WHITE PAPER

F5 VELOSによるセキュアなマルチテナント アーキテクチャの構築

はじめに

企業は増大するコンテンツ配信の需要に対応しつつ、企業データ センタのコストの抑制に注力しています。既存のインフラストラクチャの利用率を最大限に高めようとするこれらの企業にとって、データ セキュリティとコンプライアンスの確保は最優先事項となっています。多くの企業はオンプレミス、コロケーション、マルチクラウド導入環境にわたってワークロードを分散させているため、あらゆる導入環境に一貫したデータセキュリティ戦略が必要となります。F5の最新アーキテクチャはF5のモジュラー型ソフトウェアをプライベート クラウドとパブリック クラウドの両方に導入することで、企業は既存のハードウェア アクセラレーション機能を維持したまま、デジタル トランスフォーメーション計画を推進できます。F5のマイクロサービスベースのインフラストラクチャは、テナントを分離する包括的なセキュリティでアプリケーション デリバリとマルチテナント機能をサポートします。これらすべてがF5の適応型アプリケーションのビジョンを支えています。

サービス プロバイダの3社に1社はデータセキュリティの問題による影響を受けています。マネージド サービス プロバイダはデータ漏洩の増加や規制とコンプライアンスの問題により科される罰金を考慮して、同じ物理デバイス上でホストされている他のお客様がダウンストリームのお客様のネットワーク トラフィックを確認したり操作したりできないことを、ダウンストリームのお客様に保証したいと考えています。

F5の最新アーキテクチャは、最高情報責任者(CIO)が求める高性能な特性と、最高(情報)セキュリティ責任者(CSO/CISO)が求める堅牢で高いセキュリティ体制を兼ね備えています。

コンポーネント

定義

CMP

 CPU、コア、ブレードをスケーリングするためのF5® Clustered MultiprocessingTM(CMP)分散アーキテクチャ

F5 OS

オンプレミスやコロケーションのシナリオで、クラウド規模のアーキテクチャ上に構築され、シャーシベース システム上でトラフィック管理アプリケーションを実行するソリューションを提供する、次世代のアプリケーション デリバリ コントローラ(ADC)ソリューション。

アプライアンス

ポートとCPUコアの数が固定されている、テナント インスタンスも導入可能な非モジュラー型ハードウェア プラットフォーム。

F5 OS

F5OSはVELOSとともに導入された新しいプラットフォーム層のソフトウェアであり、管理者に対して抽象化されたマイクロサービス アーキテクチャを利用します。プラットフォーム層には、基本的なシステム設定、シャーシのライセンス、ネットワーキング、シャーシ パーティションの構成などが含まれます。

シャーシ パーティション

シャーシ パーティションとはVELOSシャーシ内のブレードをグループ化したものであり、VIPRIONでは利用できない新しい概念です。これにより、シャーシ内のブレードのグループを完全に区別して分離することができます。テナントはシャーシ パーティション内に作成され、同様に分離できます。シャーシ パーティションはTMOSの管理パーティションとは一切関係ありません。

テナント

VIPRIONなどの前世代のBIG-IPプラットフォームは、F5® Virtual Clustered MultiprocessingTM(vCMP)技術により仮想化とマルチテナントをサポートしていました。VELOSも仮想化とマルチテナントをサポートしていますがvCMPは使用しません。VELOSではより最先端のマイクロサービスベースのアプローチを採用しており、マルチテナントはデフォルトで組み込まれています。vCMPと同様に、個々のテナントをプロビジョニングし、それぞれで異なるソフトウェア バージョンを実行することができます。

SuperVIP/ベア メタル

SuperVIPとは、ブレードを追加することでコンピューティング能力を高めることができる、VIPRIONのベアメタル タイプの構成を指します。受信した負荷を利用可能なすべてのプロセッサに分散するためにCMP技術を使用しています。VELOSはデフォルトでマルチテナントであり、ブレードを追加する際に(VIPRIONと同様に)動的に拡張可能な1つの大規模なテナントを構成することで、同様のユース ケースに対応します。

