ホワイト ペーパー

F5 Security for Service Providersリファレンス アーキテクチャ

Updated October 28, 2013
  • Share via AddThis

はじめに

通信サービス プロバイダ(CSP)は、顧客が信頼性の高い接続で通話したり、スマートフォン アプリを利用したりできるようにし、さらに、競争力を高め、比較的平坦な収益ストリームを大幅に増加できる差別化されたサービスを提供する必要があります。このため、サービス プロバイダは、複雑さやコストを増すことなく、優れたネットワーク品質を保証しなければなりません。セキュリティの脅威は、ネットワーク品質やカスタマ エクスペリエンスに直接悪影響を与えるため、セキュリティは最優先事項であり、CSPは増え続ける脅威に常に備えなければなりません。

一方、サービス プロバイダは爆発的なデータの増加に対処していますが、さらに競合他社と業界の圧力が追い打ちをかけ、時間とコストのかかる4G LTEのアップグレードに着手せざるを得なくなっています。この移行は、セキュリティの脅威の状況を劇的に変えつつあります。さらに、IPv6への移行やネットワーク機能仮想化(NFV)技術も喫緊の課題であり、既に進行している場合もあります。結果として、CSPは、ネットワークの予測可能性、信頼性、および可用性を維持するために、多角的なサポートを必要としています。

F5は、サービス デリバリ アーキテクチャ全体でこれらのCSPのニーズを満たすことができる、動的な多層セキュリティ ソリューション スイートを提供しています。CSPインフラストラクチャ全体を保護するためには広範なソリューションが必要であり、従来のファイアウォールや専用製品では提供できません。F5のセキュリティ ソリューションは、デリバリ アーキテクチャと運用を簡素化し、サービスの可用性と信頼性を高め、コストを削減しながらアプリケーション認識と制御を提供することで、CSPがネットワークを最適化し、保護し、収益化できるように支援します。

課題

4G LTEへの移行により、サービス デリバリ アーキテクチャがよりフラットでオープンになり、すべてがIPベースになったことで、サービス プロバイダのセキュリティの状況は劇的に変化しています。その結果、サービス プロバイダは、加入者やサービス インフラストラクチャに対する、ますます複雑で、多面的かつ複合的で大規模な攻撃に直面しています。DoS攻撃、ボットネット、アイデンティティ情報の盗難、システム侵害などの悪意のある行為がネットワークに影響を及ぼすのを阻止し、同様に、シグナリング ストームやシステムの誤設定など、セキュリティ関連の意図的でない問題も防がなければなりません。

同時に、CSPが4G LTEサービスを導入し、インフラストラクチャ全体に負荷をかけ続けている爆発的に増加するトラフィックを安全に管理するために、多額の費用が生じていることだけを考えても、ビジネス パフォーマンスを向上させるために、CSPはコストを削減し、ネットワークの運用効率を高める必要があります。最後に、新しい4G LTEアーキテクチャでは、ポリシー管理、DNSアドレス解決、IMSサービスなどの戦略的なネットワーク要素が新しいシグナリング インフラストラクチャに依存しており、これも保護しなければなりません。

このような環境で、サービス プロバイダは以下のようなセキュリティ上の課題に直面しています。

  • DoSや分散型サービス拒否(DDoS)攻撃、IPポート スイープ、シグナリング ストームなど、サービスの可用性に対する脅威。
  • 個人情報や銀行取引情報から企業資産やパスワードに至る、さまざまなデータの盗難。
  • パフォーマンスを低下させ、サービスを妨害する、デバイス側とサーバー側のマルウェア。
  • アクセス制御が不十分な場合にネットワークやデータ センタの資産を侵害する持続的標的型脅威(APT)。
  • OWASP Top 10に挙げられるようなWebアプリケーション攻撃。

従来のネットワーク ファイアウォールでは、必要な拡張性、柔軟性、およびインテリジェンスを提供できず、管理も容易ではありません。CSPは、ますます巧妙化し、増え続ける攻撃に対して効果的なセキュリティを提供するために、応答性を維持する必要があります。さらに、脅威の発生源はインターネットだけではありません。DDoSボットネットや、マルウェア、その他のソースからの攻撃は、モバイル デバイスからも発生しています。脅威は双方向になっているため、セキュリティ ソリューションはネットワーク インフラストラクチャに双方向の保護対策を提供できなければなりません。

