ソリューションの概要
F5 BIG-IP AFM侵入検知システム(IPS)
サービス プロバイダや企業のネットワークでは、多数のアプリケーションへの接続を可能にするためにさまざまなプロトコルが使用されています。これらのネットワークのほとんどは、組み込まれているセキュリティが脆弱か、あるいはセキュリティが組み込まれていないレガシー プロトコルで運用されており、攻撃者がこれを悪用してサービスに悪影響を与えたり、情報を盗んだりする可能性があります。5Gベースのサービスを提供するサービス プロバイダにとっては、新しい5Gアーキテクチャによってネットワーク インフラストラクチャへの新たな侵入口が飛躍的に増大します。競争の激しい市場で顧客の期待に応えるエクスペリエンスを提供するには、ネットワークを保護することが不可欠です。
柔軟でモダンなプロトコル検査ソリューション
F5® BIG-IP® Advanced Firewall Manager™(AFM)にネイティブで組み込まれているF5侵入検知システム(IPS)は、レイヤ5~7のすべての受信トラフィックを検査し、25を超えるプロトコルとインフラストラクチャ アプリケーションをセキュリティ インシデントやエクスプロイトから保護します。BIG-IP AFMのIPSソリューションは、トラフィックがプロトコル標準に準拠しているかどうかを検証し、何百もの既知の攻撃シグネチャと照合します。また、パフォーマンスに影響を与える可能性のあるプロトコル攻撃やエクスプロイトからDNSインフラストラクチャを保護します。サービス プロバイダにとっては、BIG-IP AFM IPSはさらにネットワーク エッジを保護し、UDP、TCP、SCTPを介してネットワークに入ってくるSS7、Diameter、HTTP/2、GTP、SCTP、SIPなどのサービス プロバイダの一般的なプロトコルのトラフィックに対してトラフィック検査を行い、プロトコル準拠を検証します。このシステムは、これらのアプリケーション サービスが攻撃されたり悪用されたりしていないことを保証します。消費者向けネットワークや企業のネットワークに接続するIoTデバイスが毎年何百万台も販売されていることを考えると、脅威の状況はさらに深刻なものとなります。これらのIoTデバイスの多くは、セキュリティ対策が脆弱か、あるいはそもそも備えていません。そのため、ハッキングの標的となり、攻撃ネットワークに加えられてしまいます。BIG-IP AFM IPSは、広く使用されているIoTプロトコルであるMQTTとCoAPを検査し、IoTサービス サーバーへの攻撃を緩和します。
図1:ネットワーク サービスを保護するためのIPSサービスをシンプルなGUIで迅速に導入できる。
主な特長
BIG-IP AFM IPSは現在、以下のプロトコルをサポートしています。
- CoAP
- DHCP
- Diameter
- DNS
- FTP
- GTP
- HTTP
- IMAP
- IPSEC
- IRC
- MQTT
- MYSQL
- NETBIOS_NS
- NETBIOS_SSN
- NNTP
- Oracle
- PFCP
- POP3
- RADIUS
- RDP
- RSH
- SMTP
- SNMP
- SS7
- SSH
- SSL
- SUNRPC
- TELNET
- TFTP
- WINS
迅速で簡単、そして柔軟
BIG-IP AFM IPSがネットワークやプロトコルを狙った攻撃とエクスプロイトに迅速に対応できるよう、BIG-IPの標準的な仮想サーバーとアクセス制御リスト(ACL)、さらにFastL4がサポートされています。F5® iRules®を使用すると、受信トラフィックに速やかにポリシーを適用することもできます。iRulesはユーザー数が25万人を超えるF5 DevCentralコミュニティで活用され、これらのユーザーは一般的ではない脅威を緩和するカスタム ルールを共同で作成しています。これらのルールは他の管理者がBIG-IP AFMの導入環境で機能を柔軟に拡張できるようにコミュニティで共有されています。
SNORTに準拠したルールの利用と保護
