OpenStackに注目! LBaaSとしてF5 BIG-IPをプロビジョニングする方法 F5ネットワークスジャパン合同会社 シニアソリューションマーケティングマネージャ 帆士 敏博 Agenda ・F5ネットワークスのOpenStackへの取り組み ・OpenStack LBaaSの考察と事例 ・L4-7テクノロジーの基本と利用価値 ・最新のL4-7技術の事例 1.パスワードリスト対策 2.モバイルアクセス管理 3.クラウドアプリのフェデレーション 4.ハイブリッドクラウド DDoS対策 © F5 Networks, Inc 2 会社概要 売上の推移 525 450 425 400 375 350 325 300 275 250 225 200 175 150 FY2015第3四半期売上高: 4億8千百万ドル (対前年同期比10%up、対前期比2%up) 125 100 75 50 25 3Q15 2Q15 1Q15 4Q14 3Q14 2Q14 1Q14 4Q13 3Q13 2Q13 1Q13 4Q12 3Q12 2Q12 1Q12 4Q11 3Q11 0 2Q11 日本法人 社名:F5ネットワークスジャパン合同会社 設立:2000年 代表取締役社長: 古館 正清 所在地:港区赤坂4-15-1 赤坂ガーデンシティ19階 従業員数: 125名 (2015年3月31日現在) 475 1Q11 本社 社名:F5 Networks, Inc. 設立:1996年 (上場1999年/FFIV) プレジデント兼CEO: Manuel Rivelo 所在地:米国ワシントン州シアトル 従業員数: 4,035名 (2015年3月31日現在) 業績 FY11 売上高: $1.15B FY12 売上高: $1.38B FY13 売上高: $1.48B 17% up FY14 売上高: $1.73B $ Millions 500 国内市場、グローバル市場においてADCのリーダー 2014年日本国内市場概要 D社 5.9% E社 0.6% 2014年ワールドワイド市場概要 Others 8.3% F社 2.1% A社 7.5% F5 34.4% C社 9.9% Others 8.5% D社 9.1% B社 16.7% F5 52.6% C社 20.2% A社 24.1% 出典:IDC, Worldwide Quarterly Ethernet Switch Tracker 2014Q4 Gartner, Inc. Market Share: Enterprise Network Equipment by Market Segment, Worldwide, 4Q14 and 2014, By Christian Canales, Petr Gorodetskiy, Naresh Singh and Joe Skorupa F5は11年連続、国内年間シェアNo.1 © F5 Networks, Inc 4 F5 BIG-IPとは? : ロードバランサ/ADC 1.可用性の確保 2.パフォーマンス OpenStack と F5ネットワークス Webインターフェイス(Horizon) 認証セキュリティ(Keystone) コンピュート (Nova) ハイパー バイザー イメージ (Glance) ネットワーキング (Neutron) ストレージ オブジェク ト (Swift) ブロック (Cinder) ファイル L 2 3 F w a a S L B a a S D H C P V P N a a S D N S サードバーティプラグインを開発 © F5 Networks, Inc 6 OpenStackとF5 BIG-IQ/BIG-IPの連携概要 OpenStack GUIより、ロードバランサー(BIG-IP)のプロビジョニングが可能に プラグイン FOR BIG-IQ REST API BIG-IQ REST API OpenStack用サービス HTTPサービスA HTTPサービスB HTTPSサービスC BIG-IP © F5 Networks, Inc 7 F5 BIG-IQ :F5 ADCのマネジメント製品 BIG-IQ Cloud BIG-IQ Security Additional Modules BIG-IQ Platform BIG-IP Devices F5テクノロジの集中管理を目的とした新しいマネジメント製品 多様なテクノロジを管理する事を目的 更に、F5製品と様々なネットワーク管理製品、クラウドオーケストレーションツールと のインターフェースとなる位置づけ © F5 Networks, Inc 8 BIG-IQ上に、アプリケーションカタログが自動作成される プールが作成された時点で、 F5管理ソフトであるBIG-IQに対して、 ・テナント、カタログ作成 ・Applicationsへの登録 ・OpenStack内で稼働中のインスタンス ・OpenStack用Connectors ・OpenStack用のRoles ・BIG-IQが制御するBIG-IPが自動作成される OpenStackとの連携 - シンプルロードバランシングの設定のみ BIG-IQを直接オペレーション 固有のアプリケーションに合わせた連携 ※L4-7の設定自動化 - セッション管理 - ヘルスモニタリング - HTTP管理 © F5 Networks, Inc 9 F5 OpenStack関連のリソース • 2種類のLBaaS プラグイン 1. Official版 - BIG-IQ 4.4,4.5からダウンロード可能 - /cloud-plugins/openstack/lbaas 2. Community版 - DevCentralからダウンロード(Icehouse, Juno, Kilo) https://devcentral.f5.com/d/openstack-neutron-lbaas-driver-and-agent ※Liberty : TBD Mitaka:Official版リリース予定 • テクニカルリソース エンジニアブログ http://ja.community.dell.com/techcenter/b/weblog/archive/2015/03/16/openstack-lbaas-f5-big-ip F5/OpenStack ADC Integrationguide © F5 Networks, Inc 10 Agenda ・F5ネットワークスのOpenStackへの取り組み ・OpenStack LBaaSの考察と事例 ・L4-7テクノロジーの基本と利用価値 ・最新のL4-7技術の事例 1.パスワードリスト対策 2.モバイルアクセス管理 3.クラウドアプリのフェデレーション 4.ハイブリッドクラウド DDoS対策 © F5 Networks, Inc 11 Neutron LBaaSの考察(2015年11月時点) マネジメント/プロビジョニング Liberty で安定版となった LBaaS v2 API 新たにサポートになったAPI - 同一IPでの複数サービス プールの共有 SSL/TLSターミネーション(TLS SNI) L7コンテンツスイッチング UDPサポート HAなど、基本的な機能が不足しているので、現実 的に利用は難しい。今後のリッチな機能のための Astara(レイヤー3以上を対象としたネットワークオー ケストレーションのプロジェクト)に期待 © F5 Networks, Inc データプレーン(L4-7)トラフィック管理 HA Proxy - L4 コネクションミラー無し SSL : ソフト処理なので、パフォーマンスが不足 SSL : セッションミラー無し セキュリティ機能の不足(レイヤーの高い攻撃、DDoS) 要件の高いサービスには、ADC専業ベンダーの 製品を使う方がリーズナブル。 L4-7のテクノロジーの価値を生かし切れていない。 12 事例:米国 大手通信事業者 コスト削減とインフラ構築のスピードアップ。申請からのリードタイム1Week →6時間へ短縮を目指す すぐにサービス 開始できる♪ インフラが遅い! インフラの申請 NW担当者との 調整が負荷 インフラ の申請 事業部 A コンパネから サーバーとネットワー クを簡単構築 インフラ 担当者 VM起動 サーバ 担当者 ネットワーク の申請 作業が追い 付かない LB設定 LBaaS 設定 作業負荷の軽減。運用 監視に注力できる ネットワーク担当者 ネットワークの 運用監視 L2-3設定 背景/課題 ・サービスのリリースが多いが、インフラの構築に一週間以上かかるので ビジネスの妨げとなっている ・サーバ担当者とネットワーク担当者の調整作業が負荷 ・「俊敏」かつ「柔軟」なインフラの実現、および「コスト削減」を目指すため オープンソース製品をベースとしたアーキテクチャを採用。 ・ソフトウェアの柔軟性、ハードウェアのパフォーマンス、両方のメリット をうまく組み合わせて実現したい © F5 Networks, Inc サーバー 作成 OpenStackで 構築 FW設定 ネットワーク 担当者 事業部 A FW / LBポリシー L2 – 3 ポリシー ソリューション ・Openstackを使って、サーバーとネットワークの両方をプロビジョニング ・LBaaSはF5のコミュニティ版プラグイン(正式サポート無し)を採用。十分なテストを実施。 将来的にはBIG-IQ版プラグイン(正式サポート有り)に以降予定 ・ネットワーク担当者の作業負荷の軽減。運用監視に注力できるようになる。 ・ 現状のLBaaSでは設定項目が限定的ではあるが、F5デバイスを利用するこ とにより、H/Wによる高パフォーマンスおよびクラスタリング機能による ステートフル・フェイルオーバーを実現 ・BIG-IQとの連携により、よりリッチなBIG-IPの機能(WAF等)も利用出来るようになること を期待している。 13 Agenda ・F5ネットワークスのOpenStackへの取り組み ・OpenStack LBaaSの考察と事例 ・L4-7テクノロジーの基本と利用価値 ・最新のL4-7技術の事例 1.パスワードリスト対策 2.モバイルアクセス管理 3.クラウドアプリのフェデレーション 4.ハイブリッドクラウド DDoS対策 © F5 Networks, Inc 14 限定的なコントロール ゴールは、アプリを使ってビジネスに貢献する事 アプリケーション環境はハイブリッドへ SaaS apps フルコントロール Packaged apps LOB (HR, Acct.) Dev External & test websites Mobile apps インフラへの要件としては、どのク ラウドへアプリをディプロイしても、 可用性/セキュリティ/パフォーマン スは必須 Custom apps ERP, CRM オンプレミス © F5 Networks, Inc ビジネス要件に応じて アプリケーションの開発手法や インフラを選定 パブリッククラウド 15 アプリケーションの分散化より非機能要件の管理が破綻 ホステッドプライベートクラウド プライベートクラウド パブリッククライド アプリケーション B アプリケーション A SaaS 2 - n SaaS 1 アプリケーション C 認証DB 認証DB 非機能要件 A 認証DB 非機能要件 B 認証DB アプリケーション E アプリケーション D 認証DB 非機能要件 C 非機能要件 D 自社以外の クラウドの管理 非機能要件 E インターネット経由で 直接アクセスする通信 の増加 インターネット ユーザ/デバイス/ ロケーションの多様化 Windows@オフィス © F5 Networks, Inc MacOS@自宅 タブレット@モバイル スマートフォン@モバイル IoTデバイス 16 F5 Mission Statement Deliver the most secure, fast, and reliable applications to anyone anywhere at any time. Application Security Manager (ASM) Advanced Firewall Manager (AFM) Access Policy Manager (APM) Mobile App Manager (MAM) Secure Web Gateway (SWG) Anti-fraud (VerSafe) Carrier Grade NAT (CGNAT) Policy Enf. Manager (PEM) TMOS Local Traffic Manager (LTM) Acceleration Manager (AM) Global Traffic Manager (GTM) Cloud Connector (CC) SDN Gateway (SDNG) おさらい : そもそもL2-3 と L4-7の違いって… アプリケーションに対して L4-7 アプリケーション の可用性を提供 アプリケーション の高速化を提供 アプリケーションへの セキュリティを提供 ステートフル アプリケーションの セッションや可用性 /パフォーマンスを 管理 ロードバランサ/SSL ファイア ウォール ADC L2-3 © F5 Networks, Inc スイッチ コンテキスト 有り アプリケーションレイ ヤーのヘッダやペイ ロードベースを双方向 で処理 いつ、誰が、どのデバ イスで、何処からアプ リケーションを利用して いるかを理解 パケット ベース処理 コンテキスト 無し WAF ステートレス ルータ メッセージ ベース処理 18 おさらい : L2-L3パケット処理 と L4-7 HTTP処理の違い HTTP ヘッダはパケットにまたがって存在 TCP/IPパケット L2-3 一つのパケットに 複数メッセージが含まる パケットヘッダ MAC/IP L4-7 HTTP メッセージヘッダ GET / HTTP/1.1¥r¥n Host: www.myhost.com¥r¥n Transfer-Encoding: chunked¥r¥n Cookie: userId=“username”, userData=abdefa1839290…¥r¥n User-Agent: Mozilla…¥r¥n ¥r¥n 19 HTTP メッセージボディ <body data> "0¥r¥n¥r¥n" メッセージボディ終了 チャンク転送時 © 2013 F5 