その他の従来の保護対策では、DDoSアプライアンス、DNSアプライアンス、Webアプリケーション ファイアウォール、ロード バランサなど、多くの個別の製品を組み合わせて保護しようとしていますが、このアプローチではアーキテクチャの複雑さとレイテンシが増し、ネットワークに障害点を増やすことになります。さらに、運用面から見ると、異なるシステムとテクノロジで複数のセキュリティ ベンダの製品を管理し、サポートすることは、非常に難しく、リソースを大量に消費します。さらに悪いことに、専用製品を集めても、さまざまな攻撃ベクトルからの情報を統合し、統一された防御を提供することはできません。ネットワークでセキュリティ上の問題が解決されないと、サービス呼び出しが増加し、顧客満足度が低下して、顧客離れが進むため、攻撃に関する包括的なインテリジェンスは非常に重要です。

解決策

適切なセキュリティを確保するには、多層的なソリューション アプローチが必要です。CSPは、ネットワーク全体、そのユーザーのデバイス、データ センタ内に幅広いセキュリティを実装するサービス デリバリ アーキテクチャを設計する必要があります。ネットワーク内では、ソリューションはデータ プレーンとコントロール プレーンの両方で保護を提供しなければなりません。データ プレーンではモバイル パケット コア インフラストラクチャを保護し、コントロール プレーンではメッセージング インフラストラクチャとシグナリング インフラストラクチャを保護します。データ センタでは、ソリューションは、データ インフラストラクチャだけでなく、ホストされているアプリケーション自体にアプリケーションレベルの保護を提供する必要があります。

F5が提供する動的な多層セキュリティ ソリューション スイートは、サービス プロバイダがインフラストラクチャ全体を保護し、最も要求の厳しい条件下でもインテリジェンスと柔軟性により保護を拡張できるよう支援します。解決できるセキュリティ問題に制限のある競合他社の専用製品とは異なり、F5のセキュリティ ソリューションは、統合プラットフォームと他にはない優れた機能により、CSPインフラストラクチャ全体の脅威に対処できます。結果として、これらのソリューションを利用することで、サービス プロバイダはネットワークを保護し、最適化し、収益化することができます。

ダイアグラム
F5 Security for Service Providersソリューション

F5のプラットフォームは、ネットワーク アーキテクチャを簡素化し、新たな脅威に迅速に対応するための柔軟性を高め、キャリアグレードのパフォーマンスと信頼性を提供する、認定済みのファイアウォール ソリューションです。これらのユニバーサル プラットフォーム機能は、CSPのコア インフラストラクチャでさまざまな機能を実現するために、F5ソリューション全体に実装されています。

  • パケット コア(S/GI)ネットワークのセキュリティ
  • メッセージングおよびシグナリング プロトコルのセキュリティ
  • インターネット データ センタのセキュリティ

これらのソリューションが、加入者に最大限のセキュリティ ポスチャと最適なエクスペリエンスを提供する単一のサービス デリバリ アーキテクチャに組み込まれています。

F5は、このアーキテクチャ用として単一のセキュリティ製品を提供するのではなく、F5セキュリティ ポートフォリオ内のインテリジェントで拡張性の高いコンポーネントを組み合わせたソリューションを提供しています。その統合プラットフォームは、F5® BIG-IP® Advanced Firewall Manager™(AFM)、F5® BIG-IP® Application Security Manager™(ASM)、BIG-IP Global Traffic Manager(GTM)、F5® BIG-IP® Local Traffic Manager™(LTM)、およびF5 Traffix Signaling Delivery Controller(SDC)で構成されています。

