オンプレ担当者も納得 azureセキュリティレベルの保ち方 ·...
TRANSCRIPT
オンプレ担当者も納得!Azureセキュリティレベルの保ち方〜ハイブリッドクラウドとF5 BIG-IP for Azure〜
F5 ネットワークスジャパン
パートナー営業本部
ビジネスディベロップメントマネージャ
兼松 大地
© F5 Networks, Inc 4
ステップ
I
Azureファーストではじめる
一歩進んだハイブリッドクラウドへのステップF5ソリューション
サイバー攻撃対策
SSLセキュリテイ強化
アプリケーションパフォーマンス
ステップ
II
ステップ
III
ユーザ/端末検疫
VDI認証ゲートウェイ
クラウド認証連携
ネットワーク仮想化
プライベートクラウド
クラウド接続
セキュアなハイブリッドクラウドへのステップ
F5をAzureに配置
ウェブアプリケーションファイアウォール(ASM)
SSL強化(LTM)
HTTP/2、WebSocket対応(LTM)
F5をオンプレミスDCに配置 多要素認証、エンドポイントチェック(APM)
マルチVDIゲートウェイ(APM)
SAML IdP, SaaS認証連携(APM)
F5をAzureやIaaSに配置 SAML SP(APM)
F5をオンプレミスDCに配置 SCVMM連携、NVGREゲートウェイ(LTM+SDN, BIG-IQ)
AzureとのIPSec VPN接続(LTM)
これからご紹介します
© F5 Networks, Inc 6
Azure利用検討のポイント① 〜サイバー攻撃対策
忘れがちな検討のポイント
・クラウドだと、ネットワークセキュリティ(ACL)とDoS対策程度
・個別アプリのセキュリティチューニングに限界がある
・オープンソースだと、いざという時に対応が不安
・オンプレと同等のセキュリティポリシーで運用できない
よくある議論のポイント
✔ アプリケーションの脆弱性チェックちゃんと出来てますか?
✔ 安全なSSLサイトで運用できているといえますか?
ステップ I
© F5 Networks, Inc 7
Azure利用検討のポイント② 〜アプリのパフォーマンス
忘れがちな検討のポイント
・クラウドだと、遅延が気になる
・オンプレに比べネットワークの状況が見えづらい
・ネットワーキングが独自実装なので、チューニングポイントが少ない
よくある議論のポイント
✔ HTTP/2への対応出来てますか?
✔ WebSocket対応したいサービス諦めてませんか?
ステップ I
© F5 Networks, Inc 8
• BIG-IP in Azure
• すべてのBIG-IPモジュールが利用可能
• Azure Marketplaceからプロビジョニング
• BYOL(初期リリース)
F5のソリューション for Azure
②アプリケーションアクセス
①プロビジョニング
ステップ I
© F5 Networks, Inc 9
おさらいAzureで提供されるトラフィック管理コンポーネント
ステップ I
Azure Traffic Manager Azure Load Balancer Azure Application Gateway
・リダイレクト型
・DNSを利用
・サイト間スケールアウト用
・アプリへのセキュリティ対策ができない
・インライン型
・TCP/UDPポート転送
・サイト内スケールアウト用
・アプリへのセキュリティ対策ができない
・インライン型
・HTTP(S)プロキシ
・アプリケーションGW用
・セキュリティ対策はSSL終端のみ
柔軟性スケール
F5が解決!
