オンプレ 担 当 者 も 納 得! Azureセキュリティレベルの 保 ち 方 ハイブリッドクラウドとF5 BIG-IP for Azure F5 ネットワークスジャパン パートナー 営 業 本 部 ビジネスディベロップメントマネージャ 兼 松 大 地
BIG-IP in Azureを 活 用 した セキュアなハイブリッドクラウド
オンプレ 担 当 が Azureファーストでも 安 心 できるハイブリッドクラウドに 向 けて 適 材 適 所 で 安 心 納 得 連 携 F5 Networks, Inc 3
ステップ I ステップ II ステップ III セキュアなハイブリッドクラウドへのステップ Azureファーストではじめる 一 歩 進 んだハイブリッドクラウドへのステップ F5ソリューション これから ご 紹 介 します ネットワーク 仮 想 化 プライベートクラウド クラウド 接 続 F5をオンプレミスDCに 配 置 SCVMM 連 携 NVGREゲートウェイ(LTM+SDN, BIG-IQ) AzureとのIPSec VPN 接 続 (LTM) ユーザ/ 端 末 検 疫 VDI 認 証 ゲートウェイ クラウド 認 証 連 携 F5をオンプレミスDCに 配 置 多 要 素 認 証 エンドポイントチェック(APM) マルチVDIゲートウェイ(APM) SAML IdP, SaaS 認 証 連 携 (APM) F5をAzureやIaaSに 配 置 SAML SP(APM) サイバー 攻 撃 対 策 SSLセキュリテイ 強 化 アプリケーションパフォーマンス F5をAzureに 配 置 ウェブアプリケーションファイアウォール(ASM) SSL 強 化 (LTM) HTTP/2 WebSocket 対 応 (LTM) F5 Networks, Inc 4
ステップ I サイバー 攻 撃 対 策 SSLセキュリテイ 強 化 アプリケーションパフォーマンス
Azure 利 用 検 討 のポイント1 サイバー 攻 撃 対 策 ステップ I よくある 議 論 のポイント クラウドだと ネットワークセキュリティ(ACL)とDoS 対 策 程 度 個 別 アプリのセキュリティチューニングに 限 界 がある オープンソースだと いざという 時 に 対 応 が 不 安 オンプレと 同 等 のセキュリティポリシーで 運 用 できない 忘 れがちな 検 討 のポイント アプリケーションの 脆 弱 性 チェックちゃんと 出 来 てますか? 安 全 なSSLサイトで 運 用 できているといえますか? F5 Networks, Inc 6
Azure 利 用 検 討 のポイント2 アプリのパフォーマンス ステップ I よくある 議 論 のポイント クラウドだと 遅 延 が 気 になる オンプレに 比 べネットワークの 状 況 が 見 えづらい ネットワーキングが 独 自 実 装 なので チューニングポイントが 少 ない 忘 れがちな 検 討 のポイント HTTP/2への 対 応 出 来 てますか? WebSocket 対 応 したいサービス 諦 めてませんか? F5 Networks, Inc 7
F5のソリューション for Azure ステップ I BIG-IP in Azure すべてのBIG-IPモジュールが 利 用 可 能 Azure Marketplaceからプロビジョニング BYOL( 初 期 リリース) 2アプリケーションアクセス 1プロビジョニング F5 Networks, Inc 8
おさらい Azureで 提 供 されるトラフィック 管 理 コンポーネント ステップ I Azure Traffic Manager Azure Load Balancer Azure Application Gateway スケール 柔 軟 性 リダイレクト 型 DNSを 利 用 サイト 間 スケールアウト 用 アプリへのセキュリティ 対 策 ができない インライン 型 TCP/UDPポート 転 送 サイト 内 スケールアウト 用 アプリへのセキュリティ 対 策 ができない インライン 型 HTTP(S)プロキシ F5が 解 決! アプリケーションGW 用 セキュリティ 対 策 はSSL 終 端 のみ F5 Networks, Inc 9
