WHITE PAPER

Silverlineマネージド サービス プラットフォームでのAmazon CloudFrontの導入

F5 SilverlineとAmazon CloudFront

グローバルなITソリューション企業である当社のとあるお客様は、自社の要件を満たすことができるさまざまなサービスやソリューションを評価する中で、コンテンツ デリバリ ネットワーク(CDN)、Web Application Firewall(WAF)、詐欺/ボットや分散型サービス拒否(DDoS)攻撃からの保護を組み合わせたソリューションを導入・運用する際の変数について幅広く検討しました。さまざまな分析と複数のチームとの内部協議の結果、このお客様はF5 SilverlineとAmazon CloudFrontコンテンツ デリバリ ネットワークの組み合わせが最良のソリューションであると判断されました。

お客様がこのソリューションを選んだ理由は、マネージド セキュリティ サービス、迅速な導入、プロビジョニングと保守・運用コストの削減を実現するためでした。お客様の社内チームは、Webサイトの進化に向けた計画を定義し、進行中の業務に大きな影響を与えることなく、計画の各フェーズを迅速に完了させることに集中しました。

導入の容易さ、そしてアーキテクチャのメリットが組み合わされることにより、継続的なパフォーマンスの向上、セキュリティ管理の強化、SIEMやその他のログ分析プラットフォームへのデータエクスポート機能を備えた広範なレポート機能とログ機能が実現されました。これにより、お客様のチームは、シームレスで魅力的なカスタマ エクスペリエンスの提供という、最も得意とすることに集中できました。

スケーラブルなマネージド セキュリティとサービス パフォーマンス

お客様が計画の第4フェーズ(図1)の実施にF5とAWSのソリューションを選択したのは、主に各サービスが提供する構成の柔軟性、運用コストの低さ、何度も繰り返しながら長期的にシステムを成長させることができる能力が理由です。また、Silverlineプラットフォームを継続的に監視しているF5 Silverline Security Operations Center(SOC)のアナリストと連携できることも大きな要因でした(SilverlineはF5のクラウドベースのマネージド セキュリティ サービス プラットフォームです)。SOCのアナリストにより、お客様はセキュリティ体制を定義し、システムのユーザビリティを最大化することができました。これにより、お客様はスムーズなエクスペリエンスを提供しながら、詐欺や不正利用と徹底的に戦うことができるようになりました。

Webパフォーマンスの課題

Webアプリケーションの進化に伴うパフォーマンス向上と運用コストのバランスを取りながら、高速で安全、かつスムーズなカスタマ エクスペリエンスを提供する

企業は、Webアプリケーションを構築・設計する際に、さまざまな課題や制約に直面します。主な検討事項は、アプリケーションのライフサイクルを通じて継続的にパフォーマンスを改善できるよう、効率的に技術の取得、導入、管理にかかるコストと人員のバランスをとることです。下の図は、Webアプリケーションを進化させるために必要なコストとパフォーマンスのバランスについて、当社のお客様が行った分析を示しています。

初期フェーズでは、アプリケーションの導入と顧客獲得に重点が置かれました。目標を達成するために実行されたステップを次に示します。

第2フェーズでは、顧客基盤の獲得とさらなる拡大に向けた強化・改善に重点が置かれました。

第3フェーズでは、お客様はF5 Silverlineのアカウント チームと協力して、マネージド セキュリティ コンポーネントを導入し、アプリケーションが拡張し、生成されるすべてのトラフィックに対応できるようにAmazon CloudFrontを構成しました。

第4フェーズでは、お客様は顧客のリクエストを分析し、多くの顧客が米国以外の国から取引をしていることを特定しました。この所見に加え、米国での需要が増加しているという追加の分析が、範囲を拡大して、グローバルなパフォーマンスを向上するためにAmazon CloudFrontを導入する動機となりました。

最終フェーズでは、コロケーション サービスとSaaS/IaaS/PaaSプラットフォームを組み合わせたハイブリッド環境を導入し、運用能力の向上と変化の激しいグローバル市場環境への適応に重点が置かれました。