© F5 Networks, Inc 10
F5のソリューション for Azure
②アプリケーションアクセス
①プロビジョニング
サイバー攻撃対策について具体的に・アプリの脆弱性対応・SSLの対応
ステップ I
© F5 Networks, Inc 11
Azure上のウェブサイト
クラウドアプリのSDLC※にWeb脆弱性対応も適用「すばやく」「安全」にバーチャルパッチをクラウドにも
脆弱性診断ツール(DAST)
• 脆弱性の検知• 診断結果のエクスポート
F5 ウェブアプリケーションファイアウォール
•診断結果のインポート•ポリシーの自動生成•対応が必要な箇所の確認、ポリシー調整と適用
•安全なウェブサイト運用
サイト構成変更時や定期的に
連携対応製品:
ウェブサイト毎に個別のポリシー運用も可能
※SDLC:ソフトウェア開発ライフサイクル
ステップ I
© F5 Networks, Inc 12
クラウドだからこそ、より安全なSSLの利用を「安全」に使えるSSLをクラウドに適用
ステップ I
• SSLv3 [B] & RC4 の無効化 [B/C]
• SHA1 Certs [A] と sub-2k Certs [C] の交換
• TLS_FALLBACK_SCSV の適用 [A]
• HTTP Strict Transport の適用 [A]
• Perfect Forward Secrecy Compatible Ciphers の適用 [A-] DHE ciphers 不使用 (ECDHEのみ)
• TLS1.2 の適用 [C]
• Secure Renegotiation [A-]
• POODLE 対応 [C or F]
PCI Complianceへの加点:
• TLS 1.0 の無効化
*その他、多くの要求事項が定義されています。詳細は下記リンクを参照ください: Qualys SSL Labs Rating Guide: https://www.ssllabs.com/projects/rating-guide/index.html
F5を使っているのでA+判定
© F5 Networks, Inc 13
F5のソリューション for Azure
②アプリケーションアクセス
①プロビジョニング
アプリパフォーマンスについて具体的に・HTTP/2対応・ への対応WebSocket
ステップ I
© F5 Networks, Inc 14
HTTP/2 and SPDY 3.1 ゲートウェイウェブサーバやクラウドLBの対応を待たずしてHTTP/2対応を「すばやく」
プロコトルゲートウェイ
オリジンサーバ
F5 BIG-IP
Images
HTTP 1.1/1.0
デバイス
HTTP 2.0
HTTP 1.1/1.0
SPDY 3.1/3,0/2.0
SPDY 3.1/3.0/2.0 および HTTP 2.0 を HTTP 1.xにプロトコル変換
クラウド上のWEBサーバはHTTP/2していなくてもよい
モバイル利用等で影響度が高いネットワーク遅延に対応
ステップ I
© F5 Networks, Inc 15
WebSocketロードバランシングHTTP Upgradeによるプロトコル変換にも対応できる
WebSocketプロキシ
WebSocketサーバ
F5 BIG-IP
Images
デバイス
WebSocketサーバを
シンプルにスケールアウト
ステップ I
通信初期にHTTPヘッダ(L7)を
確認できるので
A/Bテストや、Blue/Green
デプロイメントがやりやすくGET /Contents?
Upgrade: websocket
HTTP/1.1 101 Switching Protocols
{status: ‘YES!’}
●
●
●
HT
TP
We
bS
ocket
WebSocket特有の
通信中のプロトコル
変更に対応
●
●
●WebSocketサーバ
WebSocketサーバ
ログストレージ
通信ログも取れる
ため一括集中管理
が可能
© F5 Networks, Inc 17
認証基盤検討のポイント 〜クラウド認証への対応
忘れがちな検討のポイント
・クラウド認証はパスワード漏洩・アカウント乗っ取りの危険性がある
・クラウド認証は社内認証と同じレベルの強固な認証が必要
・クラウド認証はシームレスなログインをさせたい
よくある議論のポイント
✔ オンプレにあるアプリケーションへの認証、置きざりになってませんか?
✔ マルチクラウドで利用するときの認証、考慮されてますか?
ステップ II
© F5 Networks, Inc 18
• ハイブリッドクラウド認証連携ゲートウェイ• SAML IdP(ActiveDirectoryと連携可)
• リモートデスクトップGWなどの主要VDIゲートウェイ
• 初回ログオン時には厳格な検疫とユーザ認証を実施
• Office365などへシングルサインオン
• SAML SP(WebアプリケーションのSSO対応)
F5のソリューション for クラウド認証連携
IaaS
SaaS
Private Cloud
RD Session Host
Active Directory
社内システム
②AD連携
④リバース
プロキシ
&SSO
③VDI
ゲートウェイ
④SAML認証連携
④リバース
プロキシ&SSO
SAML IdP
SAML SP①ユーザ認証、端末認証
ステップ II
④SAML認証連携
AzureActive
Directory
アカウント連携
© F5 Networks, Inc 19
F5のソリューション for クラウド認証連携
IaaS
SaaS
Private Cloud
RD Session Host
Active Directory
社内システム
②AD連携
④リバース
プロキシ
&SSO
③VDI
ゲートウェイ
④SAML認証連携
④リバース
プロキシ&SSO
SAML IdP
SAML SP①ユーザ認証、端末認証
ステップ II
④SAML認証連携
AzureActive
Directory
アカウント連携
リモートデスクトップゲートウェイについて具体的に
© F5 Networks, Inc 20
認証server
Virtual desktops
VDI VDI VDI VDI
Hypervisor
Virtual desktops
VDI VDI VDI VDI
Hypervisor
Virtual desktops
VDI VDI VDI VDI
Hypervisor
VDIをシンプルにユーザポータルでユーザ属性に合わせたアプリケーションランチャ
いつ、誰が、どこから、アクセスしてきたのかが詳細にわかるレポート
PCoIPプロキシ
ICAプロキシ
RDSHゲートウェイ
ステップ II
C社
V社
© F5 Networks, Inc 21
F5のソリューション for クラウド認証連携
IaaS
SaaS
Private Cloud
RD Session Host
Active Directory
社内システム
②AD連携
④リバース
プロキシ
&SSO
③VDI
ゲートウェイ
④SAML認証連携
④リバース
プロキシ&SSO
SAML IdP
SAML SP①ユーザ認証、端末認証
ステップ II
④SAML認証連携
AzureActive
Directory
アカウント連携
シングル・サインオンについて具体的に
Office365へのSAML連携による
© F5 Networks, Inc 22
SAMLによるエンタープライズSaaSへの認証連携
①ユーザ認証&デバイス認証
①’ AD認証
④シングルサインオン
アカウント連携(パスワード情報不要)
既存のADで認証しているから、クラウド上にパスワードが不要
多要素認証・デバイス認証もできるから、セキュリティレベルを維持
ステップ II
②Office365選択
③SAMLアサーション発行&
リダイレクト
© F5 Networks, Inc 24
• SCVMMプロバイダ&NVGREゲートウェイ• Hyper-V仮想化基盤上へのF5のプロビジョニングをSCVMMから管理
• IPSec VPNでAzure接続• Dynamic Routingも対応 (New!)
