f5 アプリケーション・デリバリ・ネットワークにおける ... ·...

アプリケーション・デリバリ・ネットワークにおけるストラテジックポイント・オブ・コントロールの有効活用データセンター内のサーバとインターネットの間にあるストラテジックポイント・オブ・コントロールを活用して、ユーザから見えないところでパフォーマンスを向上させ、セキュリティを実装し、サーバ冗長性を設定

F5ホワイトペーパー

2

目次

はじめに 3

安全性、高速性、安定性。1つのプラットフォーム 4

BIG-IP LTMのパワーをBIG-IP WOMおよびBIG-IP APMで強化 5

3つの力 8

まとめ 10

F5ホワイトペーパーアプリケーション・デリバリ・ネットワークにおけるストラテジックポイント・オブ・コントロールの有効活用

3

はじめに企業Webサイトおよびアプリケーション・パフォーマンスを見る場合の主要な要素は、「安全性、高速性、安定性」の3つにまとめることができます。アプリケーションが安全でシステムの安定性が高く、ユーザが迅速にアクセスできるなら（どんなに速くても速すぎることはありません）、ユーザはそのWebアプリケーションを許容できると感じ、それらのアプリケーションに実装されているセキュリティ保護のレベルに満足します。

ほとんどのインターネット接続が幅広いサービスを展開している今日、管理者はスループットを監視し、さらには、ビジネス価値の低いアプリケーションによって利用できる接続スペースが占有されないようにして、多くのクリティカルなアプリケーションのための帯域幅を保証する必要があります。管理者および ITマネージャには次のことが求められます。

• コンテキストベースのセキュリティをネットワークに導入

• ポイントツーポイント接続の保護と最適化

• システムの高い安全性を常に保証

データセンターのWAN接続は、データセンターを最新に保ちフェイルオーバーに備えるには最良の方法ですが、当該データセンターに複数のインターネット接続がない場合、この戦略は顧客が企業のWebサイトと通信するのに使用する接続への障害にもつながります。

ただし、ネットワークのエッジには、公開アプリケーションとインターネットとの間に、データセンター管理者が豊富な制御や情報にアクセスできるポイントがあります。F5® BIG-IP® Local Traffic Manager™(LTM)アプリケーション・デリバリ・コントローラはこのポイントに常駐し、アプリケーション /サーバの安全性を監視して接続を適切なサーバに転送するとともに、アプリケーションとユーザの間の接続についての情報を管理します。BIG-IP LTMにより、データセンターのネットワークに接続できればユーザは必ずインターネット対応のソリューションを利用できることが保証されます。

このストラテジックポイント・オブ・コントロールは、他のクリティカルな機能の活用ポイントでもあります。F5 BIG-IP® Access Policy Manager®(APM)はアクセスおよびセキュリティ製品で、BIG-IP LTMと同じデバイスに常駐できます。ユーザとアプリケーションの間のこの位置から、APMは現在市場にある主要な認証およびアクセス制御製品すべてを呼び出してセキュリティの問題を処理できます。BIG-IP APMはセキュリティ情報のコンテキストを管理しながら、認証されていないユーザがサーバにアクセスできないようにします。


4

この同じコントロール・ロケーションから、データセンターWAN接続を最適化し保護することもできます。F5 BIG-IP® WAN Optimization Manager™(WOM)は、データセンター間通信の高速化ツールで、データを回線にのせる前に暗号化し圧縮し重複排除してトラフィックの量を削減し、最新の暗号化によりそのトラフィックを保護します。

BIG-IP LTM、APM、WOMを共に利用すると、データセンター管理者はストラテジックポイント・オブ・コントロールで最大限の力を発揮し、安全、高速、安全性の理想に合致するWebサイトやアプリケーションを提供することができます。

対象とする業界が何であれ、データセンターの将来は、アプリケーションとトラフィックを保護する機能とともに高い安全性と高度なトラフィックのルーチングおよリダイレクトを提供できるかどうかに左右されます。

安全性、高速性、安定性。 1つのプラットフォームユーザとアプリケーションの間にあるデバイスの数が重要です。各デバイスは、遅延の原因になったり、新たな障害点や、問題になる可能性のある特定の「ソリューション」を生み出すことがあります。なるべく最新のアプリケーション・デリバリ・コントローラ（ADC）機能を1カ所に設置することで、通信パス上のデバイス数を減らし、単一の冗長デバイスペアによって緊急時の安全性を維持することができます。先進的なF5 ADC製品は、データセンター・ネットワークにおけるストラテジックポイント・オブ・コントロールを最大化するもっとも統合されたアプローチです。

• BIG-IP LTMは、ロードバランシング、サーバ監視、およびトラフィックの転送機能を提供します。

• BIG-IP APMはBIG-IP LTM上で実行される製品モジュールで、認証、承認、アカウンティング（AAA）を制御し、ユーザはここからネットワークへ入ります。