  • BIG-IP AFMは、高性能でステートフルなフルプロキシ ネットワーク ファイアウォールであり、SYNフラッドなどのネットワーク層DDoS攻撃やSSLフラッドなどのセッション層攻撃から防御します。
  • 高度なWebアプリケーション ファイアウォールであるBIG-IP ASMは、F5のアプリケーションとの優れた対話能力を利用して、HTTPベースの攻撃を検出して緩和します。
  • BIG-IP GTMは、拡張性の高いDNSおよびDNSSECソリューションであり、DNSインフラストラクチャ上のDNSベースのネットワークやセッションに対する攻撃を緩和します。
  • BIG-IP LTMは、アプリケーション デリバリ ソリューションであり、コンテンツベースのインテリジェントなトラフィック管理を強化します。
  • Traffix SDCは、Diameterルーティング ソリューションであり、サードパーティ パートナーからのトポロジ隠蔽機能とシグナリング ストーム対策を提供します。

このソリューションが機能する仕組み

F5のセキュリティ ソリューションが提供する重要な特性として、拡張性、柔軟性、アプリケーションの可視性、管理性、パフォーマンスがあり、これらはサービス アーキテクチャ全体に拡張されます。その結果、CSPは、サービス デリバリ アーキテクチャのさまざまな部分で、異なるベンダーが提供する複数の専用製品をサポートせずに済みます。これにより、マルチベンダー環境がもたらすコストや運用の複雑さに煩わされることなく、幅広いセキュリティを実現できます。

むしろ、F5のソリューションは、統合プラットフォームから動的な多層セキュリティ機能を提供することで、CSPアーキテクチャと運用を簡素化し、サービスの可用性と信頼性を高め、アプリケーション認識を提供し、資本コストと運用コストを削減します。その結果、優れたネットワーク品質を実現し、顧客満足度を直接的に高めることができます。

主な機能とメリット

F5のセキュリティ ソリューションは、サービス デリバリ アーキテクチャ全体でCSPのニーズを満たす多くの重要な機能を提供します。これらの機能は統合プラットフォームに特有のものであり、そのメリットを幅広く実現できます。

  • フルプロキシ アーキテクチャ:このアーキテクチャを使用して、F5のデバイスはセッションの終了、検査、転送を行い、最大限の可視性と制御を実現します。
  • 拡張性とパフォーマンス:単一のF5プラットフォームを拡張することで、最大5億7,600万の同時接続、640 Gbpsのスループット、毎秒800万の接続を処理し、最大規模の攻撃も緩和できます。
  • 統合プラットフォーム:F5プラットフォームは、共通のシステム アーキテクチャ上でソフトウェア対応のサービスとして複数のセキュリティ ソリューションを提供し、運用を簡素化して、総所有コストを削減します。
  • 柔軟性とプログラマビリティ:F5プラットフォームでは、セキュリティ ポリシーをF5® iRules®スクリプト言語でカスタマイズでき、高い柔軟性を提供します。また、F5® iControl®とF5® iCall® APIによって自動化されたプログラマビリティとオーケストレーションも統合されています。ユーザーがカスタマイズ可能なフレームワークで、F5® iApps®テンプレートを使用することで、ネットワーク全体でのセキュリティの導入を簡素化し、高速化します。
  • ハードウェアとソフトウェアの仮想エディション:F5プラットフォームは、ハードウェアとソフトウェアに対応した専用の高性能仮想エディションでサポートされており、NFV対応で運用は極めて柔軟です。
  • 可用性と信頼性:ハードウェアの冗長性、同期、稼働状況の監視、自動フェイルオーバー/フェイルバック機能により、高い可用性と信頼性を提供します。
  • 管理性:高度な管理スイートにより、CSPはファイアウォール ポリシーの一元管理、特定のアプリケーションを中心としたセキュリティ ポリシーの論理的な方向付け、すべてのデバイスにわたるポリシーの有効性の監視、ポリシー変更の監査を行うことができます。
  • すべてのレイヤにわたるDDoS認識と保護対策:BIG-IP AFMはDDoSを認識し、フラッドを自動的に防止して、展開されているハードウェアに対するレイヤ2からレイヤ4の多数の攻撃をライン レートで処理できます。F5 DDoSソリューションは、ネットワーク層、セッション層、およびアプリケーション層でセキュリティを提供します。

