オンプレ担当者も納得! Azureセキュリティレベルの保ち方 〜ハイブリッドクラウドとF5 BIG-IP for Azure〜 F5 ネットワークスジャパン パートナー営業本部 ビジネスディベロップメントマネージャ 兼松 大地 BIG-IP in Azureを活用した セキュアなハイブリッドクラウド オンプレ担当が Azureファーストでも安心できるハイブリッドクラウドに向けて 適材適所で安心、納得、連携 © F5 Networks, Inc 3 セキュアなハイブリッドクラウドへのステップ ステップ II ステップ III Azureファーストではじめる 一歩進んだハイブリッドクラウドへのステップ ネットワーク仮想化 プライベートクラウド クラウド接続 ユーザ/端末検疫 VDI認証ゲートウェイ クラウド認証連携 F5ソリューション F5をオンプレミスDCに配置 ステップ I © F5 Networks, Inc 多要素認証、エンドポイントチェック(APM) マルチVDIゲートウェイ(APM) SAML IdP, SaaS認証連携(APM) F5をAzureやIaaSに配置 サイバー攻撃対策 SSLセキュリテイ強化 アプリケーションパフォーマンス SCVMM連携、NVGREゲートウェイ(LTM+SDN, BIG-IQ) AzureとのIPSec VPN接続(LTM) F5をオンプレミスDCに配置 これから ご紹介します SAML SP(APM) F5をAzureに配置 ウェブアプリケーションファイアウォール(ASM) SSL強化(LTM) HTTP/2、WebSocket対応(LTM) 4 ステップ I サイバー攻撃対策 SSLセキュリテイ強化 アプリケーションパフォーマンス ステップ I Azure利用検討のポイント① 〜サイバー攻撃対策 よくある議論のポイント ・クラウドだと、ネットワークセキュリティ(ACL)とDoS対策程度 ・個別アプリのセキュリティチューニングに限界がある ・オープンソースだと、いざという時に対応が不安 ・オンプレと同等のセキュリティポリシーで運用できない 忘れがちな検討のポイント ✔ アプリケーションの脆弱性チェックちゃんと出来てますか? ✔ 安全なSSLサイトで運用できているといえますか? © F5 Networks, Inc 6 ステップ I Azure利用検討のポイント② 〜アプリのパフォーマンス よくある議論のポイント ・クラウドだと、遅延が気になる ・オンプレに比べネットワークの状況が見えづらい ・ネットワーキングが独自実装なので、チューニングポイントが少ない 忘れがちな検討のポイント ✔ HTTP/2への対応出来てますか? ✔ WebSocket対応したいサービス諦めてませんか? © F5 Networks, Inc 7 ステップ I F5のソリューション for Azure • BIG-IP in Azure • すべてのBIG-IPモジュールが利用可能 • Azure Marketplaceからプロビジョニング • BYOL(初期リリース) ②アプリケーションアクセス ①プロビジョニング © F5 Networks, Inc 8 ステップ I おさらい Azureで提供されるトラフィック管理コンポーネント Azure Traffic Manager Azure Load Balancer スケール ・リダイレクト型 ・DNSを利用 ・サイト間スケールアウト用 ・アプリへのセキュリティ対策ができない © F5 Networks, Inc Azure Application Gateway 柔軟性 ・インライン型 ・TCP/UDPポート転送 ・サイト内スケールアウト用 ・アプリへのセキュリティ対策ができない ・インライン型 F5が解決! ・HTTP(S)プロキシ ・アプリケーションGW用 ・セキュリティ対策はSSL終端のみ 9 ステップ I F5のソリューション for Azure サイバー攻撃対策につい て具体的に ・アプリの脆弱性対応 ・SSLの対応 ②アプリケーションアクセス ①プロビジョニング © F5 Networks, Inc 10 クラウドアプリのSDLC※にWeb脆弱性対応も適用 ステップ I 「すばやく」「安全」にバーチャルパッチをクラウドにも Azure上のウェブサイト 脆弱性診断ツール(DAST) • 脆弱性の検知 • 診断結果のエクスポート サイト構成変更時や 定期的に • 安全なウェブサイト運用 F5 ウェブアプリケーションファイアウォール 連携対応製品: ウェブサイト毎に個 別のポリシー運用も 可能 © F5 Networks, Inc • 診断結果のインポート • ポリシーの自動生成 • 対応が必要な箇所の確認、ポリシー調整と適用 ※SDLC:ソフトウェア開発ライフサイクル 11 クラウドだからこそ、より安全なSSLの利用を ステップ I 「安全」に使えるSSLをクラウドに適用 • SSLv3 [B] & RC4 の無効化 [B/C] • SHA1 Certs [A] と sub-2k Certs [C] の交換 • TLS_FALLBACK_SCSV の適用 [A] • HTTP Strict Transport の適用 [A] • Perfect Forward Secrecy Compatible Ciphers の適用 [A-] DHE ciphers 不使用 (ECDHEのみ) • TLS1.2 の適用 [C] • Secure Renegotiation [A-] • POODLE 対応 [C or F] PCI Complianceへの加点: • F5を使っているので A+判定 TLS 1.0 の無効化 *その他、多くの要求事項が定義されています。