BIG-IP v11 Security Overviewダイナミックなダイナミックな攻撃防御とアクセスコントロール

F5ネットワークスジャパン2011年8月

2

A dAgenda

・ データセンターにおけるセキュリティ課題

・ BIG-IP v11 セキュリティ- Web 2.0 アプリケーションへ適応した防御- 高度な統合型アクセスコントロールを実現- DDoS攻撃を軽減し、拡張性に優れたDNSインフラストラクチャを実現

3

これまでのデ タセンタ ではなぜ対応できないかこれまでのデータセンターではなぜ対応できないか

• 導入時はシンプルな環境• 導入時はシンプルな環境• ユーザの多様化、サービス

の増加増加

• アプリケーション問題• セキュリティ問題…

4

ダイナミック・データセンターが必要とされるダイナミック・デ タセンタ が必要とされる

ダイナミックに再構成• ダイナミックに再構成

• オブジェクト単位ではなく• オブジェクト単位ではなくアプリケーション自体を管理

• コンテキストを理解したポリシー

• ADCによりアプリケーション・サ ビスを管理サービスを管理

5

BIG IP 11 セキ リテBIG-IP v11 セキュリティダイナミックな攻撃防御とアクセスコントロール

• Web 2.0 アプリケーションへ適応した防御応 防御

• 高度な統合型アクセスコントロールを実現• 高度な統合型アクセスコントロールを実現

• DDoS攻撃を軽減し、拡張性に優れたDNSインフラストラクチャを実現

6

BIG-IP Advanced Acceleration Overview

Web 2.0 アプリケーションへ適応した防御

7

ハッカー集団 DDoSによりWebサイトを攻撃ハッカ 集団、DDoSによりWebサイトを攻撃

「回答組織の60%は 年間収入「回答組織の60%は、年間収入の少なくとも25%以上をWebサイトから得ている」

Merrill Research、2011年Merrill Research、2011年

8

最近のアプリケーションおよびネットワーク攻撃最近のアプリケーションおよびネットワーク攻撃

• 攻撃は後を絶たない:

プライバシー保護のため、この外部画像の自動ダウンロードが停止されました。この画像をダウンロードして表示するには、メッセージ バーの [オプション] をクリックし、[外部コンテンツを有効にする] をクリックしてください。

攻撃は後を絶たない:

「現在の世界では、テロ行為は、自爆用ベストを着た少数の過激派自爆用 着 少数 過激派によって起こされるだけではなく、コンピューターのキーを数回打つだけでも起こされる可能性がある」

バラク・オバマ、米国大統領

• 米国の考え方サイバーテロ = ｢戦争｣

http://spectrum ieee org/static/hacker matrixhttp://spectrum.ieee.org/static/hacker-matrix

ウォールストリートジャーナル(http://jp.wsj.com/US/node_243778 )

潜在的な敵対者に警告を与えるものとして、このサイバー戦略を利用する意図がある。ある軍関係者は「第三国がわが国の電力網を遮断すればある軍関係者は「第三国がわが国の電力網を遮断すれば、わが国は恐らくその国の煙突の一つにミサイルを撃ち込むだろう」と述べた。

9

サイバ 攻撃に対する防御サイバー攻撃に対する防御

専門家は ｢嵐のようなサイバ 攻撃は回避可能 と考えている• 専門家は、｢嵐のようなサイバー攻撃は回避可能｣と考えている- 今あるテクノロジを利用して防御可能！- 全てのIT組織にネットワークを保護する方法を教える必要がある- 多くはL7攻撃を理解していない- 専門家は、ネットワークファイアウォールでは不十分と指摘