F5のソリューション for Azure ステップ I サイバー 攻 撃 対 策 につい て 具 体 的 に アプリの 脆 弱 性 対 応 SSLの 対 応 2アプリケーションアクセス 1プロビジョニング F5 Networks, Inc 10
クラウドアプリのSDLC にWeb 脆 弱 性 対 応 も 適 用 すばやく 安 全 にバーチャルパッチをクラウドにも ステップ I Azure 上 のウェブサイト 脆 弱 性 診 断 ツール(DAST) 脆 弱 性 の 検 知 診 断 結 果 のエクスポート サイト 構 成 変 更 時 や 定 期 的 に 安 全 なウェブサイト 運 用 F5 ウェブアプリケーションファイアウォール ウェブサイト 毎 に 個 別 のポリシー 運 用 も 可 能 診 断 結 果 のインポート ポリシーの 自 動 生 成 対 応 が 必 要 な 箇 所 の 確 認 ポリシー 調 整 と 適 用 連 携 対 応 製 品 : SDLC:ソフトウェア 開 発 ライフサイクル F5 Networks, Inc 11
クラウドだからこそ より 安 全 なSSLの 利 用 を 安 全 に 使 えるSSLをクラウドに 適 用 ステップ I SSLv3 [B] & RC4 の 無 効 化 [B/C] SHA1 Certs [A] と sub-2k Certs [C] の 交 換 TLS_FALLBACK_SCSV の 適 用 [A] HTTP Strict Transport の 適 用 [A] Perfect Forward Secrecy Compatible Ciphers の 適 用 [A-] DHE ciphers 不 使 用 (ECDHEのみ) TLS1.2 の 適 用 [C] Secure Renegotiation [A-] POODLE 対 応 [C or F] PCI Complianceへの 加 点 : F5を 使 っているので A+ 判 定 TLS 1.0 の 無 効 化 *その 他 多 くの 要 求 事 項 が 定 義 されています 詳 細 は 下 記 リンクを 参 照 ください: Qualys SSL Labs Rating Guide: https://www.ssllabs.com/projects/rating-guide/index.html F5 Networks, Inc 12
F5のソリューション for Azure ステップ I アプリパフォーマンスにつ いて 具 体 的 に HTTP/2 対 応 WebSocket への 対 応 2アプリケーションアクセス 1プロビジョニング F5 Networks, Inc 13
HTTP/2 and SPDY 3.1 ゲートウェイ ウェブサーバやクラウドLBの 対 応 を 待 たずしてHTTP/2 対 応 を すばやく ステップ I モバイル 利 用 等 で 影 響 度 が 高 いネットワーク 遅 延 に 対 応 デバイス HTTP 2.0 プロコトル ゲートウェイ HTTP 1.1/1.0 HTTP 1.1/1.0 オリジンサーバ SPDY 3.1/3,0/2.0 Images F5 BIG-IP クラウド 上 のWEB サーバはHTTP/2し ていなくてもよい SPDY 3.1/3.0/2.0 および HTTP 2.0 を HTTP 1.x にプロトコル 変 換 F5 Networks, Inc 14
WebSocketロードバランシング HTTP Upgradeによるプロトコル 変 換 にも 対 応 できる GET /Contents? Upgrade: websocket WebSocket 特 有 の 通 信 中 のプロトコル 変 更 に 対 応 ステップ I 通 信 初 期 にHTTPヘッダ(L7)を 確 認 できるので A/Bテストや Blue/Green デプロイメントがやりやすく デバイス HTTP/1.1 101 Switching Protocols {status: YES! } HTTP WebSocket Images WebSocket プロキシ F5 BIG-IP WebSocket サーバ WebSocket サーバ WebSocket サーバ ログ ストレージ 通 信 ログも 取 れる ため 一 括 集 中 管 理 が 可 能 WebSocketサーバを シンプルにスケールアウト F5 Networks, Inc 15
ステップ II ユーザ/ 端 末 検 疫 VDI 認 証 ゲートウェイ クラウド 認 証 連 携
