Dell EMC VxRail 上の最新のワークロード

可用性とセキュリティ サービスを Infrastructure-as-a-Service 環境に導入

Dell EMC VxRail は、高性能プラットフォーム上でワークロードを統合したい企業に、実績のある仮想化環境を提供します。 Web 対応のマイクロサービス アプリケーションを含む、より多くのワークロードがプラットフォームに移行するにつれて、インフラストラクチャ管理者は Infrastructure-as-a-Service を超えて考える必要があります。 増え続けるワークロードをサポートするには、中断のないビジネス運用のためにパフォーマンス、セキュリティ、可用性を確保するサービスを検討する必要があります。 当社のホワイトペーパーでは、エコシステムの観点から、VxRail 上の Web 対応ワークロードに可用性とセキュリティを提供する F5 ネットワーク アプリケーション サービスに焦点を当てています。 これらのアプリケーション サービスは、VxRail VMware 環境にシームレスに統合される F5 ソフトウェアを使用しているため、VxRail vCenter 経由で F5 サービスを簡単にプロビジョニング、構成、サポートできます。

VxRail 環境では、インフラストラクチャ管理者は、レガシー プラットフォームとクラウド プラットフォームのアプリケーションを統合して、インフラストラクチャの上に階層化された単一の統合環境を作成し、最適な運用を実現できます。 これらの機能は、統合された「サービスとしての」環境として社内関係者に提供され、パフォーマンスとコスト効率が確保され、VMware Cloud を介してパブリック クラウドへのシームレスな拡張が可能になります。

ホワイトペーパーで概説されている主なトピック:

• セクション1: VxRail内でF5® Advanced Web Application Firewall™サービスを導入
• セクション2: セキュリティポリシーのカスタマイズ
• セクション3: ワークロードとアプリケーションの高可用性サポートの構成
• セクション4: ウェブ上の資産を安全かつセキュアに保つ
• セクション5: 未来への準備: アプリケーション サービスの可視性と容量計画に vCenter を活用する
• セクション6: まとめ

このセクションでは、vCenter 管理インターフェイスを使用して、F5 Advanced Web Application Firewall (Advanced WAF) ソフトウェアを VxRail にプロビジョニングおよび展開する方法に焦点を当てます。 この例では、サンプル ワークロードをホストする 2 台の Web サーバーを作成し、サーバーの前面に Advanced WAF を展開しました。 この例は、Web サーバー内に存在する Web 対応のワークロードを最適化および保護することを目的として設計されました。

まず、図 1 に示すように、VxRail vCenter 内で Advanced WAF テンプレートを作成します。 Advanced WAF テンプレートは、VxRail-Datacenter のテンプレート フォルダーにリストされている必要があります。 テンプレートには Advanced WAF のイメージが保存されており、将来アプリケーション サービスを起動する際にテンプレートを使用できるため、簡単にサービスを作成できます。

図 2 に示すように、Advanced WAF テンプレートをクリックします。 このメニューから、新しい VM を起動し、必要に応じて以下のスクリーンショットに示されている手順を参照して、使用するサービスを準備できます。 展開プロセスを簡素化するために、各ステップの個別のスクリーンショットを含めました。

スムーズな展開を確実に行うために、必ず次のガイドラインに従ってください。

• Advanced WAF の VM に一意の名前を作成します (ここでは F5-AWAF-A という名前を付けました)。
• VM の場所を選択します (デフォルトの場所として VxRail Datacenter を選択します)。
• 宛先コンピューティング クラスターを選択します (クラスター内では F5 リソース プールという名前を付けます)。
• ストレージを選択します（VxRail-Virtual-SAN-DataStore を選択します）。

構成プロセスが完了すると、事前に割り当てられたコンピューティング リソースとストレージを含む、概要ページで指定された IP アドレスを使用して VxRail クラスターに展開された Advanced WAF が表示されます。 正常に構成された展開の例については、図 3 を参照してください。

Advanced WAF ソフトウェアを導入したら、Web サーバーに渡される前に受信トラフィックをスクリーニングするために使用するセキュリティ ポリシーを定義できます。 Advanced WAF により、ユーザーは独自のきめ細かいセキュリティ ポリシーを作成できるようになり、脅威インテリジェンスとシグネチャの広範なライブラリも含まれています。 これらのライブラリは、最新のセキュリティ情報が含まれるように頻繁に更新されます。これにより、ユーザーは最新の脅威インテリジェンスでサポートされるワークロード中心のセキュリティ プロファイルを作成できます。 ユーザーは「リスニング」モードを有効にすることもできます。 このモードでは、機械学習を使用して環境固有のベースライン セキュリティ ポリシーを確立し、誤検知によってトリガーされる不要なアラートを削減します。

BIG-IP High Availability は TMOS によってサポートされているため、すべての製品モジュールにわたって回復力の方法論とサポートの一貫性が保たれます。

以下の図は、システムを高可用性に構成するために必要な手順を示しています。 これらの手順には以下が含まれます。

• 内部ネットワーク構成の設定（VLAN情報など）
• 外部ネットワーク構成の設定
• 高可用性ネットワーク構成の選択
• 構成の詳細の確認と確認

このセクションでは、ユーザー資格情報の投影と SQL インジェクションのブロックという 2 つのセキュリティ機能を使用して、Web 対応ワークロードの保護を実装する方法を説明します。 ステップバイステップのガイドの代わりに、これらのセキュリティ機能がどのように侵入や脅威を自動的にブロックし、ワークロードとバックエンド インフラストラクチャを安全に保つかを示す を作成しました。