• BIG-IP WOMはBIG-IP LTM上で実行される製品モジュールで、データセンター間通信の暗号化、圧縮、および重複排除を行います。

これらのF5製品は、個別でもアップタイムやセキュリティ、WAN帯域幅の利用を向上させることでネットワークおよびサーバ環境全体を向上させます。けれどもこれらを一緒に利用すれば、データセンター外のすべての承認されたユーザに、安全かつ高速で安全性の高い通信を提供することができます。

IT企業の55%が、クラウドプロバイダを選択する際、複数のデータセンター間でのアプリケーション・トラフィックのリダイレクト、スプリット、またはレートシェープ機能が重要であると報告しています。

出典 :TechValidate Survey TVID:3D4-C64-27A


5

• BIG-IP WOMは、データセンター間の通信を向上させることで、他の用途に利用できるようにネットワーク帯域幅を整理します。

• BIG-IP APMは、ユーザがそこからデータセンター・ネットワークに入ることができる集中化したAAAを提供します。これにより、利用できる認証サービスのうち最適なものを指定して、企業リソースへの非常に詳細なアクセス設定をサポートします。

• BIG-IP LTMは、サーバを監視し、トラフィックを再ルーティングし、ロードバランシングすることで、Webアプリケーションをより弾力性のあるものにします。そのためアプリケーションまたはコードを変更する必要がなくなります。

BIG-IP LTMのパワーをBIG-IP WOM およびBIG-IP APMで強化データセンターのインターネット接続がストラテジックポイント・オブ・コントロールとして動作すれば、データセンターの管理者および ITマネージャはトラフィックを駆動してダイナミックな環境に適応させることができ、一方でコンテキスト指向セキュリティおよび高い弾力性を維持できます。

BIG-IP LTMにより柔軟な制御を達成

BIG-IP LTMはサーバのプールを生成し、各サーバには回線を通じて送られてくるリクエストを処理する能力があります。これらのプールはその後監視することができ、プール内の各サーバも監視できます。トラフィックは、BIG-IPに既知のアプリケーションやそのプロトコルを処理する最適な方法を指示するアプリケーション・テンプレートの使用から、ユーザをアクセスURLからより安全性の高いURLにリダイレクトできるF5 iRules®スクリプトの作成まで、さまざまな方法でルーティングできます。

BIG-IP LTMを設置すれば、IT担当者にとって自信をもってアプリケーションを拡張したり、より多くのユーザに対応したり、アップグレードに取り組めるツールになりますが、これは IPアクセスを仮想化するストラテジックポイント・オブ・コントロールからすべて円滑かつ効果的に処理されることがわかっているためです。IPアドレスはBIG-IPのエントリポイントを示しますが、そのエントリから先で、あるリクエストがどのように処理されるかは IT企業の必要性のみに応じて指示されます。これは、アプリケーションおよびその IPアドレスがストラテジックポイント・オブ・コントロールで分離されているため、IT担当者は監視や管理を追加したりユーザを異なる場所にリダイレクトすることまで可能だからです。


6

BIG-IP WOMによる帯域幅の最適化

BIG-IP LTMとは異なり、BIG-IP WOMは直接ユーザに対応するわけではありません。BIG-IP WOMはアプリケーションのバックエンドおよびデータセンターの問題に対応します。IT担当者はどうしたらデータセンターWANを最大限に活用できるか、多くの企業にとってユーザがWebサイトにアクセスする同じゲートウェイはどれなのか、BIG-IP WOMはこれらの課題に回答するのが専門です。

BIG-IP WOMは、強化されたWAN最適化機能をBIG-IP LTMの最上層に追加して、重複排除、圧縮、および暗号化を提供する一方で、レートシェーピング、TCP最適化機能を利用しています。暗号化や重複排除などの反対側で解除する必要のあるタスクに集中するため、BIG-IP WOMは、後で解除する必要がなく、そのためシングルポイントの方が処理に適しているワンウェイのタスクをBIG-IP LTMに任せています。BIG-IP WOMは対向型製品です。データセンターにBIG-IP WOMをインストールするということは、WAN接続の反対側にも2台目のBIG-IP WOMをインストールする必要があることを意味します。けれども、48倍にも帯域幅を向上させるチャンスがあるため、コストのかかるWAN接続のアップグレードの節約になり、十分その意味はあります。さらに、バックアップ・データセンターまたはその他のリモートロケーションにBIG-IP WOMがいったん設置されれば、BIG-IP LTMもそこに常駐することになり、BIG-IP LTMのすべてのメリットが両方のロケーションで得られるため、ネットワーク担当者はトンネルを確立するように、ユーザがリダイレクトされたことに気付きもしないうちにオーバーフローしたトラフィックをリモートのデータセンターに転送することができます。