認 証 基 盤 検 討 のポイント クラウド 認 証 への 対 応 ステップ II よくある 議 論 のポイント クラウド 認 証 はパスワード 漏 洩 アカウント 乗 っ 取 りの 危 険 性 がある クラウド 認 証 は 社 内 認 証 と 同 じレベルの 強 固 な 認 証 が 必 要 クラウド 認 証 はシームレスなログインをさせたい 忘 れがちな 検 討 のポイント オンプレにあるアプリケーションへの 認 証 置 きざりになってませんか? マルチクラウドで 利 用 するときの 認 証 考 慮 されてますか? F5 Networks, Inc 17
F5のソリューション for クラウド 認 証 連 携 ステップ II ハイブリッドクラウド 認 証 連 携 ゲートウェイ SAML IdP(ActiveDirectoryと 連 携 可 ) リモートデスクトップGWなどの 主 要 VDIゲートウェイ 初 回 ログオン 時 には 厳 格 な 検 疫 とユーザ 認 証 を 実 施 Office365などへシングルサインオン SAML SP(WebアプリケーションのSSO 対 応 ) 4リバース プロキシ&SSO IaaS 1ユーザ 認 証 端 末 認 証 SAML SP 3VDI ゲートウェイ SAML IdP 4SAML 認 証 連 携 SaaS RD Session Host 2AD 連 携 4SAML 認 証 連 携 社 内 システム 4リバース プロキシ &SSO Private Cloud Active Directory アカウント 連 携 Azure Active Directory F5 Networks, Inc 18
F5のソリューション for クラウド 認 証 連 携 ステップ II リモートデスクトップゲート ウェイについて 具 体 的 に 4リバース プロキシ&SSO IaaS 1ユーザ 認 証 端 末 認 証 SAML SP 3VDI ゲートウェイ SAML IdP 4SAML 認 証 連 携 SaaS RD Session Host 2AD 連 携 4SAML 認 証 連 携 社 内 システム 4リバース プロキシ &SSO Private Cloud Active Directory アカウント 連 携 Azure Active Directory F5 Networks, Inc 19
VDIをシンプルに ユーザポータルでユーザ 属 性 に 合 わせたアプリ ケーションランチャ VDI VDI VDI VDI Hypervisor ステップ II ICAプロキシ C 社 Virtual desktops VDI VDI VDI VDI Hypervisor RDSHゲートウェイ Virtual desktops 認 証 server PCoIPプロキシ V 社 VDI VDI VDI VDI Hypervisor いつ 誰 が どこから ア クセスしてきたのかが 詳 細 にわかるレポート Virtual desktops F5 Networks, Inc 20
F5のソリューション for クラウド 認 証 連 携 ステップ II Office365へのSAML 連 携 による シングル サインオンについて IaaS 具 体 的 に 4リバース プロキシ&SSO 1ユーザ 認 証 端 末 認 証 SAML SP 3VDI ゲートウェイ SAML IdP 4SAML 認 証 連 携 SaaS RD Session Host 2AD 連 携 4SAML 認 証 連 携 社 内 システム 4リバース プロキシ &SSO Private Cloud Active Directory アカウント 連 携 Azure Active Directory F5 Networks, Inc 21
SAMLによるエンタープライズSaaSへの 認 証 連 携 ステップ II アカウント 連 携 (パスワード 情 報 不 要 ) 1 AD 認 証 2Office365 選 択 4シングルサインオン 3SAMLアサーション 発 行 & リダイレクト 1ユーザ 認 証 &デバイス 認 証 既 存 のADで 認 証 している から クラウド 上 にパス ワードが 不 要 多 要 素 認 証 デバイス 認 証 もできるから セキュリ ティレベルを 維 持 F5 Networks, Inc 22