この記事では、Amazon CloudFrontとF5 Silverlineマネージド セキュリティ サービス プラットフォームの第4フェーズの統合を完了するために、お客様が実行した技術的なステップを中心に説明します。

統合のためのサービス コンポーネント

サービス導入とシステム統合を成功させるための基本的な要件

Amazon CloudFrontをF5 Silverlineプラットフォームに統合する準備として、このお客様は、Silverlineチームの支援を受けながら、以下の項目をプロビジョニングしました。

アーキテクチャ

お客様が最大限のパフォーマンスとエンゲージメント エクスペリエンスをグローバルに得られるよう、セキュアでスケーラブルなネットワークを構築する

マルチホーム リンクと複数のサービスを備えた安全で高速なグローバル ネットワークを導入することは、どの組織にとっても容易なことではありません。幸いなことに、F5とAWSが提供できるインフラストラクチャとサービスへの投資を組み合わせることで、お客様はメリットを得ることができます。これにより、お客様は、アプリケーションを最大限に有効活用するために迅速に導入できるソリューションを構築し、投資収益を即座に実感することができます。

当社のお客様が導入したアーキテクチャを下の図に示します。

ソリューション プロビジョニング

導入しやすいことで、迅速な統合が可能に

組織は、競争上の優位性やコスト削減を得るために、市場の課題に迅速に対応するアプリケーションを導入する必要に迫られています。大規模なリソースと追加コストを必要とする導入に比べて、短期間で実行できる導入は大きな利点をもたらします。F5とAWSを使用すれば、これらの構成の導入は簡単です。お客様が構成するためのコンポーネントとデータをすべて準備していれば、数分で完了します。

第3フェーズが完了すると、当社のお客様は第4フェーズへと進みました。このフェーズでは、Amazon CloudFrontとF5 Silverlineプラットフォームの統合に焦点を当て、以下のステップが含まれていました。

F5 Silverline - プロキシ設定

当社のSilverline SOCチームがポータル アカウントを導入すると、お客様はログインして、プロキシ表示名、FQDN(完全修飾ドメイン名)、オリジン サーバーIPアドレスまたはELB CNAME(正規名レコード)、脅威インテリジェンス プロファイル、WAFポリシー、SSL証明書、詐欺/ボット対策エンドポイントに必須の設定を行うプロキシ ルート オブジェクトを構成できるようになります。お客様は、オンボーディング フェーズにおいて、Silverline SOCアナリストとこれらのステップを確認します。また、プロキシの導入をサポートするSOCアナリストと連携することもできます。

図10

プロキシが保存され、Silverlineプラットフォームに導入されると、お客様はAmazon CloudFrontネットワークのオリジンとして使用される一意のCNAMEを受け取ります。お客様は、導入後にメインの構成パネルでこのプロキシCNAMEを見つけることができます。

図11

プロキシを有効にすると、すぐにトラフィックを受け取る準備ができ、そのサービスが設定されるとすぐにCloudFrontからのユーザー リクエストをルーティングするために使用できるようになります。

Amazon CloudFront - サービス構成

CloudFrontとの統合をスムーズに行うには、お客様は以下の情報を事前に入手しておく必要があります。

図12

これらのコンポーネントが配置され、プロビジョニングされると、お客様はAWS管理コンソールに移動してCloudFrontの構成を開始することができます。コンソール メニューから、[Networking & Content Delivery]/ CloudFrontサブカテゴリを見つけて選択します。[Distributions]リンクを見つけて選択し、初期ディストリビューションの作成に進みます。

図13

図14

オブジェクトの構成を開始するには、[Create Distribution]コントロールを選択します。[Specific Deliver Method]を作成するよう求めるプロンプトが表示される場合があります。当社のお客様は、[Web]のデリバリ方法を選択しました。

図15

[Get Started]コントロールを選択します。以下のパネルがブラウザ上に表示されます。[Origin Settings]を次に示すように構成します。

図16

図17

変更が必要でない限り、[Origin Connection Attempts]、[Origin Timeout]、[Origin Response Timeout]、[Origin Keep-Alive Timeout]、[HTTP]、および[HTTPS Ports]については、デフォルトのままにしてください。