BIG-IP APMによるセキュリティ強化

この統合アプローチで、BIG-IP APMはネットワークのストラテジックポイント・オブ・コントロールでのアクセスを処理しますが、この方法では、統合された両者ともWebアプリケーションのセキュリティが強化され、かつ既存のAAAインフラストラクチャがリモートユーザにまでシームレスに拡張されます。BIG-IP APMはBIG-IP LTMハードウェアに常駐しているため、ユーザがBIG-IP LTMによってルーティングされると同時に、アクセスおよび承認の検証が行われます。これによってセキュリティがレイヤ4～ 7およびLDAPおよび管理デスクトップサービスへの接続まで拡張されるため、あるアプリケーションまたはアプリケーションの一部へのアクセスは、グループのメンバシップまたはその他の権限や属性をベースに管理し判断することができます。

BIG-IP APMの補完的アクセスおよび承認機能により、アーキテクチャの全体的セキュリティが強化されます。顧客がインターネットからランダムにアクセスし内部的にホストされたサイトを参照しようとする場合、それらのユーザがWebサーバに達する前にアクセスを判断して制御でき、ソフトウェアの弱点を狙う


7

攻撃に対して防御できます。従業員がインターネットを通じてアクセスしてきた場合、BIG-IP APMは求められたアプリケーションへのアクセスが承認されるか検証し、ここでも不正なハッカーからデータセンターのシステムを保護します。BIG-IP APMは、有効なユーザがインターネットを通じてデータセンターにウイルスを持ち込まないことを保証するため、クライアントを強制的にチェックする設定も可能です。

アプリケーション・プロファイルとUIベースのアクセス制御システムを使用して、IT担当者はすぐに、「このグループは、Microsoft Exchange 2010を利用。このグループはSFAプリケーションへのアクセスを提供」などといったアクセス・ステートメントを作成できます。この情報により、BIG-IP APMは承認されたグループアクセスを許可し、それ以外のユーザを拒否します。GUIベースのアクセス制御リストにより、承認されたユーザを後から追加したり権限を修正することが容易になります。

3つのソリューション、1つのプラットフォーム。安全、高速、安全性

BIG-IP LTM+ APM + WOM

App 1

App 2

App 3

App n

BIG-IP LTM+APM +WOM

App 1

App 2

App 3

App n

アプリケーション制御、フロントおよびバックアプリケーション・サーバ

BIG-IP APM ディレクトリ

セカンダリ・データセンター、バックアップWebサーバ


8

3つの力このトラフィック管理全体で、WAN最適化およびAAA機能は個々の製品でも強力ですが、これら3つすべてを一緒に導入すると、管理者は、ビジネス・プライオリティに合致した安全、高速で安全性の高いエコシステムを作成するツールを得られ、それによってコストが削減されるとともに IT担当者の業務は容易になります。

BIG-IP製品はそれぞれ他の2つの製品を活用し、その統合を最大限に利用します。たとえば、あるユーザのリソースへのアクセスをセキュリティによって拒否する場合、トラフィックをルーティングし管理するBIG-IP LTMの機能はBIG-IP APMにとって有益です。この場合、BIG-IP LTMに指示して不正なユーザにログインページを表示し、このユーザをユーザが拒否された理由を示すメッセージとともに特別なページに転送することもできますし、または単に接続を拒否することもできます。

同様に、BIG-IP LTMは、TCP最適化とWAN高速化を組み合わせることでBIG-IPを強化します。これにより、データストリームに圧縮や重複排除が適用される前でも遅延の影響が大幅に緩和されます。ほとんどの顧客は、BIG-IP LTMの暗号化機能はそのハードウェアコストを低く抑えるのに本当に効果的であることに気付きますが、これはBIG-IP LTMがサーバの作業負荷を大幅に軽減し、それを暗号化向けに最適化されたハードウェア・プラットフォーム上のハードウェア、仮想マシン上のソフトウェアからなる特別なサブシステムに分散する上で役立つためです。各サーバが暗号化の負荷から解放され、リソースの消費が減少してサーバの作業が少なくなるため、より多くのタスクをサーバに割り当てられるようになります。この暗号化エンジンは、ビル内からインターネットを通じた安全な通信へ移行する際にBIG-IP WOMへも適用できます。

BIG-IP WOMによって利用可能な帯域幅が実際に増加するわけではありませんが、接続によって伝送されるデータ量が削減されそのため既存の接続でより多くのデータが送信できるため、見掛け上の帯域幅は増加します。このようにデータが削減されるということは、WANにおいてつねに困難なレプリケーションがBIG-IP WOMで十分可能になる場合があることを意味します。同様に、すべてのアプリケーションで必要な帯域幅が削減されるため、BIG-IP WOMでは、フロントエンドユーザであろうとバックエンドシステムであろうと、リモートエレメントのあるあらゆるアプリケーションで認識されるパフォーマンスが向上します。これは、回線上の輻輳が減少するためです。