ビジネス上のメリット

F5のセキュリティ ソリューションは、CSPに多くのメリットを提供します。

  • アーキテクチャと運用の簡素化:F5の統合プラットフォームは、データ ネットワークとシグナリング ネットワーク、さらにはデータ センタ向けの幅広いセキュリティ ソリューションで構成され、サービス プロバイダは専用製品とベンダの数を抑えてセキュリティ アーキテクチャを簡素化できます。また、ソリューション プラットフォームの包括的な性質により、スペアリングの削減、トレーニングとトラブルシューティングの軽減、デリバリ インフラストラクチャ全体での一元的なセキュリティ ポリシー制御も可能になります。
  • パフォーマンスの向上:F5製品では、一体型の大容量プラットフォームにセキュリティ機能が統合され、ネットワーク ホップとレイテンシを削減し、ハードウェア アクセラレーションによる高いセキュリティ パフォーマンスを実現します。
  • 極めて高い拡張性で大規模攻撃から防御:F5のセキュリティ ソリューションは、サービス プロバイダに拡張性の高いプラットフォームを提供することで高いスループットと1秒あたりの接続数を確保し、同時セッションを可能にして、大規模攻撃から大量のトラフィックが存在する環境を守ります。
  • サービス エクスペリエンスの向上:F5ソリューションにより、サービス プロバイダは、(IPアドレスごとではなく)ユーザーごとのポリシーを導入して、攻撃や脅威から保護し、サービスの可用性と信頼性を向上させることができます。その結果、サービス プロバイダは加入者からの信頼を維持し、セキュリティ攻撃によってサービス品質や評判が低下し、加入者データが侵害されるのを阻止します。
  • コストの削減:F5プラットフォームは、セキュリティ機能を一体型フレームワークに統合して、CapExとOpExを削減します。さらに、F5プラットフォームは拡張性が高く容量が大きいため、デバイス全体の管理時間が短縮され、フットプリント コストと電力コストが削減されるため、総所有コストを抑えることができます。
  • 運用上の柔軟性の向上:サービス プロバイダは、シグネチャの更新や新しいソフトウェアのアップグレードなしで、iRulesスクリプト言語を使用してゼロデイ攻撃やその他の脅威に対応できます。iRulesにより、F5ソリューションは、ポリシーの更新や外部監視用のオーケストレーション システムとの通信や対話が可能であり、iControl APIはロギング システムとレポート システムとのスムーズなインターフェイスを提供します。
  • ハードウェアまたは仮想エディションの選択:F5のセキュリティ サービスは、さまざまなアプライアンスからシャーシベースのシステムまでを含む専用ハードウェアから、そしてソフトウェアベースの仮想エディションから提供できます。この組み合わせにより、高い柔軟性が確保され、システムをニーズと予算に合わせて、規模に応じて支払うことができます。また、F5は、アプライアンスとシャーシ ブレード上でリソースを共有するためのマルチテナントのF5® Virtual Clustered Multiprocessing™(vCMP)も提供しています。
ダイアグラム
F5 Security for Service Providersアーキテクチャ

まとめ

F5 Security for Service Providersは、爆発的なデータの増加、平坦な収益ストリーム、4G LTEのアップグレード、急速に移行する基準とテクノロジは言うまでもなく、拡大するセキュリティの脅威にも取り組んでいるCSPに、動的な多層セキュリティ アーキテクチャを提供します。このような厳しい環境で差別化された優れたカスタマ エクスペリエンスを提供するために、CSPは、予測可能で信頼性と可用性が高く、複雑でも高額でもない高品質なネットワークを運用しなければなりません。F5のサービス プロバイダ向けスイートは、インフラストラクチャ全体を保護し、最も要求の厳しい条件下でインテリジェンスと柔軟性により保護を拡張できるよう支援します。

解決できるセキュリティ問題が限られる競合製品とは異なり、F5のセキュリティ ソリューションは、拡張性の高い一体型のプラットフォームにより、CSPインフラストラクチャ全体で脅威に対処できます。また、F5のセキュリティ ソリューションが提供する重要な特性として、拡張性、柔軟性、アプリケーションの可視性、管理性、パフォーマンスがあり、これらはサービス アーキテクチャ全体に拡張されます。その結果、CSPは、専用ソリューションに構築されたマルチベンダ環境がもたらす複雑さやコストに煩わされることなく、サービス デリバリ アーキテクチャを簡素化し、幅広いセキュリティを提供できます。