Networks, Inc. L4-7 HTTPメッセージをハンドリングするためのプロキシとは? BIG-IPがTCPハンドシェイクを代行し終端 (SSLの場合は、SSLを終端)し、クライア ントからのHTTPメッセージを抽出し、コン トロール クライアント アプリケーション • TCPコネクションをアプリケーションサーバ の代行として終端 • SSLネゴシエーションをアプリケーションサー バの代行として終端 SYN SYN+ACK ACK HTTPリクエスト SYN ロードバランス先の決定、HTTPメッセージベース処理(URIス イッチ、Cookieパーシステンスなど)のコントロールを実施 SYN+ACK ACK HTTP要求 HTTP応答 HTTP応答 • クライアントからのHTTPメッセージを 自在にコントロール (URIスイッチ、パーシステンス、 メッセージ変換など) アプリケーションの非機能要件を統合管理するプラットフォームが必要 ホステッドプライベートクラウド プライベートクラウド アプリケーション B アプリケーション A 認証DB パブリッククライド アプリケーション C 非機能要件 B 非機能要件 A SaaS 2 - n SaaS 1 アプリケーション E アプリケーション D 非機能要件 C シングルポイントコントロール IT管理者 非機能要件 A 非機能要件 B 非機能要件 C 非機能要件 D 非機能要件 E プラットフォーム インターネット Windows@オフィス © F5 Networks, Inc MacOS@自宅 タブレット@モバイル スマートフォン@モバイル IoTデバイス 21 Agenda ・F5ネットワークスのOpenStackへの取り組み ・OpenStack LBaaSの考察と事例 ・L4-7テクノロジーの基本と利用価値 ・最新のL4-7技術の事例 1.パスワードリスト対策 2.モバイルアクセス管理 3.クラウドアプリのフェデレーション 4.ハイブリッドクラウド DDoS対策 © F5 Networks, Inc 22 事例1 : IPA調査によるパスワードリスト攻撃成功件数 成功率が1%であったと しても影響を受けるユー ザ数は多い 成功実績により、精度の高い パスワードリストが出回る 被害の拡大につながる 出典:IPA https://www.ipa.go.jp/security/txt/2013/08outline.html 事例1:リスト型アカウントハッキング対策 BIG-IP : Cookieによるセッション管理対策で精度が高い クライアント ブラウザ Web アプリケーション BIG-IP ASM 認証ページ URIにリクエスト BIG-IPはCookieを付与(セッション管理) BIG-IP ASMは、クラ イアントとBIG-IPで認 証失敗回数をカウン トアップ レスポンス ・IPアドレスベースのフィルタリングの課題 - 複数のクライアントがNAT環境にいた場合、 正規のユーザをブロックしてしまうリスクがある - 攻撃者がIPアドレスを変更しながら、攻撃した場合 無効 認証リクエスト1回目(URIへID/PasswordをPOST with Cookie) Cookie:認証失敗回数 1 認証失敗 認証リクエスト2回目(URIへID/PasswordをPOST with Cookie) Cookie: 認証失敗回数 2 認証リクエストN回目 (URIへID/PasswordをPOST with Cookie) リクエストをブロック 認証失敗 BIG-IP ASMは、規定時間内で規定 認証失敗回数を超えたリクエストを ブロック ・BIG-IP Cookieベースのブロックの良さ - ユーザを適切に識別して、ブロック可能 - NAT、IPアドレスを変えてくる攻撃にも有効 - 攻撃を検知した後の対策が柔軟 URLリダイレクト、ブロック、ダミーサイトへ誘導 総務省 : 「リスト型アカウントハッキングによる不正ログインへの対応方 策について(サイト管理者などインターネットサービス提供事業者向け対 策集)」の公表 http://www.soumu.go.jp/menu_news/snews/01ryutsu03_0200006 3.html 事例2 : 自動車製造業 – マルチデバイス導入の運用負荷軽減 スマートデバイス数万台の活用 iRulesを利用して、ActiveSyncプロトコルを制御 ・ 一度、認証に失敗したら10分以上認証しない ・ ID,パスワード、タイムスタンプなどをログ出力 インターネット(3G/Wifi) iPhoneから アクセスし、 認証に失敗してロッ ク DMZ 内部サーバセグメント ActiveSync BIG-IP 6900 LTM+APM SSL VPN 業務アプリ Exchange サーバ コーポレートLAN MAPI パスワード管理 ポリシー iPhone ID/Passを事前設定 パスワード変更 PC 背景/課題 ・iPhoneを従業員数万名に配布し、業務効率化 ・ActiveSyncとSSL VPNと使ってリモートアクセス ・パスワードを変更するとアカウントロック、管理者に ロック解除の依頼が多発、原因はiPhoneからの ActiveSyncプロトコルの認証失敗 ・対応製品を探したが存在しない。 © F5 Networks, Inc - 6ヶ月毎にパスワード変更 - 10分間に3度認証失敗→ロック ソリューション ・BIG-IP APMのSSL VPN機能を使って アプリケーションに依存なくリモートアクセス ・ ActiveSyncプロトコルは、認証が失敗した場合、一定時間 Exchangeサー バに認証しないように iRules を使ってアカウントロックの問題を解決 25 事例3: 大手建設業 – 課題 SaaSアクセスのセキュリティチェックが不十分 セキュリティポリシーチェック ユーザとiPad端末の双方を同時に特定 オンプレ ポリシー 設計/工程 管理アプリ 会社支給 現場作業員 営業担当 12,000名 個人所有 は禁止 AD 個人所有 ネットワークの 境界線を超え ている セキュリティ ポリシーが 適用不可 Office365へのアク セスにセキュリティ が掛けられな い。。。 ITインフラ担当者 © F5 Networks, Inc SalesForce 何回も認証 利便性の低下 パスワード を置きたくない Office 365 背景/課題 ・Salesfoce / Office365などクラウドサービスへの積極的な移行が将来に渡り続く ・オンプレのアプリには、個人と端末を識別するセキュリティポリシーを適用しているが、 SaaSへ直接アクセスされるとセキュリティポリシーがかけられない ・クラウドにはパスワードを置きたくない。 ・ユーザがID/パスワードを何回も入れる必要がある。 ・アカントライフサイクル(追加、削除、変更)を考えると、社内のADにアカウント管理 を一元化したい 26 事例3: 大手建設業 クラウドフェデレーションによりセキュリティチェックをSaaSにも適用 セキュリティポリシーチェック ユーザとiPad端末の双方を同時に特定 オンプレ ポリシー 設計/工程 管理アプリ 会社支給 現場作業員 営業担当 12,000名 AD ID/Pass 一元管理 個人所有 直接、SaaSに アクセスできない シングル サインオン セキュリティ ポリシーが 適用不可 フェデレーション(SAML) SalesForce パスワード は置かない Office 365 オンプレとSaaSでも、おなじ セキュリティポリシーを適用! ITインフラ担当者 © F5 Networks, Inc 解決 ・F5 BIG-IP とSaaSをSAML 2.0を使って信頼関係を構築(フェデレーション) BIG-IP (Idp)、SaaS(SP)、ネットワークの境界線を越えたアプリケーションレイヤーで 安全性を担保 ・SaaSには、オンプレのポリシーチェックをパスしないとアクセスできないので セキュリティ強化 ・ID/パスワードは、ADを一元管理で、SaaSにはパスワードを置かないので安全 ・シングルサインオン(オンプレ、Salesfoce,Office 365・・・)による利便性向上 27 事例4:米国大手コーヒーチェーン:アカマイからF5 Silverlineへ 何をどうブロックしているの か詳細がわからない ? 約20%のコストダウン ! 高コスト Silveline DDoS Protection アカマイ Kona DDoS Defender 自社開発のトラフィックアナライザーと リッチなユーザポータルGUI どんな攻撃をどうブロックしているか。 現在はこうなっている。 アカマイ ベンダー間の調整が大変 解析しづらい、時間がかかる F5 IT担当者 プライベートDC プライベートDC ロードバランシング WAF ロードバランシング WAF F5 IT担当者 窓口一本化による調整負荷 の軽減。パブリックとクラウド の解析を同時にできるので解析 がスムーズ オンプレの情報をベースに Silverlineの設定を実施すること ブランドサイト © F5 Networks, Inc Eコマース ブランドサイト Eコマース がスムーズなので、攻撃を 適切にブロックできる。 28 まとめ ・F5 : OpenStackプロジェクトへ継続的なコミット ・クラウド → アプリケーション分散化 → L4-7テクノロジーの利用価値広がり ・セキュリティ対策に効果あり © F5 Networks, Inc 29 Thank you
© Copyright 2024 ExpyDoc