F5独自のネ トワ クとアプリケ シ ンセキ リテ を包括する• F5独自のネットワークとアプリケーションセキュリティを包括するアーキテクチャが必要とされる

10

「アノニマス」による攻撃

• アノニマスはボットを使ってカスタマを標的にアノニマスはボットを使ってカスタマを標的に

• トラフィック攻撃によりレガシーなシステムは崩壊

• ソリューション: BIG-IPの実装

BIG-IPにより攻撃を防御:• 接続管理を改善• LTM : ネットワークレベルのDDoSを軽減

ASM アプリケ ションレベルのDDoSを• ASM : アプリケーションレベルのDDoSを軽減

• iRules : 迅速かつ拡張性のある対策を実現

11

最新のWebアプリケ ションのセキュリティ確保は困難最新のWebアプリケーションのセキュリティ確保は困難

• AJAXアプリケーションやJSONペイロードを利用用

• JSONペイロードを解析してセキュリティを確保できない

• HTTPアプリケーションと同様の攻撃がある

ブ• ポリシー違反によるブロックページがレンダリングできない

Example: www.stockfacts.com

12

JSONペイロードのセキュリティを簡単に確保JSONペイロ ドのセキュリティを簡単に確保BIG-IP Application Security Manager

• JSONに関する脅威からの保護の保護

• AJAXにあわせたブロックメッセージを表示ブロックメッセージを表示

• ユーザは解決用サポートIDを管理者に通知可能管理者に通知可能

Display a Blocking Message in AJAX Widget

Example: www.stockfacts.com

13

分散して展開されたWebアプリケーションのセキュリティ分散して展開されたWebアプリケ ションのセキュリティ

• 分散して展開されたWebアプリケーションのセキュリティを確保できないプ ト ド プ 仮想化環境 に適し 仮想 プ が• プライベートクラウドアプリ(仮想化環境)に適したWAFの仮想アプライアンスがない

• 本サービス環境の複製が複雑でコストが極めて高い

データセンター

14

F5によるWeb 2 0アプリケーションへの革新的な防御F5によるWeb 2.0アプリケ ションへの革新的な防御

• すべてのアプリケーションのセキュリティを確保• デバイス間でポリシーを自動的に同期• プライベートクラウドにBIG-IP ASM VEをすばやく展開

データセンター

15

脆弱性からの保護

カスタマーのWebサイト

脆弱性からの保護高度な統合: BIG-IP ASMとWhiteHat Sentinel

WhiteHat Sentinel

• 脆弱性を検出• BIG-IP ASM上でワンクリックするだけ

適のパッチ適用

• 脆弱性のチェック、検出および解決完全なW bサイト保護

BIG-IP Application Security Manager

• 完全なWebサイト保護

BIG IP Application Security Manager

• 検証、調査、解決および再テストを1つのUIで実行• ポリシーを自動または手動で作成• 検出および修正は数分で完了

16

BIG IP ASMおよびソフトウェア開発のライフサイクル

• ポリシー調整

BIG-IP ASMおよびソフトウェア開発のライフサイクル

ポリシ 調整• 侵入テスト• パフォーマンステスト

• WAF「オフロード」機能:• Cookies • 総当り攻撃• DDOS• DDOS• Webスクレイピング• SSL 、キャッシング、圧縮

• 最終ポリシー調整• 侵入テスト

• 脆弱性調査をソフトウェア開発サイクルに組み込む• ビジネスロジックを使用して既知の脆弱性に対応• ビジネスロジックを使用して既知の脆弱性に対応• 価値を生み出す作業へリソースを投入

17

Ｆ５は最も包括的なアプリケーション・セキュリティＦ５は最も包括的なアプリケ ション・セキュリティ

機能 F5 Barracuda Breach Citrix Imperva

シグニチャベ ス セキュリティ シグニチャベース・セキュリティ

仮想化およびマルチテナンシー X X X X

新規シグニチャのステージングエリア X X X X

AJAX/JSON保護およびブロックページ X X X X

事前に構成されたポリシー X X

ネットワークDDoS攻撃保護（LTM） X X X

脆弱性スキャナとの統合（1UIによる管理） X X X (1)

