BIG-IP TMOS v12.0 テクノロジーアップデート F5ネットワークスジャパン株式会社セールスエンジニアリング本部プリセールスコンサルタント伊藤悠紀夫アジェンダ • SSL Everywhere（LTM） • セキュリティ（AFM/ASM） • アプリケーションアクセス（APM） • クラウド対応(MS Azure) © F5 Networks, Inc 2 SSL Everywhere SSL セッション・コネクションミラーリング (正式サポート) SSL MIRRORING Active Traffic Group Passive Traffic Group 課題: • ストリーミングやオンラインゲームなどは接続時間が長く、フェイルオーバー時にインパクトを受ける • SSLオフロード環境においては、TCPレベルのミラーリングだけではフェイルオーバの際に再度SSLネゴシエーションが必要になり、アプリケーションが追従できない • SSLコネクションがアプリケーションに直接影響ある場合、ビジネスインパクトが大きいソリューション: • SSLのセッション情報とあわせたコネクションミラーリング機能により、フェイルオーバー時においてもSSL通信を維持 © F5 Networks, Inc 4 SSL External Crypto Offload (正式サポート開始) 課題: User SSL Crypto Offload BIG-IP Virtual EditionにおけるSSLパフォーマンス解決策: All Application Services Except SSL SSL Acceleration + SSL Crypto Offload SSLの処理をBIG-IPハードウェアにオフロードすることで、全体のパフォーマンスを向上 SSL Traffic Only for Offload *SSL Crypto Offload用の別ライセンスが必要 BIG-IP Hardware Platform Multiple BIG-IP Virtual Editions High Performance High Capacity SSL Applications © F5 Networks, Inc 5 セキュリティ BIG-IP AFM Version 12.0 ハイライト • DDoS プロテクション機能の強化  動的IPブラックリストの作成 (AFM Sweep/Floodとの連携)  HWベースのDoSベクタが100種類に  H/WアクセラレータによるDDoS保護対象の拡大  DoS Profile,レポート画面を改良 • F/W機能強化  ルールアドレスにFQDNが指定可能  ルール数が多い場合のパフォーマンスを改善  ポートミスユースポリシー(Early Access) F/Wルール以外のポートやプロトコルを利用したアクセスがあった場合、ログ出力やDropを行う © F5 Networks, Inc 7 AFM 12.0 が必要とされるユースケース • ソースIP単位のセキュリティ対策を行いたい場合 • iRuleを用いてIP単位のレートリミットを掛けていた場合、 AFM Sweep機能を用いて、マイグレーションが可能。 BIG-IPのCPU負荷率を軽減 • IPアドレスでは無く、FQDN単位でF/Wルールを記載したい場合 O365環境など © F5 Networks, Inc 8 BIG-IP ASM Version 12.0 ハイライト • ボット対策の強化  プロアクティブボット防御機能の改良 (JavaScriptによるブラウザ判定)  CAPTCHAチャレンジでユーザが人間であることを識別  ボットシグネチャによる検知 • 運用操作性の向上  手動/自動学習機能を1つの画面に統合  学習内容状況やポリシー作成可否を分かりやすく表示 • ログインフォームの自動検知  Web Application内のログインフォームを自動学習し、ブルートフォース対策を指定可能 ASM Website Web Bot Application Security User © F5 Networks, Inc 9 アプリケーションアクセス BIG-IP APM Version 12.0 ハイライト • SAML機能拡充  SAML ECP(Enhanced Client or proxy profile)に対応ブラウザ以外のリッチクライアント(outlook等)からSAML認証可能  SAML multivalued attribute サポート複数DB値が必要なアプリケーション(Web-EX等)もSAML認証可能 • MDM製品との連携  VMware Airwatch, IBM MaaS 360等のMDM製品と連携したVPNアクセスが可能 • VDI関連のUpdate  Citrix StoreFrontプロトコルをサポート  VMware Horizon View v6に対応  VMware Horizon View利用時、スマートカード認証対応 © F5 Networks, Inc 11 Webtop画面のグルーピングが可能 Webtopに表示するアイコンのグループ化を行い、表示順番を指定することが可能 V11まではアプリケーションリンクやネットワークアクセス等、リソースの種類によって、表示グループを分類 V12からは、複数のリソースをグルーピング可能表示順番の変更も可能となった © F5 Networks, Inc 12 クラウド対応 F5 クラウド環境に対するアップデート • Microsoft Azureに対応(10月予定)  MS Azure環境へADCサービス(L7負荷分散、セキュリティ機能)を提供 • Amazon AWS AutoScaleに対応 (11月予定)  ADCサービスの動的スケールを実現 • vCMPへより柔軟にリソース割当  vCMPゲスト単位にSSLやRate Limitが可能 © F5 Networks, Inc 14 Azureユースケース: オンプレ環境と同様のセキュリティサービスを提供 APM ・端末セキュリティチェック・認証・認可・シングルサインオン ASM ・Web Application Firewall ・L7 DDoS対策 LTM ・L4-L7ロードバランサー・SSLパフォーマンス End Users Internet ACTIVE BIG-IP STANDBY BIG-IP SQL Backend Active Directory LTM BIG-IP Local Traffic Manager APM BIG-IP Access Policy Manager ASM BIG-IP Application Security Manager Backend Data Communication Pre-authentication Traffic © F5 Networks, Inc 15