Data Safe を使用すると、ユーザーの資格情報とパラメータ名 (ID やパスワードなど) をアプリケーション層でリアルタイムに暗号化して難読化できます。 このセキュリティ サービスを実装するために、コーディングの変更やアプリケーション ソース コードの調整は必要ありません。

HTTP/HTTPS トラフィックを使用する Web 向け資産またはアプリケーションの場合、SSL によるデータ暗号化は、データが違法な第三者に漏洩するのを防ぐための第一歩です。 転送中の SSL 暗号化だけでは、データのセキュリティを確保するには不十分です。 資格情報の盗難はクライアント レベルでも発生する可能性があります。たとえば、エンド ユーザーが有害なファイルをクリックしたり、マルウェアに感染したサイトにアクセスしたりして、Web ブラウザーを侵害している可能性があります。

Data Safe 機能は、Advanced WAF コンソールのセキュリティ セクションから有効にできます。  データ保護を選択し、データセーフ プロファイルに進みます。

• 新しいプロフィールを作成する
• プロフィール名をAnti-Fraudに設定する
• 不正防止プロファイル内でアプリケーション層暗号化を有効にする
• ユーザー資格情報を保護するための他の基準を有効にする

Data Safe を有効にすると、Web に公開されている資産またはサービスの ID とパスワードをクライアント レベルで暗号化するための基準を設定できます。 これにより、マルウェアに感染したブラウザによるセキュリティ侵害のリスクが軽減されます。 Data Safe によって保護されているアプリケーションは、Advanced WAF を介して Web ページを表示します。 ID とパスワードの文字は、ユーザーが入力すると暗号化されます。 ブラウザが侵害された場合でも、マルウェアは実際のパスワードではなく、秘密鍵なしでは復号化できない暗号化されたデータのみを抽出できます (詳細については下の図を参照してください)。 クライアント側の Web レイヤー資格情報保護に加えて、Advanced WAF をアップグレードして、モバイル アプリケーションのワークロードに対するモバイル レイヤー保護を追加できます。

パートA: ユーザー資格情報の保護

パートB: SQLインジェクションについて

SQL インジェクションは、OWASP のトップ 10 脅威リストで常に上位にランクされています。 ハッカーは、アプリケーション コード内の脆弱性を探し、バックエンド データベースから重要なデータを抽出する機会を探します。 SQL インジェクションによる侵害のリスクを軽減するための最初のステップは、コーディングのベスト プラクティスを推進して、「安全でセキュアな」コーディングを確保することです。 インフラストラクチャ内に追加の保護層を適用することもできます。 Advanced WAF には広範な脅威インテリジェンスが組み込まれており、脅威シグネチャのライブラリが含まれています。これを展開して、Web に面したワークロードを SQL インジェクションから保護することができます。

SQL インジェクションに対する保護を有効にするには、「アプリケーション セキュリティ」メニューから「攻撃シグネチャ」セクションにアクセスし、フィルター キーワードとして SQL を使用します。 脅威シグネチャ データベース内に SQL インジェクション関連のシグネチャのリストが表示されます。 このデモが完了した時点では、SQL 関連の攻撃から保護するために利用できる関連シグネチャが 563 個ありました。 関連する脅威シグネチャをすべて選択し、アプリケーション セキュリティ ポリシーに追加します。

違いを説明するために、次の図は SQL インジェクションをブロックした場合とブロックしなかった場合の結果を示しています。

保護されている場合、クエリはブロックされ、代わりに次のようなエラー メッセージが返されます。

SQL インジェクションを有効にすると、SQL クエリはデータベースに到達する前にブロックされます。 代わりに、ハッカーはエラー メッセージを受け取ります。

VxRail は、ユーザーが F5 サービスを簡単に導入、テスト、統合できる、スケーラブルで管理しやすい環境を提供します。 このセクションでは、Advanced WAF の使用状況の詳細に焦点を当て、現在の状態 (CPU やメモリの使用率など) の完全なレポートにアクセスする方法を示し、この情報を使用して将来の拡張を計画する方法を示します。 私たちの目標は、F5 ソフトウェアが VxRail の「サービスとしての」モデルをサポートするように構築されることです。

以下の図は、当社のサービスに割り当てられたリソースを示しており、デモに使用されたリソースについて読者に理解を深めていただけます。 これにより、インフラストラクチャ管理者は、実稼働環境向けにこれらのサービスを拡張するために必要な容量を見積もることができます。 この情報は、これらのツールがスケーラブルなサービスとしての環境で使用される場合に特に役立ちます。

このホワイトペーパーでは、VxRail 環境内で F5 Advanced Web Application Firewall (Advanced WAF) を設定する方法を説明しました。 導入前後の比較を使用して、高度な WAF セキュリティ機能を説明しながら、段階的な導入ガイドを説明しました。

このドキュメントでは、インフラストラクチャ管理者がサービスが豊富な環境で統合および提供できるサービスとして設定することにより、サードパーティ ソフトウェアを VxRail 環境に展開する方法を説明します。 VxRail 環境で Advanced WAF を構成して、Web 対応のマイクロサービスベースのアプリケーションにアプリケーション セキュリティ サービスを提供する方法を説明しました。  

VxRail は、インフラストラクチャ管理者がビジネス運用を推進するために使用できる、高性能でスケーラブル、かつ管理しやすいプラットフォームです。 優れたユーザー エクスペリエンスを保証するサードパーティ サービスを導入することは、ビジネスの成功に不可欠です。 F5 Advanced WAF は、VMware Cloud に拡張できる VxRail 環境内でシームレスなサポートを提供します。