BIG-IP AFMのIPSエンジンは、業界標準のドメイン固有言語(DSL)であるSNORTを使用して受信トラフィックにルールを適用し、攻撃やエクスプロイトを検出してブロックします。BIG-IP AFMのIPSは、サード パーティのソースからSNORTルールを取り込んで使用できるため、既存のポリシーに基づく一貫した保護を実現します。F5は、加入者のトラフィックの検査と保護をさらに拡張できるよう、サービス プロバイダのネットワーク プロトコル用に特別に調整したルールを追加設定なしで使用できるようにあらかじめ組み込んでいます。BIG-IP AFM IPSサブスクリプション サービスでは、進化し続ける新たな攻撃やエクスプロイトから保護するために新しいシグネチャを継続的に提供しています。
ほぼリアルタイムでリスクを可視化
BIG-IP AFM IPSは、高速ロギング(HSL)機能を備えており、受信トラフィックをほぼリアルタイムで可視化するため、ネットワーク担当者は攻撃に迅速に対応できます。F5 BIG-IQ Securityは脅威を相関的に可視化することでこれを補完し、実践的な対応を提案します。ログ データは、サポートされているサード パーティのセキュリティ情報イベント管理(SIEM)ソリューションに転送して、分析や履歴の比較を行うことができます。
図2:F5 AFM IPSが攻撃を可視化して防御する。
学習機能とルール提案機能を搭載
BIG-IP AFM IPSはポリシー提案エンジンを備えているため、管理者は進化する攻撃やエクスプロイトを常に把握でき、広範囲にわたって監視してルールを作成する必要がありません。ポリシー提案エンジンは、トラフィック パターンに基づいてルールを作成します。これらのルールは手動または自動で承認/却下することができ、専門知識もオーバーヘッドもなしに簡単に保護を強化できます。また、誤検出の多いルールを無効にすべきかどうかについてのフィードバックも提供します。
マルチスレッドによるパフォーマンスと拡張性の実現
BIG-IP AFM IPSはF5 BIG-IPプラットフォーム上に構築され、ネイティブなマルチスレッド処理を行うように設計されているため、サービスに影響を与えることなくトラフィックの急増や計画的な成長に応じて容易に拡張できます。またマルチスレッド アーキテクチャは高可用性も実現し、ソフトウェアのヒットレス アップグレードを可能にします。そのため、業務を中断することなく継続でき、リスク エクスポージャが軽減されます。
運用の柔軟性
BIG-IP AFM Virtual EditionのIPSソリューションは、AWS、Azure、Google Cloudの各プラットフォームやVMware/KVMのプライベート クラウド環境で簡単に実行でき、あらゆるアプリケーション インフラストラクチャやNFVのエンド ポイントでの保護を可能にします。パブリック クラウドとプライベート クラウドのいずれかに配置したF5 BIG-IQを導入環境の管理に使用することで、管理と可視化が容易になります。
サービス統合プラットフォーム
BIG-IP AFM IPSなら、サービス プロバイダはGiファイアウォールおよび負荷分散サービスと統合されたIPSを使用してインフラストラクチャの統合と保護を単一のプラットフォームで行えます。BIG-IP AFM IPSは、データ センタのコアとエッジ、および加入者サービスを可能にする基礎的なプロトコルを保護するように最適化されています。高い拡張性とパフォーマンスを必要とするネットワークの場合、BIG-IP iSeriesアプライアンスとVIPRIONシャーシ上のIPSが業界をリードするスループットと信頼性を実現し、安全なネットワーク サービスの提供を保証します。
まとめ
BIG-IP AFMのIPSソリューションは、パフォーマンスに影響を与えるプロトコル攻撃やエクスプロイトからDNSインフラストラクチャを保護します。サービス プロバイダにとってBIG-IP AFM IPSはネットワークのエッジを保護し、サービス プロバイダのプロトコルに対してトラフィック検査を行い、プロトコル準拠を検証します。サービス プロバイダが5Gベースのサービスの提供を目指すことで攻撃の機会は増大し、ネットワーク保護の重要性がさらに高まっています。
BIG-IP AFMとBIG-IQがお客様のインフラストラクチャを保護する仕組みの詳細をご確認ください。