決定を行うために重要です。
上記の懸念に対処するには、F5 の BIG-IP ソリューションのような統合プラットフォームを通じて提供される、高度でプログラム可能なアプリケーション配信およびセキュリティ サービスが必要です。 このプラットフォームは、場所に関係なく、すべてのアプリケーションのセキュリティ、パフォーマンス、可用性を保証します。 また、新しいクラウドベースのアプリケーションと既存のアプリケーションの両方において、すべてのハイブリッド環境にわたって一貫した方法でアプリケーション サービスとそれに関連するポリシーを配信および管理することも可能になります。
F5 BIG-IP Virtual Editions (VE) は、インテリジェントなトラフィック管理 (ローカルとグローバルの両方)、アクセラレーション、最適化から DNS、高度なアプリケーション アクセス、洗練されたアプリケーション セキュリティまで、アプリケーション サービスとネットワーク サービスを含む、すべての BIG-IP ハードウェアで利用できる同じ一貫したサービス セットを提供する仮想 BIG-IP アプライアンスです。 これらのサービスは、アプリケーション スタックの一部として完全に統合され、自動的に構成されます。 F5 はハードウェアと仮想アプリケーション配信コントローラ (ADC) の両方の市場リーダーであり、現在 Fortune50 企業のうち 48 社が F5 のアプリケーション サービスに依存しているため、特定のビジネスでアプリケーションのサービスと保護のために F5 がすでに採用されている可能性は十分にあります。
BIG-IP VE は、制御、柔軟性、可視性を犠牲にすることなくクラウド アプリケーションを保護する包括的な L4~7 セキュリティ サービスを提供します。 これらのサービスは AWS のサービスを補完し、高度な WAF (Web アプリケーション ファイアウォール) を通じて、複雑な DDoS 攻撃、Web スクレイピング、多層 Web ベース アプリケーション攻撃、データ盗難、漏洩をすべて防止できます。 異常なトラフィック パターンを認識するインテリジェンスと高度な動作分析により、F5 ソリューションは自動化されたボットネット攻撃を検出し、軽減することができます。 F5 ソリューションは、F5 iRules® データ パス スクリプトの機能を活用して、アプリケーションの脆弱性の悪用やゼロデイ攻撃に迅速に対応できます。 F5 を使用すると、社内の各アプリケーションのファイアウォール ルールとポリシーの調整と構成に費やされた労力と専門知識を、クラウド ホスト型アプリケーションの VE で活用して再利用できます。
F5 の ID およびアクセス管理アーキテクチャは、ユーザー、デバイス、環境、アプリケーション、およびネットワークのコンテキスト認識に基づいています。 つまり、F5 ソリューションは、データ センターとクラウド全体のアプリケーション アクセスに対する ID フェデレーションとシングル サインオンを可能にします。 同時に、安全なコンテキストベースのアクセス、Web ベースのマルウェアや持続的な脅威からの保護、包括的なエンドポイント デバイスの検査により、アプリケーションのセキュリティとデータの整合性を実現します。
BIG-IP の高度なローカル トラフィック管理サービスは、HTTP/TCP を超える幅広いプロトコル (HTTP 2.0、SPDY、UDP など) と高度なアプリケーション フローをサポートします。 フルプロキシ アーキテクチャである BIG-IP プラットフォームは、アプリケーション トラフィックの完全な可視性を提供し、その過程で SSL トラフィックを復号化および再暗号化します。 また、グループ内のサーバーのパフォーマンス レベルを動的に追跡し、詳細なヘルス監視と接続状態の管理も提供します。 BIG-IP アプリケーション配信最適化サービスは、アプリケーションの応答時間を短縮し、待ち時間と遅延を最小限に抑え、モバイル デバイスからの Web 要求を完了するために必要なデータの往復回数を削減します。
BIG-IP DNS とグローバル サーバー負荷分散サービスは、最高のユーザー エクスペリエンス、災害復旧、フェイルオーバー ポリシーを提供する最も近いクラウド データ センターにユーザーを誘導します。 ユーザーの近接性、地理的位置、ネットワークの状態、アプリケーションの可用性はすべて、ルーティングの決定に考慮されます。 このプラットフォームは、さまざまなグローバル負荷分散方法と、各アプリケーションおよびユーザーに固有のインテリジェントな監視を採用しています。 F5 は DNS DDoS 保護も提供し、悪意のある IP アドレスへのアクセスをブロックし、DNSSEC で応答を保護します。何よりも、DNS クエリとヘルス チェックは使用ごとに課金されないため、DNS DDoS 攻撃中に正当なクエリと不正なクエリの両方に対して高額な料金が請求されることを回避できます。
アプリケーション ワークロードをパブリック クラウド プラットフォームに移行する主な利点は、データセンターでプロビジョニングされた基本容量を超えてアプリケーションを拡張できることです。 AWS Auto Scaling を使用すると、アプリケーションは可用性を維持しながら、事前に定義されたしきい値に従って Amazon EC2 の容量を自動的に拡大または縮小します。 BIG-IP ソリューションは AWS Auto Scaling と統合され、動的にスケーリングされた BIG-IP アプリケーションおよびセキュリティ サービスを実現します。 また、BIG-IP VE はプール メンバーの追加や削除をネイティブに処理するため、帯域外オーケストレーションや構成管理は必要ありません。 F5 は、BIG-IP LTM の自動スケーリング (図 1 を参照) に加えて、BIG-IP LTM と BIG-IP ASM の両方が BIG-IP VE 上でプロビジョニングされる、自動スケーリングされたアプリケーション セキュリティを可能にするソリューションをリリースしました。