1ユニットのデータセンター・セキュリティ X X X X

ネットワークおよびアプリケーション・セキュリティ分析 X X X

Webスクレイピング攻撃防御 X (2) X X

プログラム制御（iRules、iControl、iApps ） X X X X

帯域幅制限 X X 帯域幅制限 X X

地理位置情報レポーティング X X X (4)

レイヤー7 DoS攻撃防御 X X (5) X

CSRFチェックボックス攻撃防御 X (3) (6)

アクセスコントロールおよびセキュリティ X X (7)

18

重要なアプリケーションへの包括的防御重要なアプリケ ションへの包括的防御BIG-IP Application Security Manager v11

新 プ最新のWeb 2.0 アプリケーションのセキュリティ- AJAXウィジェット、およびJSONペイロードのサポート

物理環境、仮想化環境に対応する新しいプラットフォーム

- プライベートクラウド（仮想化環境） : BIG-IP ASM VE

- リソース分割: BIG-IP ASMのvCMPサポート

- BIG-IP 11000 サポート = 高スループット

G サポ ト 低 スト- BIG-IP 1600 サポート = 低コスト

管理およびレポーティングの拡張管理およびレポ ティングの拡張

- ソフトウェア開発サイクル、およびWhiteHatとの連携による脆弱性の評価および防御

- デバイス間でのポリシーの自動同期

- iAppによる統合セキュリティ・サービスを迅速かつミスなく設定

19

統合型アクセスコントロールを実現する

高度でダイナミックなサ ビス高度でダイナミックなサービス

20

問題: 誰が？何を？どこで？

• どのデバイスがアクセスを要求しているか？

• 誰がアクセスしているか？

• どのアプリケーションがアクセスされていたか？されていたか？

• どこから、ユーザはアクセスしたか？

21

コンテキスト = アクセスコントロールコンテキスト = アクセスコントロ ルBIG-IP Access Policy Manager v11

• すべてのアクセスを統合

• シングルサインオンコンテキストに基づいて

アクセスを管理• 強力でカスタム可能レポーティング機能を搭載

アクセスを管理

• アクセスやアプリケーションの利用状況の分析の利用状況の分析

22

一つの統合されたアクセスソリューションつの統合されたアクセスソリュ ションBIG-IP APM v11

Webアクセス管理• HTTPアプリケーションを

リモートアクセス• SSL VPN

ユースケース全てのアクセス

• HTTPアプリケ ションをプロキシ

– カスタム– サードパーティ

• SSL VPN– ネットワークアクセス– ポータルアクセス– アプリケーション・トンネル

BIG IP A P li MBIG-IP Access Policy Manager

アプリケーション・アクセス・コントロールアプリケ ション・アクセス・コントロ ル• HTTP以外のアプリケーションをプロキシ

– Citrix ICA– ActiveSync– ActiveSync– Outlook Anywhere

23

インターネットへ公開するアプリケーション

ユーザ データセンター

ディレクトリ

24

エンタ プライズとサ ビスプロバイダITエンタープライズとサービスプロバイダIT

企業ネ トワ クユ ザ

プ イ ト パブリ ク

企業ネットワークユーザ

プライベート パブリック

クラウドデータセンター

データセンター・アプリケーション

アプリ 1 アプリ nディレクトリ

25

BIG-IP Access Policy ManagerBIG IP Access Policy Managerローカル、リモートおよびグローバルアクセスに対応する柔軟なパッケージングが可能