詳細は下記リンクを参照ください: Qualys SSL Labs Rating Guide: https://www.ssllabs.com/projects/rating-guide/index.html © F5 Networks, Inc 12 ステップ I F5のソリューション for Azure アプリパフォーマンスにつ いて具体的に ・HTTP/2対応 ・ WebSocket への対応 ②アプリケーションアクセス ①プロビジョニング © F5 Networks, Inc 13 ステップ I HTTP/2 and SPDY 3.1 ゲートウェイ ウェブサーバやクラウドLBの対応を待たずしてHTTP/2対応を「すばやく」 モバイル利用等で影響度 が高いネットワーク遅延に 対応 デバイス HTTP 2.0 プロコトル ゲートウェイ HTTP 1.1/1.0 HTTP 1.1/1.0 オリジンサーバ SPDY 3.1/3,0/2.0 F5 BIG-IP Images クラウド上のWEB サーバはHTTP/2し ていなくてもよい SPDY 3.1/3.0/2.0 および HTTP 2.0 を HTTP 1.x にプロトコル変換 © F5 Networks, Inc 14 ステップ I WebSocketロードバランシング HTTP Upgradeによるプロトコル変換にも対応できる 通信初期にHTTPヘッダ(L7)を 確認できるので GET /Contents? Upgrade: websocket HTTP/1.1 101 Switching Protocols A/Bテストや、Blue/Green 通信中のプロトコル デプロイメントがやりやすく 変更に対応 HTTP デバイス WebSocket特有の WebSocket プロキシ WebSocket サーバ {status: ‘YES!’} WebSocket ● ● ● F5 BIG-IP Images WebSocket サーバ WebSocket サーバ ログ ストレージ © F5 Networks, Inc ● ● ● 通信ログも取れる WebSocketサーバを ため一括集中管理 シンプルにスケールアウト が可能 15 ステップ II ユーザ/端末検疫 VDI認証ゲートウェイ クラウド認証連携 ステップ II 認証基盤検討のポイント 〜クラウド認証への対応 よくある議論のポイント ・クラウド認証はパスワード漏洩・アカウント乗っ取りの危険性がある ・クラウド認証は社内認証と同じレベルの強固な認証が必要 ・クラウド認証はシームレスなログインをさせたい 忘れがちな検討のポイント ✔ オンプレにあるアプリケーションへの認証、置きざりになってませんか? ✔ マルチクラウドで利用するときの認証、考慮されてますか? © F5 Networks, Inc 17 ステップ II F5のソリューション for クラウド認証連携 • ハイブリッドクラウド認証連携ゲートウェイ • SAML IdP(ActiveDirectoryと連携可) • リモートデスクトップGWなどの主要VDIゲートウェイ IaaS • 初回ログオン時には厳格な検疫とユーザ認証を実施 ④リバース • Office365などへシングルサインオン プロキシ&SSO • SAML SP(WebアプリケーションのSSO対応) ①ユーザ認証、端末認証 SAML SP ④SAML認証連携 SAML IdP ③VDI SaaS ゲートウェイ ②AD連携 RD Session Host ④SAML認証連携 ④リバース 社内システム プロキシ &SSO Private Cloud © F5 Networks, Inc Active Directory アカウント連携 Azure Active Directory 18 ステップ II F5のソリューション for クラウド認証連携 IaaS リモートデスクトップゲート ウェイについて具体的に ④リバース プロキシ&SSO ①ユーザ認証、端末認証 SAML SP ④SAML認証連携 SAML IdP ③VDI SaaS ゲートウェイ ②AD連携 RD Session Host ④SAML認証連携 ④リバース 社内システム プロキシ &SSO Private Cloud © F5 Networks, Inc Active Directory アカウント連携 Azure Active Directory 19 ステップ II VDIをシンプルに ユーザポータルでユーザ 属性に合わせたアプリ ケーションランチャ ICAプロキシ VDI VDI VDI VDI Hypervisor C社 Virtual desktops VDI VDI VDI VDI Hypervisor RDSHゲートウェイ Virtual desktops VDI PCoIPプロキシ V社 VDI VDI VDI Hypervisor 認証 server いつ、誰が、どこから、ア クセスしてきたのかが詳 細にわかるレポート © F5 