AWS Cloud Formation テンプレート (CFT) は、インフラストラクチャ (サーバー、ストレージ、ネットワーク、コンピューティング) リソースのデプロイを自動化するためのスクリプト化された方法を提供します。 これらは、AWS 内で同じ BIG-IP イメージと構成を複数回迅速に展開するための繰り返し可能な方法を提供するため、貴重な作業時間をより緊急のビジネス問題に再割り当てできます。 CFT は F5 のエンジニアによって徹底的に設計およびテストされているため、BIG-IP VE の導入や構成に関する心配がなくなり、F5 の仮想アプライアンスが F5 の専門家の信頼を得てプロビジョニングされることが保証されます。 それだけでなく、Ansible、Chef、Puppet などのサードパーティの自動化ツールとのシームレスな統合により、これらの CFT は BIG-IP VE の自動化とオーケストレーションのプロセスを簡素化します。 F5 CFT はすべてオープンソースであり、GitHub から無料で入手できるため、F5 愛好家は特定のビジネス要件に合わせてテンプレートを変更できます。
さらに、F5 は、選択した CFT を AWS Marketplace から直接利用できるようにすることで、AWS マーケットプレイスとの統合をさらに緊密にし、より迅速かつ容易に実装できるようにしました。 たとえば、さまざまな自動スケーリング ソリューション (自動スケール BIG-IP LTM、自動スケール WAF など) をマーケットプレイスから選択して導入し、1 時間以内に実稼働環境で稼働させることができるため、F5 ユーザーがこれらの複雑なソリューションを自分で構成する必要がなくなり、数日、場合によっては数週間の作業時間を節約できます。
DevCentral™ コミュニティ サイトでは、BIG-IP VE の展開用のサブネット、ネットワーク インターフェイス、ルーティング テーブルなどの VPC リソースの構成例が提供されています。 これらの例では、CloudInit ユーザー データ スクリプトを使用して、特定のパッケージ アプリケーション (Microsoft SharePoint、Exchange など) およびカスタム アプリケーション用の BIG-IP iApps® テンプレートを展開する方法も示します。 AWS CFT と機能的に類似した F5 iApps は、各アプリケーションに必要な特定のサービスを迅速に導入できるようにするために作成されました。iApps は、各アプリケーションのトラフィック管理、暗号化、ファイアウォール、パフォーマンス最適化などのサービスの構成とポリシーも定義します。
パブリック クラウド リソースを既存のプライベート データ センターと統合することで、組織は既存の投資を引き続き活用しながら、優先順位付けされたスケジュールに基づいてアプリケーション ワークロードを移行できます。 BIG-IP VE、F5 iApps、AWS CFT が連携して、追加のアプリケーション リソースを迅速かつ透過的に導入できる統合クラウド構成を作成します。 このフェデレーテッドクラウド構成の主な利点には、アプリケーションユーザーのシームレスなリダイレクト、地理位置情報とアクセラレーションテクノロジー、AWS Direct Connect を使用した安全な接続などがあります。 アプリケーション リソースがプライベート データ センターから配信されるか、パブリック クラウドから配信されるかに関係なく、ユーザー エクスペリエンスは影響を受けません。 プライベート クラウド リソースとパブリック クラウド リソースの透過的かつ継続的な使用は、需要、プロジェクトが新規か既に実施されているか、または要求者の特定の場所に基づいて行うことができます。
F5® BIG-IQ® 集中管理は、クラウドとオンプレミスの両方で F5 の物理デバイスと仮想デバイスを集中的に制御するポイントを提供します。 BIG-IQ 集中管理は、アプリケーション管理を簡素化し、コンプライアンスを確保し、F5 デバイスとサービスをどこにあっても一貫して安全に管理するためのツールを提供します。 BIG-IQ 集中管理は、F5 デバイスおよび次の F5 モジュールのポリシー、ライセンス、SSL 証明書、イメージ、および構成を処理します。
BIG-IQ Centralized Management は、物理アプライアンスまたは仮想アプライアンスとして利用可能で、AWS Marketplace から直接実行することもできます。
BIG-IP Virtual Editions は主に Good-Better-Best バンドルで提供され、次の 3 つの異なる購入モデルがあります。
さらに、BIG-IQ 集中管理ライセンス マネージャーは、すべてのハイブリッド環境で BIG-IP 製品ライセンスを管理するために無料で利用できます。
パブリッククラウドサービスの導入はここ数年で飛躍的に増加しており、AWS はこれらのサービスにおいて一貫して市場リーダーとなっています。 多くの IT スタートアップ企業や、より大規模で有名な企業が、AWS クラウドに完全に導入し、大きな成功を収めています。 企業がアプリケーションをクラウドに移行する計画を立てている場合、F5 BIG-IP 仮想エディションを使用すると、F5 のアプリケーション配信およびセキュリティ サービスをクラウド アプリケーション ワークロードに簡単に移植できます。 そうすることで、パブリック クラウドのセキュリティ、パフォーマンス、制御に関して企業顧客が抱える多くの基本的な懸念に対処できます。 AWS Marketplace の BIG-IP ソリューションで利用できる柔軟なライセンス モデルにより、企業は最小限の財務的負担で AWS でアプリケーションを計画、ステージング、展開し、AWS クラウドの俊敏性と効率性のメリットを享受できるようになります。