BIG-IP TMOS v12.0 テクノロジーアップデート F5ネットワークスジャパン株式会社 セールスエンジニアリング本部 プリセールスコンサルタント 伊藤 悠紀夫 アジェンダ • SSL Everywhere(LTM) • セキュリティ(AFM/ASM) • アプリケーションアクセス(APM) • クラウド対応(MS Azure) © F5 Networks, Inc 2 SSL Everywhere SSL セッション・コネクションミラーリング (正式サポート) SSL MIRRORING Active Traffic Group Passive Traffic Group 課題: • ストリーミングやオンラインゲームなどは接続時間が長く、 フェイルオーバー時にインパクトを受ける • SSLオフロード環境においては、TCPレベルのミラーリングだ けではフェイルオーバの際に再度SSLネゴシエーションが 必要になり、アプリケーションが追従できない • SSLコネクションがアプリケーションに直接影響ある場合、 ビジネスインパクトが大きい ソリューション: • SSLのセッション情報とあわせたコネクションミラーリング 機能により、フェイルオーバー時においてもSSL通信を維持 © F5 Networks, Inc 4 SSL External Crypto Offload (正式サポート開始) 課題: User SSL Crypto Offload BIG-IP Virtual EditionにおけるSSLパフォーマンス 解決策: All Application Services Except SSL SSL Acceleration + SSL Crypto Offload SSLの処理をBIG-IPハードウェアにオフロードする ことで、全体のパフォーマンスを向上 SSL Traffic Only for Offload *SSL Crypto Offload用の別ライセンスが必要 BIG-IP Hardware Platform Multiple BIG-IP Virtual Editions High Performance High Capacity SSL Applications © F5 Networks, Inc 5 セキュリティ BIG-IP AFM Version 12.0 ハイライト • DDoS プロテクション機能の強化 動的IPブラックリストの作成 (AFM Sweep/Floodとの連携) HWベースのDoSベクタが100種類に H/WアクセラレータによるDDoS保護対象の拡大 DoS Profile,レポート画面を改良 • F/W機能強化 ルールアドレスにFQDNが指定可能 ルール数が多い場合のパフォーマンスを改善 ポートミスユースポリシー(Early Access) F/Wルール以外のポートやプロトコルを利用したアクセスが あった場合、ログ出力やDropを行う © F5 Networks, Inc 7 AFM 12.0 が必要とされるユースケース • ソースIP単位のセキュリティ対策を行いたい場合 • iRuleを用いてIP単位のレートリミットを掛けていた場合、 AFM Sweep機能を用いて、マイグレーションが可能。 BIG-IPのCPU負荷率を軽減 • IPアドレスでは無く、FQDN単位でF/Wルールを記載したい場合 O365環境など © F5 Networks, Inc 8 BIG-IP ASM Version 12.0 ハイライト • ボット対策の強化 プロアクティブボット防御機能の改良 (JavaScriptによるブラウザ判定) CAPTCHAチャレンジでユーザが人間であることを識別 ボットシグネチャによる検知 • 運用操作性の向上 手動/自動学習機能を1つの画面に統合 学習内容状況やポリシー作成可否を分かりやすく表示 • ログインフォームの自動検知 Web Application内のログインフォームを自動学習し、ブルートフォース対策を指定可能 ASM Website Web Bot Application Security User © F5 Networks, Inc 9 アプリケーションアクセス BIG-IP APM Version 12.0 ハイライト • SAML機能拡充 SAML ECP(Enhanced Client or proxy profile)に対応 ブラウザ以外のリッチクライアント(outlook等)からSAML認証可能 SAML multivalued attribute サポート 複数DB値が必要なアプリケーション(Web-EX等)もSAML認証可能 • MDM製品との連携 VMware Airwatch, IBM MaaS 360等のMDM製品と連携したVPNアクセスが可能 • VDI関連のUpdate Citrix StoreFrontプロトコルをサポート VMware Horizon View v6に対応 VMware Horizon View利用時、スマートカード認証対応 © F5 Networks, Inc 11 Webtop画面のグルーピングが可能 Webtopに表示するアイコンのグループ化を行い、表示順番を指定することが可能 V11までは アプリケーションリンクやネットワークアクセス等、 リソースの種類によって、 表示グループを分類 V12からは、 複数のリソースをグルーピング可能 表示順番の変更も可能となった © F5 Networks, Inc 12 クラウド対応 F5 クラウド環境に対するアップデート • Microsoft Azureに対応(10月予定) MS Azure環境へADCサービス(L7負荷分散、セキュリティ機能)を提供 • Amazon AWS AutoScaleに対応 (11月予定) ADCサービスの動的スケールを実現 • vCMPへより柔軟にリソース割当 vCMPゲスト単位にSSLやRate Limitが可能 © F5 Networks, Inc 14 Azureユースケース: オンプレ環境と同様のセキュリティサービスを提供 APM ・端末セキュリティチェック ・認証・認可 ・シングルサインオン ASM ・Web Application Firewall ・L7 DDoS対策 LTM ・L4-L7ロードバランサー ・SSLパフォーマンス End Users Internet ACTIVE BIG-IP STANDBY BIG-IP SQL Backend Active Directory LTM BIG-IP Local Traffic Manager APM BIG-IP Access Policy Manager ASM BIG-IP Application Security Manager Backend Data Communication Pre-authentication Traffic © F5 Networks, Inc 15
© Copyright 2024 ExpyDoc