Networks, Inc Virtual desktops 20 ステップ II F5のソリューション for クラウド認証連携 Office365へのSAML連携による シングル・サインオンについて IaaS 具体的に ④リバース プロキシ&SSO ①ユーザ認証、端末認証 SAML SP ④SAML認証連携 SAML IdP ③VDI SaaS ゲートウェイ ②AD連携 RD Session Host ④SAML認証連携 ④リバース 社内システム プロキシ &SSO Private Cloud © F5 Networks, Inc Active Directory アカウント連携 Azure Active Directory 21 ステップ II SAMLによるエンタープライズSaaSへの認証連携 アカウント連携(パスワード情報不要) ①’ AD認証 ②Office365選択 ④シングルサインオン ③SAMLアサーション発行& リダイレクト ①ユーザ認証&デバイス認証 既存のADで認証している から、クラウド上にパス ワードが不要 多要素認証・デバイス認 証もできるから、セキュリ ティレベルを維持 © F5 Networks, Inc 22 ステップ III ネットワーク仮想化 プライベートクラウド クラウド接続 ステップ III F5のソリューション for ハイブリッドクラウド • SCVMMプロバイダ&NVGREゲートウェイ • Hyper-V仮想化基盤上へのF5のプロビジョニングをSCVMMから管理 • IPSec VPNでAzure接続 • Dynamic Routingも対応 (New!) ③アプリケーションアクセス ③アプリケーションアクセス NATIVE ④NVGRE変換 NVGRE NVGRE SCVMM ①プロビジョニング ②VPN接続 Server Database Private Cloud © F5 Networks, Inc 24 ステップ III F5のソリューション for ハイブリッドクラウド SCVMMからのプロビジョニ ングについて具体的に ③アプリケーションアクセス ③アプリケーションアクセス NATIVE ④NVGRE変換 NVGRE NVGRE SCVMM ①プロビジョニング ②VPN接続 Server Database Private Cloud © F5 Networks, Inc 25 ステップ III F5 SCVMMプラグイン • Hyper-V Networking GatewayとしてF5 BIG-IPを動作させるためのプラグイン (PowerShell Module) • SCVMMからの以下オペレーションなどに対応 • NVGREトンネル(作成、更新、削除) VMのライブマイグレー ションに対応できる • Static ARPエントリ(作成、更新、削除) • FDBレコード(作成、更新、削除) NVGREゲートウェイ としても利用可能 WAP VLAN Hyper-V テナントNW NVGRE Rest API Rest API BIG-IP Platform BIG-IQ Cloud © F5 Networks, Inc マルチテナントネット ワーク仮想化に対応 NVGRE トンネル エンドポイント NVGRE ゲートウェイ SCVMM F5 SCVMM PLUGIN Internet NVGRE Server 26 ステップ III F5のソリューション for ハイブリッドクラウド ③アプリケーションアクセス IPSEC VPNについて具体的に ③アプリケーションアクセス NATIVE ④NVGRE変換 NVGRE NVGRE SCVMM ①プロビジョニング ②VPN接続 Server Database Private Cloud © F5 Networks, Inc 27 ステップ III VPN装置としてのAzure認定と、F5の設定テンプレート ダイナミックルーティング 近日サポート予定 CLIでコマンドを入れなく ても、簡単に設定完了で きるテンプレートも用意 Azure 認定VPNゲートウェイ © F5 Networks, Inc 28 まとめ:今日お話ししたF5のソリューション ユーザ/端末検疫 VDI認証ゲートウェイ クラウド認証連携 サイバー攻撃対策 SSLセキュリテイ強化 アプリケーションパフォーマンス © F5 Networks, Inc ハイブリッド クラウド認証GW ネットワーク仮想化 プライベートクラウド クラウド接続 F5ソリューション F5 in Azure ステップ I ステップ II ステップ III Azureファーストではじめる 一歩進んだハイブリッドクラウドへのステップ F5をオンプレミスDCに配置 F5をオンプレミスDCに配置 多要素認証、エンドポイントチェック(APM) マルチVDIゲートウェイ(APM) SAML IdP, SaaS認証連携(APM) F5をAzureやIaaSに配置 SCVMM連携、NVGREゲートウェイ(LTM+SDN, BIG-IQ) AzureとのIPSec VPN接続(LTM) SAML SP(APM) F5をAzureに配置 ウェブアプリケーションファイアウォール(ASM) SSL強化(LTM) HTTP/2、WebSocket対応(LTM) 29
© Copyright 2024 ExpyDoc