マネージド・セキュリティ・ソリューション

Carrier Managed Security Solutions
Smart Network. Smart Business.
Carrier Managed Security Services (MSS)
ラドウェアのマネージド・セキュリティ・ソリューションによって、オペレータは付加価値のある、ネットワークベースのマネー
ジド・セキュリティを顧客に提供することができます。また、通信事業者はラドウェアを採用することで、管理型の「常時接続
クリーンリンク」サービスと「オンコールクリーンリンク」サービスを実現し、高度なアウトソーシングモデルに対応するととも
に、企業ユーザ、個人ユーザ、モバイルユーザ、オンラインビジネスの顧客から新たな収益源を確立することが可能にな
ります。
1) 「常時接続クリーンリンク」セキュリティ: 通信事業者は、DefenseProによって入出力リンクトラフィックを
管理し、マルウェアやP2Pトラフィックを制御する一方で、顧客に対して、新たなマネージド・クリーンリンク・
サービスを提供することができます。DefenseProの「即時性が高く、ゼロタッチで、誤検出のない」動作ベース
のDoS/DDoS(サービス拒否/分散型サービス拒否)攻撃防御機能とIPS(侵入防御システム)が、サービスに
対する既知および未知のフラッド攻撃から加入者を保護し、ワームの増殖を阻止して、低速のスキャンと偵察行
為をブロックすると同時に、帯域制御を行ってSLA(サービス品質保証契約)を実現します。また、DefensePro
のマルチレイヤの防御機能と高度な仮想プラットフォームによって、通信事業者は、高パフォーマンスで柔軟性
のある、カスタマイズされた、拡張性の高いマネージド・アプリケーションとネットワークセキュリティを提供
し、付加価値のあるサービスと収益の増加を実現することができます。ラドウェアの動作ベースのアルゴリズム
と、自動生成、削除が可能なセキュリティフィルタが、マネージド・セキュリティの実装を大幅に簡素化すると
ともに、誤検出率が低下することで、セキュリティモデルのアウトソーシングによるTCO(総所有コスト)が合理
化されます。
2) マネージド・コンテンツ・セキュリティ・サービスのデリバリ: 通信事業者は、Content Inspection Director (CID)
を導入することで、ウイルス対策、スパム対策、URLフィルタリング、Webアプリケーションファイアウォール
(WAF)、ペアレンタルコントロールなど、一連のマネージド・コンテンツ・セキュリティ・サービスを顧客に提
供することができます。CIDは、可用性の高い、最適化された、ベストオブブリードなインスペクションツールの
シームレスな展開と、セルフプロビジョニング(RADIUSベース)を可能にし、固定通信網とワイヤレス通信網に
おける拡張性を確保します。通信事業者はCIDによって、高パフォーマンスのカスタマイズされた、付加価値のあ
.
る加入者コンテンツ・インスペクション・サービスを、ビジネスユーザおよび個人ユーザに対し、効率的に提供す
ることができます。
目次
マ ネ ー ジ ド ・ ク リ ー ン リ ン ク ・ セ キ ュ リ テ ィ 3
マネージド・コンテンツ・セキュリティ・デ リ バ
リ
2
6
Radware
Managed Security
ラドウェアの「常時接続クリーンリンク」マネージド・セキュリティ・ソリューション
ラドウェアの「常時接続クリーンリンク」マネージド・セキュリティ・ソリューションは、複数の構成で企業とオ
ンラインビジネスの顧客に展開できます。
1. 専用のスクラビングセンターが提供する、マネージド「クリーンリンク」サービスモデル
― 下りの顧客への入
力トラフィックをセキュリティ「スクラビングセンター」に送信し、インラインの検出および軽減対策を講じるこ
とで、ネットワークセキュリティをアウトソーシングする企業に対し、「常時接続クリーンリンク」セキュリティ
サービスを提供します。
通常、本サービスモデルは非対称です。
2. xDSLでの「クリーンなビジネスブロードバンド
― BRAS(ブロードバンド・リモートアクセス・サーバ)レベル
(または上位のアグリゲーションレイヤ)で、ポリシーベースのルーティングを行うことにより、有料加入者のト
ラフィックをローカルの「スクラビングデバイス」にリダイレクトし、ブロードバンドの「パイプ」からネット
ワーク攻撃を洗い出します。
本サービスモデルは、(上り下りのトラフィックが)対称になる場合があります。国によって、適用される規制要件が異なり
ます。
3. イントラネットのトラフィックに対する「クリーンなIP-VPN」サービス ― P-PEレベルで加入者(MPLS対応デバ
イス)を識別し、関連するイントラネットトラフィックをクリーニングします。「ハブ・アンド・スポーク」型の
トポロジーで構成するのが、典型的な実装です。
階層1の大規模オペレータでは多くの場合、運用を簡素化するため、有料の顧客VPNトラフィックの「セキュリティPE」への
ルーティングを保証します。
Internet
????