[Origin Customer Headers]:カスタム ヘッダーのキーと値は、オリジンへのすべてのリクエストに含まれます。これらの設定は、CloudFrontから発信されていないSilverlineプロキシでのリクエストをフィルタリングするために使用することもできます。

[Default Cache Behavior Settings]は、アプリケーション開発者、情報技術チーム、DevOpsチーム、セキュリティ チーム、およびその他のステークホルダーによって定義された内部ポリシーに従ってプログラムできます。値の変更によって、アプリケーションの全体的な運用にどの程度の影響があるかを理解することの重要性を強調することが不可欠です。F5 Silverlineは、各設定がコスト、セキュリティのリスク、パフォーマンスへの影響、およびSilverline WAFまたはボット/詐欺対策との相互作用に差異をもたらす可能性があるため、進化的アプローチを推奨しています。AWSでは、各コントロールを適用する方法と、それが既存の運用に及ぼす可能性のある影響を理解できるように、管理コンソールで優れたドキュメントを入手できます。また、当社のSilverline SOCアナリストが、これらの設定がSilverlineのプロキシ、WAFまたはボット/詐欺対策にどのように影響するかに関する情報を提供することもできます。

図17

[Distribution Settings]も運用にかなりの影響を与える可能性があります。追加で検討する価値のある設定は、以下のとおりです。

図18 

図19

最後のステップは、ディストリビューションの作成に関するものです。

これには数分かかりますが、完了すると、お客様はCNAMEを受け取ることができます。

図19

図20

Amazon CloudFrontによって発行されるCNAMEを、アプリケーションに向かうトラフィックの解決策に関する当局の記録としてAWS Route 53で使用できるようになりました。

まとめ

当社のお客様の社内のセキュリティ、情報技術、運用、開発の各チームは、顧客エンゲージメントとマーケティング戦略の目標に最適なソリューションの評価に多くの時間を費やしました。お客様がソリューションを選択した後、実装は何の障害もなく進み、数分後にはサービスやアプリケーションをグローバルに稼働させ、世界中のお客様に、よりスムーズで迅速なエンゲージメント エクスペリエンスを提供することができました。

Published January 11, 2021

お客様の主なメリット

フルスタックのセキュリティ
DDoS / WAF / 詐欺 / ボット攻撃を軽減するための複数の保護層が含まれます。

導入のしやすさ
F5とAWSのサービスを迅速かつ容易に導入し、アプリケーションをデリバリおよび保護することができます。

クラウドでの提供、グローバルに利用可能、ビジネスへの影響ゼロ
F5 SilverlineプラットフォームとSilverline SOCをAmazon CloudFrontとともに活用することで、継続的なアプリケーションの可用性を維持します。

参入および所有権のコストの低さ
F5 Silverlineにより、お客様は必要とするサービスを競争力のある価格で入手し、総所有コストを改善することができます。

スタッフ増強、セキュリティ専門家の常時対応、ナレッジ アグリゲーション

お客様の社内チームは、24時間365日対応可能で、社内のF5のセキュリティ インシデント対応チーム(F5 SIRT)から最新の脆弱性情報を入手できるF5 Silverlineエキスパートと協働で作業することができます。

高可用性、専用のプロキシ、トラフィック ステアリング、健全性監視
F5 Silverlineプラットフォームは、99.999%のアップタイムSLA、専用のリバース プロキシ、複数または単一のオリジン サービスへのトラフィック シェーピング、バックエンドの健全性と可用性の継続的な監視を提供します。

帯域幅とルーティング/ダイレクト ピアリング
F5 SilverlineとAmazonはダイレクト ピアリングを行っており、優れた帯域幅とピアリング接続をグローバルに提供し、お客様に優れたパフォーマンスをもたらします。

  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share to email
  • Share via AddThis

Connect with F5

F5 Labs

The latest in application threat intelligence.

DevCentral

The F5 community for discussion forums and expert articles.

F5 Newsroom

News, F5 blogs, and more.