F5の最新アーキテクチャ

VIPRIONのような前世代のシステムはvCMP技術を使用して仮想化ソリューションを提供していました。vCMPにはマルチテナントを提供する2つのコンポーネントとして、vCMPホスト層とvCMPゲスト層がありました。vCMPホスト機能は基本的に、F5プラットフォームでBIG-IPの仮想インスタンス(ゲストと呼ばれる)を実行できるカスタム ハイパーバイザーです。

VELOSは、構成や導入の観点からはvCMPに似たモデルを提供しますが、技術的には異なります。VELOSではシャーシ内の仮想化機能を「テナント」または「テナンシー」という言葉で表現します。VELOSのF5OSプラットフォーム層はハイパーバイザーではなく、管理用のKubernetesフレームワークを基盤とした真のマイクロサービス層です。F5OSはKubeVirt技術を使用してマイクロサービス層の上で仮想マシン(VM)としてBIG-IPインスタンスを実行できるようにすることで、マルチ テナントを実装します。これにより、お客様はテナントの管理方法を変更することなく、既存のBIG-IPインスタンスやゲストをVELOSテナントに移行することができます。

図1

将来的にVELOSアーキテクチャは次世代のBIG-IPソフトウェアもサポートする予定です。将来的には、BIG-IPインスタンスをコンテナ環境の上でVMとして実行する代わりに、BIG-IPはネイティブ コンテナ環境内のコンテナのコレクションとして実行されます。VELOSシャーシ上でサポートされているテナントは、将来的にはTMOSを搭載したBIG-IPと、F5OS上のコンテナ内にある最新のBIG-IPソフトウェアとなり、同じプラットフォーム上でテストとバージョンの移行をシームレスに行うことが可能になります。

マルチ テナント アーキテクチャ

VELOSでのテナントの構成はvCMPゲストのプロビジョニングとほぼ同じです。管理者はテナントに名前を割り当て、実行するソフトウェアのバージョンを選択し、vCPUとメモリ リソースを割り当てます。VELOSテナントはvCMPゲストと同様に、専用のCPUとメモリ リソースを使用します。

シャーシ パーティショニング

VELOSはシャーシ パーティショニング機能により分離層を追加します。これにより管理者はブレードをグループ化して相互に分離することができます。各ブレードを分離された個々のシャーシ パーティションにすることも、他のブレードとグループ化して大きなシャーシ パーティションを形成することもできます(シャーシ内のブレード数には最大数が設定されています)。シャーシ パーティショニングは、物理ネットワーキングを含む分離層を追加します。vCMPではVLANメンバーシップによって制限されることはあっても、ホスト層の物理ネットワーキングにすべてのゲストがアクセスできます。一方、VELOSのマルチテナントとシャーシ パーティションでは、シャーシ パーティション内のテナントはホストされているシャーシ パーティション内の物理ネットワーキングにのみアクセスできます。他のシャーシ パーティション内のネットワーキングにはアクセスできません。これらのアクセスはvCMPと同様にVLANによって制限されますが、シャーシ パーティションは下位層でさらに区別することができます。VELOSでは、管理者のアクセスを区別することでシャーシ パーティションをさらに分離するため、各シャーシ パーティションはそれぞれのユーザー アクセスと認証を管理することができます。

シャーシ管理者ロール

シャーシ管理者はシステム コントローラのアウトオブバンド管理インターフェイスにアクセスできます。また、シャーシ パーティションを構成し、これらのパーティションにアクセスするためのユーザー権限を割り当てることができます。

図3

シャーシ パーティション管理者ロール

シャーシ パーティション管理者は、パーティション内のブレードに対してインターフェイス、リンク アグリゲーション グループ、VLANなどのインバンド ネットワーキング インフラストラクチャを構成します。また、割り当てられたシャーシ パーティション内でテナントの導入とそのライフサイクルの管理を行うことができます。シャーシ パーティション管理者は、システム内の他のシャーシ パーティションにアクセスできないため、テナント層だけでなく下位のネットワーキング層でもセキュアな分離が提供されます。