セキュリティ組織が
「所有」するBRAS
???
アグリゲーション/
バックホール(メトロ)
DefensePro
????????????
ロー
?????
スクラビングセンター
オプトインモデル
(ポリシーベースルーティング)
?
Branch/SMB/CE
DefenseProによる「常時接続クリーンリンク」
マネージド・セキュリティ
3
ラドウェア・クリーンリンク・マネージド・セキュリティの主な機能とメリット
マルチギガビットの管理型「常時接続
クリーンリンク」サービス
高度なIPS防御機能と、「即時性が高く、
ゼロタッチで、誤検出のない」DoS/DDoS
攻撃軽減機能による、通信事業者向けの
差別化されたマネージド・セキュリティ
・サービス
通信事業者は、DefenseProの導入により、マルチギガビットの管理型の侵入防御機能
とDoS攻撃防御機能を実現し、最も悪質な大規模の自己増殖型ワームやサービスフラッ
ド攻撃さえも防御して、アプリケーションやネットワークの脅威から顧客を保護する
ことができます。DefenseProは、通信事業者に対して一連のセキュリティ機能を提供
し、攻撃のブロックや加入者網のクリーニングによって、顧客のインフラとオンライ
ンビジネスをリアルタイムで保護し、比類のないカスタマーサービスの完全性を実現
します。
さらに、全顧客の帯域を制御することで加入者網の帯域を決定し、QoS(サービス品質)
を保証して、ネットワークサービスのパフォーマンスをマネージド・サービスの一環と
して、確保することができます。
シグネチャと動作ベースの、ネットワー
ク型ハイブリッド侵入防御モデルが実現
する、マルチレイヤのカスタマーセキュ
リティ
悪意のあるトラフィックを加入者網に到
達する前にすべてブロック
DefenseProは、1,500以上のシグネチャベースの攻撃をリアルタイムでブロックできる
ように設計された、管理型のIPSセキュリティサービスを提供します。ASICベースの
String Match Engineを搭載し、加入者網のすべてのトラフィックを検査して、悪意のあ
るコンテンツ、トロイの木馬、既知のワーム、ボット行為、ウイルス、その他の攻撃シ
グネチャを識別すると、即時にブロックし、顧客の通信網への侵入行為を排除します。
DefenseProは、IPv6トラフィックに対する攻撃シグネチャ、スキャン、DoS/DDoSフ
ラッド攻撃、多重カプセル化とL2TP、GRE、GTP、MPLSなどのトンネリングプロトコ
ルを検査し、通信事業者の展開において最大限の柔軟性を確保します。通信事業者は、
ラドウェアの攻撃データベースを利用してセキュリティプロファイルを設定し、カスタ
ム攻撃シグネチャを定義して、IPSの管理を簡素化するとともに、高い柔軟性で加入者
の多様なニーズに対応することができます。
また、ラドウェアのセキュリティアップデートサービス(SUS)が、攻撃シグネチャの
データベースを常時アップデートするため、新たに出現した脅威を継続的かつ自動的に
防御することができます。POPベースのIPS機能を搭載したDefenseProは、通信事業者に
よる独自の能力強化を可能にし、顧客通信網の末端部に対するネットワーク攻撃の防御
を実現するほか、ステートレス機能を活用して、加入者網とエンドユーザによる操作の
継続性を保証します。
高度なDDoS攻撃防御機能による、ネット DefenseProのDoS攻撃防御機能は、強力な動作ベースのエンジンを採用しており、あら
ゆる形式のDoS攻撃を識別し、即時に阻止し、TCP SYNフラッド攻撃やその他(Ack、
ワークフラッド攻撃の防御
Psh+ack、Resetなど)のTCPフラッド攻撃、UDPフラッド攻撃、DNSフラッド攻撃、