リ トオ ス

• LTM + APM

リモートオフィス

LTM + APM• ADCアクセス・コントロール

Edge GatewayEdge

Gateway

• Edge Gateway• APM + WOM + WA

データセンター

アプリ 1

アプリ 2

アプリ n

Edge Gatewayまたは

LTM+APM

26

F5は、アクセスとコントロールを統合柔軟かつダイナミックなADCサービス – BIG-IP v11

データセンターBIG-IP Edge Clientアプリケーションの最適化

本社およびリモートオフィス

27

様々な認証をサポートし高速なSSOを実現様々な認証をサポートし高速なSSOを実現F5 BIG-IP APM

•インフラストラクチャコストを大幅に削減し生産性を向上

= BIG-IP v11で新たにサポート

28

新しい詳細レポーティング新しい詳細レポ ティングBIG-IP APM

例: いつ誰が、アプリケーションやネットワークにアクセスしたか？

例: ネットワーク上にXPユーザが何人いるか？

例: ユーザはどこからアクセスしているか（地理情報）？

カスタム、組み込みおよび保存されているレポート

他のデバイスでのエクスポートおよび使用

29

アクセスおよびアプリケーションの分析アクセスおよびアプリケーションの分析

• アプリケーションやユーザ単位でグループ化し統計データを表示

• 統計情報- ビジネス・インテリジェンス

ポ グ

統計デ タ ビ

- ROIレポーティング- キャパシティプランニング- トラブルシューティング

統計データ• クライアントIP• クライアントの地理情報• ユーザエージェントユ ザセッシ ン

ビュー• バーチャルサーバ• プールメンバ• 応答コード

URL

- パフォーマンス監視

• ユーザセッション• クライアント側レイテンシー• サーバ側レイテンシー• スループットレスポンスコ ド

• URL• HTTPメソッド

• レスポンスコード• メソッド• URL

30

Ｆ５は最も拡張性に優れたアクセス・ソリューション数

デバイス数

必要なデ

サポートされる同時ユーザ数

31

最も包括的なアクセスサービス最も包括的なアクセスサービス

機能Juniper

SACisco ASA

Citrix AGEE FirePass

BIG-IP APM

ネットワークアクセス

アプリケーション・アクセス

リモートデスクトップ リモートデスクトップ

アプリケーション・トンネル

アプリケーション・ポータル・モード X X

自動でのクライアントアクセスおよび高速化

X X X

WAN最適化 X X 基本 X *

Webアプリケーション高速化 非常に限定的 非常に限定的 基本 一部 *

トラフィック管理 X X X

パフォーマンス/拡張性 一部 一部 一部 一部 フォ マンス/拡張性 部 部 部

地理位置情報 X X X X

プログラム制御（iRules、iControl、iApps）

X X X X

アクセスおよびアプリケーション分析 X X X

*BIG-IP Edge Gateway

32

統合型アクセスコントロールを実現する統合型アクセスコントロ ルを実現する高度でダイナミックなサービス

BIG-IP APM v11フィーチャーハイライト

• IPsecによる拠点間VPNトンネルの最適化 • エンドポイントチェック:• IPsecによる拠点間VPNトンネルの最適化

• ダイナミックウェブトップ: アプリケーション・トンネル

エンドポイントチェック:プロテクテッドワークスペース、マシン情報インスペクタ

• アクセス: 外部ダイナミックACL、フラッシュパッチング、Oracle Access Manager 11g

• 強力なレポーティング/分析:カスタムおよび組込みレポートリモート・アクセス・ソリューションのアクセスおよびアプリケ ション分析

• ホストVDI: Microsoftリモートデスクトップ、拡張Citrix VDIサポート(プロキシ、およびポータルモード）

およびアプリケーション分析

• グローバルエンタープライズ向けスケール: BIG IP 11000シリーズ: 60 000ユーザ( 、 ）

• SSOの拡張: 複数ドメインでのSSOKerberos認証（CACカードなど）

BIG-IP 11000シリーズ: 60,000ユーザや1.2TBのストレージ

33

BIG-IP Advanced Acceleration Overview

拡張性に優れ、適応力が高く、安全な

DNSインフラストラクチャの実現

34

888888 Nr 000000

World NewsDNSインフラへのDoS攻撃により、ビジネスは毎年数億円単位の負担Network Solutions、

xxxxxx 888888 Nr.000000

ビジネスは毎年数億円単位の負担、2011年6月に攻撃を受ける

ド メ イ ン レ ジ ス ト ラ のN t k S l t iN e t w o r k S o l u t i o n s 、DNSサーバをターゲットにした大規模な D o S 攻撃を受ける