図4

テナント管理者ロール

テナント管理者はテナント内のサービスの構成を担当します。テナント管理者はBIG-IPテナントで公開されているすべての管理機能にアクセスでき、これはvCMPゲストへのアクセスに似ています。また、下位プラットフォーム層のアクセスとは独立しており、TMOSインスタンス(またはテナント)内で制御されます。

図5

管理用のKubernetesフレームワークを基盤とした、真のマイクロサービス層。

最新のアーキテクチャによるセキュリティとアプリケーションのスケーリング

マイクロサービスベースの最新のアーキテクチャは、データ センタのデジタル トランスフォーメーションを目指す組織に役立ちます。デジタル トランスフォーメーションとデータ センタのモダナイゼーションの目的は、革新と迅速な対応を実現することです。多くのサービス プロバイダや企業向けデータ センタ事業者が、拡大するアプリケーション デリバリ要件を満たすためにオンプレム、コロケーション、マルチクラウド モデル全体にワークロードを展開しており、稼働率とデータ セキュリティの向上がますます重要になっています。F5のマイクロサービスベースのアーキテクチャはデータ セキュリティ基準に確実に準拠しながら、企業のCapEx利用率を高めます。

企業が直面する問題として、導入期間の短縮、容量拡張の制約、データ セキュリティの侵害が上位に挙げられます。人的エラーを減らすため、自動化やリモート監視技術への投資は着実に行われています。

サービス プロバイダにとって、5Gへの対応と、加入者とネットワークのパフォーマンスの向上は最優先事項です。さらにアプリケーションとリソースを確実に分離しながら、現在と3Gまたは4G LTEから5Gエッジへの移行中に増加する負荷に対応するにはリソースの拡張性が必要となります。

F5は、企業のアプリケーション パフォーマンス、フォールト トレランス、API管理機能の向上を支援するためにVELOSシャーシ システムを開発しました。

F5OSをVELOSプラットフォームで使用することで、リソース利用率の向上、自動化機能、多層防御セキュリティを提供します。リソース利用率を高めるため、VELOSは1台のデバイスで複数のテナント クラスタをサポートします。また、新しいシャーシ パーティショニング手法と詳細なリソース割り当てによって、よりシンプルな運用モデルを実現します。API重視のアーキテクチャにより、お客様はBIG-IPシステムの導入を自動化でき、アプリケーションの管理と自動化が容易になります。VELOSは複数のアプリケーション セキュリティ層をサポートし、エクスプロイトの範囲を制限します。また、VELOSでは物理的なセキュリティ メカニズムとソフトウェアベースの多層防衛セキュリティ メカニズムを組み合わせ、プロセスの保護、安全なアクセス制御、ネットワークの分離を実現します。

図6

またマネージド サービス プロバイダは、テナントのセキュリティを確保することで、ダウンストリームのお客様がそれぞれのサービスの分離されたセグメントを独立して管理できることに気付きました。例えば、あるダウンストリームのお客様はアプリケーションのセキュリティを確保するために同じパーティションで動作する別のテナント インスタンスからF5® Advanced Web Application FirewallTM(WAF)またはF5® BIG-IP® Advanced Firewall ManagerTM(AFM)を実行し、別のお客様はネットワーク サービスへのアクセス制御と認証を提供するためにF5® BIG-IP® Access Policy Manager®(APM)を実行することができます。

VELOSプラットフォームは、リソース利用率の向上、自動化機能、多層防御セキュリティを提供する。

VELOSシステム セキュリティ

VELOSのすべての面にセキュリティが組み込まれています。VELOSの設計と開発において、F5の製品開発チームとセキュリティ チームはすべての攻撃対象を調査し、脅威のモデル化を行いました。これはF5史上最も包括的なセキュリティ評価でした。

プラットフォーム セキュリティ

シャーシ パーティショニングはF5が提供するマルチテナント ソリューションの1つです。シャーシ パーティショニングでは、個々のブレード レベルでパーティションを作成し、ブレードをグループ化して単一のマネージド エンティティを提供することができます。各シャーシ パーティションには、独自の管理スタックとデータ ネットワーク接続があり、テナントはこれらの異なるパーティションにホストされて分離されます。