接続がそれでも最大利用率に近いような極端なケースでは、伝送されるトラフィックの優先順位付けにBIG-IP LTMのレートシェーピングが役立ちます。つまり、アプリケーションが複雑なWebアプリケーションであろうと、毎日の

F5のデバイスにより、顧客からコンサルタント、従業員まで幅広いユーザのアプリケーション・アクセスを迅速に導入することができ、設定やサポートの必要は最小限です。

出典 :TechValidate Survey TVID:487-29B-0C1


9

レプリケーション作業であろうと、ミッションクリティカルなアプリケーションは確実に完了でき、一方重要性の低い接続は、企業の ITポリシーに従って速度が制限されたり切断されるということです。

一方、BIG-IP APMは、アプリケーションを企業の内部AAAサーバに接続するだけで、全体的セキュリティポリシーのもとでのクリティカルリソースへのアクセスを提供します。BIG-IP APMをストラテジックポイント・オブ・コントロールに設置すれば、BIG-IP APMはこれらの内部リソースを外部に公開することなく呼び出すことができ、その結果を利用して他の内部アプリケーションに対するアクセスを制御できます。基盤となるフレームワークとしてBIG-IP LTMのセキュリティ機能があるため、BIG-IP APMは必要に応じて暗号化を行い、TCP最適化、DDoS防御、およびその他のBIG-IP LTMによりシステムに構築されている機能を利用します。

この統合された能力の例として、ユーザであるボブが、仕事に向かう公共交通機関の中で自分のApple iPadから、Microsoft SharePointにホストされている自社の内部Webポータルにアクセスしたい場合を考えてみましょう。ボブは、BIG-IPプラットフォームの背後にある公共のURLへのリクエストを行います。BIG-IPプラットフォームは、そのURLで示されている IPは保護されていることを理解し、BIG-IP APMモジュールに対してそのURLのテンプレート（組み込みのSharePointテンプレートなど）のセキュリティポリシーを適用するように求めます。ボブには、テンプレートの要求に従って、ログインが求められます。ボブがログインすると、ボブのクレデンシャル情報はMicrosoft Exchangeに保存されている承認されたユーザの情報と比較され、このユーザ名がリストにあればボブは安全な接続を通じて実際のアプリケーションにリダイレクトされます。ボブの認証はすでに完了しています。一方、企業のイントラネットにあるドキュメントその他のファイルに対してボブが行った変更は、BIG-IP WOMによって冗長データセンターにレプリケーションされますが、これはボブがSharePointサーバの利用を続ける上でほとんどまたはまったく影響を及ぼしません。


© 2011 F5 Networks, Inc. All rights reserved.F5、F5 Networks、F5のロゴ、BIG-IP、FirePass、および iControlは、米国および他の国における F5 Networks, Inc.の商標または登録商標です。本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。

これらの仕様はすべて予告なく変更される場合があります。本発行物の記載内容に誤りがあった場合、あるいは記載内容を更新する義務が生じた場合も、F5ネットワークスは一切責任を負いません。F5ネットワークスは、本発行物を予告なく変更、修正、転載または改訂する権利を有します。

July-2011

東京本社〒107-0052 東京都港区赤坂4-15-1 赤坂ガーデンシティ19階TEL 03-5114-3210 FAX 03-5114-3201

www.f5networks.co.jp

西日本支社〒530-0017 大阪市北区角田町 8-47 阪急グランドビル 20階TEL 06-7711-1655 FAX 06-7711-1501

まとめインターネット接続の利用は増加を続けており、企業のネットワークは整理が必要です。アプリケーションの信頼性と弾力性は向上しなければならず、WAN接続のパフォーマンスや安定性は強化されなければなりません。BIG-IP LTM、BIG-IP APM、およびBIG-IP WOMを一緒に利用すると、これらすべての目標を達成し、ITシステムやインフラストラクチャを企業のニーズにより合致させることができます。この強力な3台を共に導入することで、ネットワークのストラテジックポイント・オブ・コントロールの1つを利用してサービスとサービスの利用者の間にクリティカルな機能が挿入され、システムは安全、高速で安定性の高いものになります。コアシステムからセキュリティ機能や帯域幅管理、WAN最適化の負荷を軽減することで、これら3つの補完的製品により、これらのシステムはビジネス上の課題に集中できるようになり、IT担当者は組織全体がその目標を達成するためのサポートに専念できるようになります。


f5 アプリケーション・デリバリ・ ネットワークにおける ... ·...

Documents

f5 アプリケーション・デリバリ・ネットワークにおける ... ·...