大規模なDNS DoS攻撃

GoGrid、ThePlanet、Register com UltraDNSRegister.com、UltraDNS、Network Solutionsはすべて、2009年3月～4月に攻撃を受け、Webサイトがオフラインになり、顧客に損害を与えた

Amazon、DoS攻撃を受ける

35

DNSインフラへの攻撃は 般的DNSインフラへの攻撃は一般的

36

DNS攻撃への対策をしていない場合のコストDNS攻撃への対策をしていない場合のコスト

37

問題: DNSインフラは攻撃に対して脆弱である問題: DNSインフラは攻撃に対して脆弱である

XX

XX

XXXXX

XDNSサーバwww.company.com

38

ＤＮＳインフラの拡張/統合拡張 統合F5ソリューションによる早期でのROI実現

10倍倍DNS Express

BIG-IP GTM

70%70%

39

BIG IP GTM 脅威のパフォーマンス！

は から 処理 を利用

BIG-IP GTM 脅威のパフォーマンス！

GTMは v11から、TMM処理、CMPを利用• クエリ/秒を1コアあたり、13万以上に拡張

• BIG IP 1600: ~ 300 000 qps• BIG-IP 1600: ~ 300,000 qps• BIG-IP 3900: ~ 600,000 qps• BIG-IP 8900: ~ 1,500,000 qps, , qp

• VIPRIONをサポート(v11～)最大 万• 最大600万qps!

40

F5 : 全てのDNSリクエストに余裕を持って対応F5 : 全てのDNSリクエストに余裕を持って対応 BIG-IP GTM 拡張性 CMP対応、130K qps/コア（VIPRIONでは 最大600万）

DNS Express メモリ内にAuthoritative DNS 数千万のレコード メモリ内にAuthoritative DNS、数千万のレコード

IP Anycast 統合 DNSサーバを分散し負荷を軽減

41

DDoS攻撃を軽減するDNSインフラストラクチャDDoS攻撃を軽減するDNSインフラストラクチャBIG-IP GTM v11

• 高速なDNSインフラを提供: 「DNSオフロード」• DNS Express

• DNSのリソースを最大に• GTMを地理的に分散し最も近いGTMでDNS処理（IP Anycast統合）y

• IPv6とIPv4両方のハイブリッド環境をサポートDNS 6から 4への変換 およびゲ トウ イ• DNS v6からv4への変換、およびゲートウェイ

• 業界最高の拡張性と信頼性を誇るパフォーマンスを提供• BIG-IP 11050およびVIPRION（CMP、vCMP）

コスト効率良く 仮想化されたGTM• コスト効率良く、仮想化されたGTM• BIG-IP GTM Virtual Edition

42

F5統合型セキュリティ統合型セキ リティこれら全てを提供するベンダーはＦ５だけです！

アプリXSS、SQLインジェクション、スパム、ペイロードデータ

アプリケーション

プレゼンテーション

SSL暗複合化、SSLハンドリング、XML暗号化テ ション

セッションソケット、RPC

トランスポートSYN/ACK攻撃、ポートスキャン、 マイ・インザ・ミドル

ポートフィルタ、IPフラグメンテーション、スプ フィング スマ フネットワーク スプーフィング、スマーフ

43

BIG-IP v11 セキュリティBIG IP v11 セキュリティダイナミックな攻撃防御とアクセスコントロール

• Web 2.0 アプリケーションへ適応した防御

• 高度な統合型アクセスコントロールを実現

• DDoS攻撃を軽減し、拡張性に優れたDNSインフラストラクチャを実現

44