F5OSプラットフォーム層はセキュリティ コンテキスト制約(SCC)プロファイルとセキュア コンピューティング(seccomp)モードを活用することで、シャーシ パーティション内で実行されるアプリケーションと、基盤となるハードウェアを分離します。また、Security-Enhanced Linux(SELinux)のデフォルト設定により、テナント サービスによるホスト リソースへのアクセスが制限されます。認証とユーザー管理ではシャーシ管理者、パーティション管理者、テナント管理者のロールを分けることで、アプリケーションへのアクセスが制限されます。また、ホスト層は読み取り専用のファイル システム上に構築されているため、テナントの侵入を防ぐことができます。

Trusted Platform Module

Trusted Platform Module(TPM)(ISO/IEC 11889)は、セキュアな暗号プロセッサの国際規格であり、統合された暗号鍵によってハードウェアのセキュリティを確保するように設計された専用マイクロコントローラです。F5はTPM 2.0チップセット、Linuxトラステッド ブート(tboot)、およびIntel TXT技術を使用してTPMのChain of Custodyと認証を実装します。TPMチップはシステムが起動するたびにいくつかの測定を行います。これらの測定では、BIOSコード、BIOS設定、TPM設定、tboot、Linuxの初期RAMディスク(initrd)、Linuxカーネルのほとんどをハッシュ化するため(VELOSの初期リリースではBIOSの検証のみ)、測定対象のモジュールの代替バージョンの生成が困難になり、さらにハッシュ化によって同一の測定値が得られます。これらの測定値を既知の良好な値に対して検証することができます。

両方のシステム コントローラとすべてのブレード(BX110)にTPM 2.0チップセットが搭載されています。VELOSの初期リリースではローカル認証がブート時に自動的に行われ、コマンドライン インターフェイス(CLI)に表示することができます。将来的にF5はリモート認証と、Linuxカーネルおよびinitrdの認証を追加する予定です。

アプライアンス モード

管理者はアプライアンス モードを有効にすることでVELOSシステムをさらにロック ダウンすることができます。アプライアンス モードは連邦政府機関や金融機関のセキュリティ要件に特化して設計されたセキュリティ モデルです。アプライアンス モードでは基盤となるシステム シェルへのアクセスが排除されるため、スクリプトの実行が非常に困難になります。また、基盤となるシステムのルート アカウントへのアクセスも排除されるため、すべてのユーザーが認証システムを経由することになります。VELOSではF5OSプラットフォーム層とプロビジョニングされた各テナント内で、アプライアンス モードを有効にすることができます。管理者はシステム コントローラ レベル、シャーシ パーティションごと、およびテナントごとにアプライアンス モードを有効にすることができます。このモードは一部のVIPRION環境のようにライセンスによって制御されるのではなく、各レベルの構成オプションによって制御されます。

見直してみると、優れたプラットフォーム セキュリティ機能として以下があります。

  • シャーシ パーティションを使用したシャーシ内での区別と隔離
  • アクセスを特定のユーザー グループに制限するシャーシ パーティションの分離
  • Trusted Platform Module(TPM)によるハードウェア セキュリティ
  • スクリプトの実行やルート エクスプロイトを防止するアプライアンス モード
  • F5の署名付きソフトウェア イメージのみを許可する署名検証

これらの機能は外部の脅威ベクトルからプラットフォーム層を保護し、テナント自体にも独自のセキュリティ サブシステムがあります。

マルチ テナント環境でのセキュリティ

マルチテナント機能では各テナントの分離が最重要事項となります。同一デバイス上で複数のテナントをホストしているサービス プロバイダや企業のお客様にとっては、異なるテナントが所有する各リソースを分離する必要があります。F5は多層セキュリティ構成を提供することで、テナント間のセキュリティを確保します。

F5® BIG-IP® Local Traffic ManagerTM(LTM)、F5® BIG-IP® DNSTM、BIG-IP Advanced WAFのようにF5の信頼できるテナント サービスのみを導入することで、脅威対象を最小限に抑えることができます。署名検証は、F5サービス イメージのダウンロードとインストールを承認するのに役立ちます。署名検証が失敗するとソフトウェアのインストールは終了され、リソースを不適切な構成にしようとする悪意のある行為のリスクが排除されます。