F5のソリューション for ハイブリッドクラウド
③アプリケーションアクセス
①プロビジョニング
ステップ III
Private Cloud
Server
NVGRENVGRE
Database
SCVMM
NATIVE③アプリケーションアクセス
②VPN接続
④NVGRE変換
© F5 Networks, Inc 25
F5のソリューション for ハイブリッドクラウド
③アプリケーションアクセス
①プロビジョニング
ステップ III
Private Cloud
Server
NVGRENVGRE
Database
SCVMM
NATIVE③アプリケーションアクセス
②VPN接続
④NVGRE変換
SCVMMからのプロビジョニングについて具体的に
© F5 Networks, Inc 26
• Hyper-V Networking GatewayとしてF5 BIG-IPを動作させるためのプラグイン(PowerShell Module)
• SCVMMからの以下オペレーションなどに対応• NVGREトンネル(作成、更新、削除)
• Static ARPエントリ(作成、更新、削除)
• FDBレコード(作成、更新、削除)
F5 SCVMMプラグイン
SCVMM
F5 SCVMM PLUGIN
BIG-IQCloud
BIG-IP Platform
NVGRE トンネルエンドポイント
NVGREゲートウェイ
Server
Hyper-V
テナントNW
Rest API
Internet
Rest APINVGRE
VLAN
ステップ III
NVGRE
VMのライブマイグレーションに対応できる
WAP
マルチテナントネットワーク仮想化に対応NVGREゲートウェイ
としても利用可能
© F5 Networks, Inc 27
F5のソリューション for ハイブリッドクラウド
③アプリケーションアクセス
①プロビジョニング
ステップ III
Private Cloud
Server
NVGRENVGRE
Database
SCVMM
NATIVE③アプリケーションアクセス
②VPN接続
④NVGRE変換
IPSEC VPNについて具体的に
© F5 Networks, Inc 28
VPN装置としてのAzure認定と、F5の設定テンプレートステップ III
認定VPNゲートウェイ
CLIでコマンドを入れなくても、簡単に設定完了できるテンプレートも用意
Azure
ダイナミックルーティング近日サポート予定
© F5 Networks, Inc 29
F5をAzureに配置
ウェブアプリケーションファイアウォール(ASM)
SSL強化(LTM)
HTTP/2、WebSocket対応(LTM)
F5をオンプレミスDCに配置 多要素認証、エンドポイントチェック(APM)
マルチVDIゲートウェイ(APM)
SAML IdP, SaaS認証連携(APM)
F5をAzureやIaaSに配置 SAML SP(APM)
F5をオンプレミスDCに配置 SCVMM連携、NVGREゲートウェイ(LTM+SDN, BIG-IQ)
AzureとのIPSec VPN接続(LTM)
ステップ
I
Azureファーストではじめる
一歩進んだハイブリッドクラウドへのステップF5ソリューション
サイバー攻撃対策
SSLセキュリテイ強化
アプリケーションパフォーマンス
ステップ
II
ステップ
III
ユーザ/端末検疫
VDI認証ゲートウェイ
クラウド認証連携
ネットワーク仮想化
プライベートクラウド
クラウド接続
F5
in
Azu
reクラウド認証
GW
ハイブリッド
まとめ:今日お話ししたF5のソリューション