クラウドの保護
クラウド コンピューティングは、動的に拡張可能で、多くの場合は仮想化されたリソースをサービスとして提供するコンピューティングの形式です。ユーザーは、それをサポートする「クラウド」内のテクノロジ インフラストラクチャに関する知識や専門技術、管理能力を必要としません。さらに、クラウド コンピューティングは、ネットワーク、サーバー、ストレージ、アプリケーション、サービスなどの構成可能なコンピューティング リソースの共有プールへの、可用性が高く便利なオンデマンドのネットワーク アクセスを可能にするモデルを採用しており、これらのリソースは最小限の管理業務やサービス プロバイダとのやり取りで迅速なプロビジョニングとリリースが可能です。
F5 Networksクラウド調査、2009年8月
はじめに
企業は、コンピューティング リソースの従量課金モデルにビジネス上のメリットを見出していますが、クラウド コンピューティングに関する調査では、セキュリティに関する懸念が常に上位に挙げられています。これらの懸念事項には、認証、認可、アカウンティング(AAA)サービス、暗号化、ストレージ、セキュリティ侵害、規制への対応、データとユーザーの場所、さらには機密性の高い企業データの分離に関連するその他のリスクなどが含まれます。このような一連の懸念事項に加えて、データの管理ができなくなる可能性もあり、クラウド モデルへの不安が生まれ始めています。アプリケーションがクラウド内のどこに置かれているかや、どのように提供されているかにかかわらず、一貫しているテーマが1つあります。それは、重要なデータを自社の壁の中ではなく、第三者が提供する場所でホストして提供すること、そしてデータを安全に保つことが最優先事項であることです。
注意を払いながらクラウドに移行する
初期に導入した組織のほとんどは、重要でないデータを使用してクラウドでのホスティングのテストを開始しました。初期のクラウド サービスでは、パフォーマンス、拡張性、リソースの共有が重視されていました。これは今でも大きな魅力ですが、クラウド コンピューティングは成熟し、IT部門にとってのもう1つの選択肢としての地位を確立し、機密データを含むより多くのデータがクラウドに移行されています。問題は、いかなる時点でもデータがクラウドのどこにあるのかがわからないことです。IT部門は既に機密データの機密性と完全性に不安を感じています。このようなデータをクラウドでホストすることで、重要なデータを第三者が提供する場所で保護することへの懸念だけでなく、通常のビジネス機能のための役割に応じたデータへのアクセス制御の必要性が浮き彫りになっています。
組織は、クラウドが静的なセキュリティ コントロールに適していないことに気づき始めています。クラウド アーキテクチャ内の他のすべての要素と同様に、セキュリティも一元化された動的な制御プレーンに統合されなければなりません。クラウドでは、セキュリティ ソリューションは、すべてのデータ トラフィックを傍受し、そのコンテキストを解釈した上で、他のクラウド要素に処理方法を指示するなど、そのトラフィックについて適切な判断を下す能力を備えていなければなりません。クラウドでは、アプリケーションやデータがデータ センタからクラウドに移動したり、クラウド内の他のポイントに移動したりする際に、アプリケーションやデータとともに移行してそれらへのアクセスを制御できるグローバルなポリシーとツールを適用する能力が求められます。
アプリケーション デリバリの役割
一般的に、F5ソリューションはすべてアプリケーション デリバリに注目しています。モデルや場所を問わず、クラウドの最終的な目標が、可能な限り効率的で俊敏かつ安全な方法でアプリケーションを提供することであることを考えると、F5ソリューションは、クラウド インフラストラクチャを構築する際に重要な意味を持ちます。これは、アプリケーション デリバリが、クラウド アーキテクチャの動的制御プレーンが必要とするのと同じ戦略的な制御点を必要とし、傍受、解釈、指示のために同じ機能を提供しなければならないからです。
クラウドでは、拡張性を提供できる環境を構築するにはさまざまなコンポーネントを必要とし、その多くはF5の専門分野ではありませんが、アプリケーション デリバリに関連するインフラストラクチャ ソリューションは、F5の専門分野と密接に関係しています。これらのインフラストラクチャ ソリューションは、動的制御プレーンに必要な拡張性、伸展性、適応性、管理性、セキュリティ、モビリティ、リアルタイム パフォーマンスを提供します。
F5は、独自のモジュール化されたデリバリ インフラストラクチャにおいて、プロキシ(傍受)、ポリシー(解釈/指示)、サービス(解釈/指示)を利用したインテリジェントで戦略的な制御点を提供することに重点を置いており、クラウド コンピューティングに関連する大量のトラフィックを処理するのに適しています。F5ソリューションは、幅広いハードウェア プラットフォームに展開することができ、全体の容量とパフォーマンスに柔軟性をもたらすため、中規模および大規模組織やサービス プロバイダは、組織の固有のニーズを満たすようにカスタマイズされたアプリケーション デリバリまたはデータ ソリューションを選択することができます。
F5で保護されたクラウド