SCCプロファイルやseccompモードなどのさまざまなセキュリティ メカニズムを利用して、テナントとホスト層のリソース(プロセス、ネットワーク、ファイルシステムなど)の間を分離します。テナントにはトラフィックを分離するための固有のテナントIDがあります。テナントのアドレス指定、IPテーブルの構成、ブロードキャスト ドメインの分離が連動して、テナントの分離を実現します。

各テナントには鍵、アプリケーション、セキュリティ ポリシー、監査ログ、ファイアウォール ルールなどへのユーザー アクセスを制御するロールベースのアクセス制御(RBAC)システムが用意されています。つまり、個々の認証情報を保持したままダウンストリームの各お客様やビジネス ユニットに特定のテナントを割り当てることができます。このようにしてテナントを導入すると、漏洩したユーザー アカウントは単一の特定のテナントに分離されます。各テナントはコンテナ環境上でTMOSオペレーティング システムのインスタンスを実行するため、vCMPゲストよりもセキュリティの面で優れています。主なポイントは以下のとおりです。

  • 署名検証によりF5の署名付きソフトウェア イメージのみを許可する
  • MACVLANインターフェイスにより、ブレード テナント間のトラフィックをカプセル化し、同じブレード上の異なるテナント間のトラフィックの可視性を制限する
  • テナントを分離するプラットフォーム層を介してパーティション管理者とテナント管理者のアクセスを区別する
  • seccompコンテナ セキュリティ
  • すべてのアプリケーション サービスにSELinuxポリシーを適用する

これらのセキュリティ対策を組み合わせることで、多層のテナント セキュリティを提供することができます。

ネットワーク セキュリティと分離

プラットフォーム層の分離

新しいF5OSプラットフォーム層はインバンド トラフィック ネットワーキングやVLANから完全に分離されます。この意図的な分離により、アウトオブバンド管理ネットワークを介してのみアクセスできるようになります。実際、システム コントローラにもシャーシ パーティションにもインバンドのIPアドレスは割り当てられておらず、インバンド管理用のIPアドレスとアクセス権があるのはテナントのみです。

これによりお客様は、アクセスが厳しく制限されているセキュアでロックダウンされたアウトオブバンド管理ネットワークを運用することができます。下の図は、アウトオブバンド管理アクセスがシステム コントローラを介してシャーシに入る様子を示しています。ここではシステム コントローラがシャーシ パーティションやテナントへの接続を提供しています。このアウトオブバンド ネットワークが管理目的でシャーシ内で拡張されます。すべてのインバンド アドレス指定がF5OSプラットフォーム層ではなくテナント自体で行われることに注意してください。

図7

シャーシ パーティションの分離

各シャーシ パーティションは(ローカル/リモート)ユーザーと認証の独自のセットを持つ一意のエンティティです。シャーシ パーティションは独自のCLI、GUI、およびAPIアクセスにより専用のアウトオブバンドIPアドレスで管理されます。シャーシ パーティションは特定のグループ専用にすることができ、そのグループのメンバーはそのパーティションにのみアクセスできます。システム内の他のシャーシ パーティションにはアクセスできません。このレベルの分離はVIPRIONにはありません。以下にいくつかの例を示します。異なるシャーシ パーティション間でサービス チェイニングを設定できますが、シャーシ パーティションはシャーシ内で分離されているため、それらをリンクさせるには外部の接続を提供する必要があります。

図8

管理アクセスが完全に分離され一意であることに加えて、インバンド ネットワーキングが構成され、シャーシ パーティション内に完全に含まれています。各シャーシ パーティションには、PortGroup、VLAN、リンク アグリゲーション グループ(LAG)、インターフェイスなど、独自のネットワーキング コンポーネント セットがあります。つまり、あるシャーシ パーティション内のネットワーキングは他のシャーシ パーティションからアクセスすることも、表示することもできません。