ステップ III ネットワーク 仮 想 化 プライベートクラウド クラウド 接 続
F5のソリューション for ハイブリッドクラウド ステップ III SCVMMプロバイダ&NVGREゲートウェイ Hyper-V 仮 想 化 基 盤 上 へのF5のプロビジョニングをSCVMMから 管 理 IPSec VPNでAzure 接 続 Dynamic Routingも 対 応 (New!) 3アプリケーションアクセス NATIVE 4NVGRE 変 換 3アプリケーションアクセス NVGRE NVGRE SCVMM 1プロビジョニング Server Database Private Cloud 2VPN 接 続 F5 Networks, Inc 24
F5のソリューション for ハイブリッドクラウド ステップ III SCVMMからのプロビジョニ ングについて 具 体 的 に 3アプリケーションアクセス NATIVE 4NVGRE 変 換 3アプリケーションアクセス NVGRE NVGRE SCVMM 1プロビジョニング Server Database Private Cloud 2VPN 接 続 F5 Networks, Inc 25
F5 SCVMMプラグイン ステップ III Hyper-V Networking GatewayとしてF5 BIG-IPを 動 作 させるためのプラグイン (PowerShell Module) SCVMMからの 以 下 オペレーションなどに 対 応 NVGREトンネル( 作 成 更 新 削 除 ) Static ARPエントリ( 作 成 更 新 削 除 ) FDBレコード( 作 成 更 新 削 除 ) VMのライブマイグレー ションに 対 応 できる WAP NVGREゲートウェイ としても 利 用 可 能 Internet VLAN マルチテナントネット ワーク 仮 想 化 に 対 応 SCVMM F5 SCVMM PLUGIN Rest API BIG-IQ Cloud Rest API NVGRE トンネル エンドポイント NVGRE ゲートウェイ BIG-IP Platform NVGRE NVGRE Hyper-V テナントNW F5 Networks, Inc 26 Server
F5のソリューション for ハイブリッドクラウド ステップ III 3アプリケーションアクセス NATIVE IPSEC VPNについて 具 体 的 に 3アプリケーションアクセス 4NVGRE 変 換 NVGRE NVGRE SCVMM 1プロビジョニング Server Database Private Cloud 2VPN 接 続 F5 Networks, Inc 27
VPN 装 置 としてのAzure 認 定 と F5の 設 定 テンプレート ステップ III ダイナミックルーティング 近 日 サポート 予 定 CLIでコマンドを 入 れなく ても 簡 単 に 設 定 完 了 で きるテンプレートも 用 意 Azure 認 定 VPNゲートウェイ F5 Networks, Inc 28
ステップ I ステップ II ステップ III まとめ: 今 日 お 話 ししたF5のソリューション Azureファーストではじめる 一 歩 進 んだハイブリッドクラウドへのステップ F5ソリューション ネットワーク 仮 想 化 プライベートクラウド クラウド 接 続 F5をオンプレミスDCに 配 置 SCVMM 連 携 NVGREゲートウェイ(LTM+SDN, BIG-IQ) AzureとのIPSec VPN 接 続 (LTM) F5 in Azure クラウド 認 証 GW ハイブリッド ユーザ/ 端 末 検 疫 VDI 認 証 ゲートウェイ クラウド 認 証 連 携 F5をオンプレミスDCに 配 置 多 要 素 認 証 エンドポイントチェック(APM) マルチVDIゲートウェイ(APM) SAML IdP, SaaS 認 証 連 携 (APM) F5をAzureやIaaSに 配 置 SAML SP(APM) サイバー 攻 撃 対 策 SSLセキュリテイ 強 化 アプリケーションパフォーマンス F5をAzureに 配 置 ウェブアプリケーションファイアウォール(ASM) SSL 強 化 (LTM) HTTP/2 WebSocket 対 応 (LTM) F5 Networks, Inc 29