F5® BIG-IP® Local Traffic Manager™(LTM)のアプリケーション デリバリ コントローラは高度なロード バランシングと同じだと思われるかもしれませんが、このコントローラは、すべてのインバウンドとアウトバウンドのアプリケーション コンテンツも検査します。さらに、BIG-IP LTMは、ネットワークベースとアプリケーションベースのプロトコル攻撃を阻止する強力なセキュリティ ツールです。BIG-IP LTMは、BIG-IP LTMを経由して提供されるアプリケーションと、BIG-IP LTMが接続されているネットワークの両方を、追加設定なしですぐに保護します。また、BIG-IP LTMはさまざまなセキュリティ ソリューションへの統合アプローチを提供し、これにはパケット フィルタリング、ポート ロックダウン、サービス拒否(DoS)攻撃対策、ネットワーク/管理機能の隔離、プロトコル検証、レート シェーピング、SSL終端などが含まれますが、これらに限定されません。
このようにセキュリティ上の利点を挙げていくと目覚ましいものがありますが、ネットワーク デバイスやアプリケーション自体では検出できない攻撃があり、ますます泥棒たちはWebベースの攻撃を介してアプリケーション データを狙うようになっています。レイヤ7のDoS攻撃、XSS、SQLインジェクション、ブルートフォース攻撃は、Webアプリケーションを簡単に危険にさらす可能性があるため、追加のセキュリティ対策を施す必要があります。
F5® BIG-IP® Application Security Manager™(ASM)は、OWASP Top 10に挙げられるような一般的な脆弱性から保護するだけでなく、詳細に設定されたポリシーでデータの制御も強化するWebアプリケーション ファイアウォールです。多くの一般的なアプリケーションに適したBIG-IP ASMのアプリケーション セキュリティ テンプレートを使用すると、最適な設定でアプリケーション セキュリティを迅速に導入できます。BIG-IP ASMは、データへのアクセス権、利用可能なデータの種類、データの交換が可能かどうかを制御する機能と、詳細なログとレポートを取得する機能を備えているため、クラウドであっても規制遵守の義務を満たすことができます。BIG-IP ASMは、社会保障番号、クレジット カード番号、その他のカスタム フィールドの内容のスクラビングや、機密データのマスキング、サーバーのCookieとパスワード フィールドの選択的な暗号化、ディレクトリ レベルまたはファイル タイプの制限、IISサーバーのバージョン情報を隠すリソース クローキングなど、追加の保護対策も提供します。
クラウド ベンダと顧客の両方にとって最大の懸念事項の1つは、クラウドとの間でやり取りするデータの強力な認証、承認、暗号化です。
承認された者のみがデータにアクセスできるようにするには、ユーザーと管理者を同様に、強力な認証または2要素認証を使用して認証する必要があります。また、他のユーザーやシステムへの漏洩を確実に防ぐため、データそのものをセグメント化する必要があります。ほとんどの専門家は、AAAサービスと、クラウド インフラストラクチャを管理するための暗号化された安全なトンネルを、ベンダが提供する基本的なクラウド サービスの最上位に置く必要があることに同意しています。データは物理的な制御が少ない離れた場所に格納されることがあるため、論理的な制御が不可欠であり、生データへのアクセスを厳密に制御し、送信中のデータ(新しいデータのアップロードなど)を保護することがビジネスにとって重要になります。データの紛失、漏洩、改ざんは、壊滅的な結果をもたらしかねません。
ここでも、F5は、BIG-IP Edge GatewayやF5® BIG-IP® Access Policy Manager®(APM)などのソリューションで、ベンダと顧客の両方を支援することができます。BIG-IP Edge Gatewayは、SSLテクノロジを使用して、アクセス セキュリティ、アクセラレーション、およびアプリケーション可用性サービスを統合し、アプリケーションに対する、コンテキスト認識に基づき、ポリシーで制御され、最適化された安全なアクセスを可能にします。BIG-IP APMは、柔軟で高性能なアクセスおよびセキュリティ プラットフォームであり、これを使用すると、堅固なセキュリティ ポリシーを実装することにより、ネットワークとアプリケーションへのアクセスを管理できます。これらのサービスを統合し、ユーザーとグループのアイデンティティをネットワークに組み込むことで、アイデンティティと場所に基づいてポリシーとサービスのレベルを設定できます。コンテキストに基づくアクセスにより、インターネットとクラウドは、企業にとってより高速で予測可能で安全なネットワークになります。このことは、モバイル ユーザーとIT管理者に特に恩恵をもたらします。
世界中に散らばっているモバイル ユーザーは、アプリケーションに高速で安全にアクセスできる必要があります。IT管理者は、クラウド アーキテクチャとクラウド アプリケーションを管理する必要があります。BIG-IP Edge GatewayとBIG-IP APMには、モバイル ユーザーとIT管理者の両方のニーズを満たすセキュリティ機能が搭載されています。