またネットワーク レベルでの分離は、デュアル システム コントローラに搭載された一元管理のスイッチ ファブリックでも提供されます。VELOSシステムの各ブレードには一元管理のスイッチ ファブリックへの接続が複数あり、冗長性と追加の帯域幅を提供します。各BX110ブレードには2つの100Gbバックプレーン接続(各システム コントローラに1つずつ)があり、それらはLAGで結合されています。このスター型配線トポロジーにより、すべてのブレード間で高速かつ信頼性の高いバックプレーン接続が可能となり、ネットワーキング層で完全な分離を実現します。

図9

シャーシ パーティションの作成時に管理者は1つまたは複数のブレードを割り当て、これらはシャーシ内の他のすべてのブレードから分離されます。一元管理のスイッチ ファブリックはポートベースのVLANとVLANタギングで自動的に構成され、シャーシ パーティション間の分離を実現します。下の図はその仕組みを示しています。

図10

ネットワーク セキュリティと分離

シャーシ パーティションがどのように分離されるかを説明するため、下の図にそれぞれ複数のシャーシ パーティションを持つ2つのVELOSシャーシを示しています。インバンド ネットワーク リソースを共有していないため、各シャーシ パーティションには、インバンド ネットワークに接続するためと2つのシャーシ間の高可用性相互接続のために独自のネットワーク接続が必要です。シャーシ パーティション間のインターフェイス、VLAN、またはLAGにアクセスする方法はありません。

図11

F5は、F5史上最も包括的セキュリティ評価としてすべての攻撃対象を調査し、脅威のモデル化を行った。

まとめ

リソースの利用率の向上やエンドツーエンドの自動化とオーケストレーションを実現するために、マイクロサービスベースのアプリケーション導入戦略を採用する企業では、これらの戦略がマルチテナント要件とどのように組み合わさり、総合的なセキュリティをどのように確保できるかを評価する必要があります。F5の最新アーキテクチャは、セキュリティとマルチテナントの両方のニーズを満たす、マイクロサービスベースの独自の高性能ソリューションを提供します。

セキュリティ グループ

VELOSのセキュリティ機能

プラットフォーム層のセキュリティ
  • シャーシ パーティションを使用したシャーシ内での区別と隔離
  • Trusted Platform Module(TPM)によるハードウェア セキュリティ
  • アプライアンス モードによりスクリプトの実行やルート エクスプロイトを防止する
  • デフォルトのSELinuxモードでテナント サービスによるホスト リソースへのアクセスを制限する
  • ホスト層がコンテナ内のVMとして動作し、テナントのホスト層への侵入を制限する

テナントのセキュリティ
  • F5の署名付きソフトウェア イメージのみを許可する署名検証
  • MACVLANインターフェイスにより、ブレード テナント間のトラフィックをカプセル化し、同じブレード上の異なるテナント間のトラフィックの可視性を制限する
  • テナントを分離するプラットフォーム層を介してパーティション管理者とテナント管理者のアクセスを区別する
  • seccompコンテナ セキュリティ
  • すべてのアプリケーション サービスにSELinuxポリシーを適用する

ネットワーク セキュリティと分離
  • プラットフォーム層はインバンド トラフィックから分離され、アウトオブバンド管理ネットワークを介してのみアクセスできる
  • シャーシ パーティションにはユーザーベースの認証システムがあり、専用のアウトオブバンドIPアドレスで管理される
  • シャーシ パーティションはインバンド ネットワークへの独自のネットワーク接続で分離される

F5はマイクロサービスベースの環境におけるセキュリティの重要性を理解しています。F5はプラットフォームとネットワーク接続に関して広範な脅威モデル評価を行い、多層防御戦略とプロアクティブなセキュリティ体制に基づいたセキュリティ モデルを構築しました。VELOSはプラットフォーム層の分離、シャーシ パーティショニング、一元管理のスイッチ ファブリック手法を組み合わせ、マルチテナント環境においてアプリケーション間の分離を実現します。

Published July 30, 2021
  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share to email
  • Share via AddThis

Connect with F5

F5 Labs

The latest in application threat intelligence.

Go to F5 Labs

DevCentral

The F5 community for discussion forums and expert articles.

Go to DevCentral

F5 Newsroom

News, F5 blogs, and more.

Go to the newsroom