SSL VPNをベースにしたセキュアなサービスはエンドポイント セキュリティを提供し、IT管理者は誰が組織にアクセスしているのかと、エンドポイント デバイスの状態を確認して企業のアクセス ポリシーに照らし合わせて検証することができます。強力なAAAサービス、L4およびL7ユーザーのアクセス コントロール リスト、統合されたアプリケーション セキュリティは、企業の資産を保護し、規制コンプライアンスを維持するのに役立ちます。可用性サービスは、管理者にグローバルなトラフィック管理機能を提供し、場所、L2/L4スイッチング、統合ルーティング、IPv6ゲートウェイに基づいて最適なサイトにユーザーを誘導します。アクセラレーション サービスは、非対称および対称のネットワークとアプリケーションのアクセラレーションに加えて、キャッシング、圧縮、重複排除を可能にし、優れたユーザー エクスペリエンスを実現します。
BIG-IP Edge Gatewayを介して接続するユーザーは、BIG-IP LTMによる速度でHTTPとHTTPSを使用したマルチギガビット/秒のSSL暗号化スループットで、どこにいてもアプリケーションを高速で受信できます。クライアント側のサービスにより、ユーザーはスマート接続アクセス インテリジェンス システムを使用してモバイル時に企業ネットワークやアプリケーションに動的にアクセスできます。BIG-IP Edge Gatewayにバンドルされているスマート接続アクセスは、ローミング ユーザーが企業ドメインに接続されていないときにそれを通知することにより、即座に安全なアクセスを提供します。また、スマート接続アクセスは、動的で適応性の高い圧縮を可能にするためのトラフィック シェーピングを通じてアプリケーションも高速化します。また、クライアント側のトラフィック シェーピングにより、管理者はサーバー メッセージ ブロック(SMB)などの特定のプロトコルを優先して、ファイル転送とVoIPトラフィックの両方を確実に通過させることができます。
BIG-IPのWAN最適化モジュールによって有効になる統合型のiSessionsを使用すると、IT部門は、最適化され暗号化されたトンネルを介してクラウド環境に接続できます。一部の組織は、クラウド内のデータの制御を維持することを最重要と考え、企業のデータ センタにデータを「格納」して、要求されたときにクラウドにアクセスさせることを好みます。このプロセスは確実にパフォーマンスに影響しますが、ここでも安全で最適化されたiSessionsトンネルがデータからクラウドへのパイプを提供します。対称的で適応性の高い圧縮により、このトンネルは利用可能な帯域幅に最適な圧縮率を使用し、データ ストリームを調整して、帯域幅、CPU、圧縮率をより適切に使用できます。また、支店もアクセラレーション サービスの恩恵を受けることができます。バックアップ シナリオでも、情報を最新の状態に保つ場合でも、対称的なデータ重複排除機能は、(ファイル全体を転送するのではなく)データの変更のみを更新するため、帯域幅を節約できます。さらに、CIFおよびMAPIアクセラレーション、ハードウェア アクセラレーション(SSLと圧縮)、およびQoSモードを含むL7レート シェーピングもサポートされています。
クラウドの管理は、IT部門にとって常に課題です。Webアクセス管理とSSOの両方のアクセスについて単一制御点を導入することで、コンテキスト認識に基づいたネットワーキングのリソースに対するポリシー ベースのアクセス制御を迅速に展開し、簡単に管理することができます。BIG-IP Edge Gatewayポリシーのインポートとエクスポートも可能で、Webアプリケーションは保護されて高速化され、リモート アクセス、内部LAN制御、パブリック ワイヤレス、プライベート ワイヤレスのモードを提供します。
まとめ
クラウド コンピューティングは急速に進化しており、IT部門がアプリケーションを提供するための強力な代替手段となり得ます。クラウド コンピューティングは、拡張可能でオンデマンドのリソース、柔軟なセルフ サービスによる導入、TCOの削減、市場投入までの時間の短縮を約束し、インフラストラクチャ全体をホストすることも、インフラストラクチャの一部として利用することも、単一のアプリケーションを単に提供することも可能な多くのサービス オプションを提供します。
F5ソリューションは、クラウドのどこにいても、それがパブリック クラウド、プライベート クラウド、ハイブリッド クラウドのいずれであっても、クラウド インフラストラクチャと展開をより安全で信頼性が高く、回復力を備えたものにできるよう支援します。安全なリモート アクセス テクノロジは、クラウド ベースのアプリケーションへのコンテキストに応じた安全なアクセスを提供し、Webアプリケーション ファイアウォールは、アプリケーションのセキュリティを一元化する手段を提供し、ネットワーク側でのスクリプティングは、セキュリティの脆弱性にオンデマンドで直ちに対処できる俊敏な手法を提供し、これらすべてがクラウドを動的かつ流動的で安全に保つのに役立ちます。IT管理者は、構成と管理を分離してクラウド コンピューティング インフラストラクチャへのアクセスをきめ細かく制御し、アプリケーション トラフィックを分離して、共有リソースを使用するアプリケーション データのセキュリティを向上させることができます。
F5によるクラウドの保護には、柔軟な統合ソリューションのセットが含まれ、それぞれがお客様に固有のクラウド アプリケーション デリバリ ニーズに対応するための独自の専門知識を備えています。