適応型動作ベースのDoS攻撃防御や、帯域 ICMPフラッド攻撃、IGMPフラッド攻撃に加え、悪質な自己増殖型ワーム(TCP、UDP
/トラフィックシェーピングを備えた、 ワーム)などのネットワークフラッド攻撃をワイヤスピードで軽減することができます。
ベストオブブリードなDoS/DDoS攻撃防御 また、DefensePro独自のトラフィックモニタリング機能とベースラインの動作マッピン
機能
グにより、既知および未知のDoS/DDoS攻撃を防御できるほか、18秒以内に新しいフィ
ルタを生成して加入者網を保護するか、あるいはラドウェアの攻撃データベースからの
既知のフィルタを有効にして、比類のない防御を実現します。さらに、アクティブな
DoS攻撃緩和機能に加え、DefenseProのワーム増殖抑制アルゴリズムがユーザの不正行
為を識別し、疑わしいソースから積極的に保護します。DefenseProの速度制限機能と、
帯域/トラフィックシェーピング機能がすべての出力トラフィックを制御し、利用可能
なネットワークリソースを調整して、ミッションクリティカルなアプリケーションに対
するサービスレベルを保証する一方で、制御されないP2Pトラフィックでのワームの増
殖を防止します。
粒度の細かい、仮想化されたポリシー
ベースのIPSとDoS攻撃防御機能
加入者に対するマネジド・セキュリティ
・サービスのシンプルかつ柔軟な管理を
可能にし、IT運用の煩雑さを軽減
4
DefenseProのIPSおよびDoS攻撃防御機能では、粒度の細かい複数のサービスパラメータ
に基づいてマネージド・セキュリティポリシーを設定することが可能です。中でも、IP
範囲やMPLSタグ、VLANを利用して顧客を自動識別することにより、DoS攻撃防御とIPSに
よるセキュリティサービスをシンプルに構成するために加入者のネットワークエレメン
トを仮想化したり、複数のカスタマーアカウントをアップデートしたりすることができ
ます。DefenseProは、マルチセグメントのアプローチに対応しており、マネージド・サー
ビスポリシーの強化における柔軟性が最大限確保されているため、DoSセキュリティマ
ネージメントの大幅な簡素化と運用コストの削減を図ることができます。
通信事業者はDefenseProの導入により、1台の仮想プラットフォームで何百人もの顧客に
サービスを提供できるため、非常に経済的なサービスの拡張性を確保することができます。
DefenseProの帯域ライセンス方式(ビジネスの成長に応じた拡張方式)を利用し、実際の
高いROIとビジネスの成長に応じた経済的
収益に基づいてサービス能力を強化することによって、通信事業者は自社のマネジド・
な拡張方式
セキュリティにおける設備投資と運用コストをさらに最適化することができるため、コス
トを管理して、高いサービスROI(投資効果)を実現することができます。
高い拡張性による運用コスト・設備投資
の削減
通信事業者による展開が容易
DefenseProは複数のサービス展開に対応しており、通信事業者のPOPで透過的なインライン
デバイスとして、またMPLSクラウド上でサービスノードとして運用することが可能です。
このため通信事業者は、厄介なネットワーク操作を行ったり、ルーティングやネットワー
ク構成を変更したりすることなく、新しいセキュリティサービスを容易かつ柔軟に展開で
きます。
KPIによるマネジド・セキュリティのSLA
高度な仮想化機能と機能強化されたカスタマーセキュリティレポートにより、オペレータ
はポリシーのKPI(重要業績評価指標)に基づいて、顧客のSLAを保証することができます。
顧客のSLAアカウント管理と定期監査に対
DepenseProのセキュリティレポート機能では、DoS攻撃とIPS攻撃が包括的に視覚化され、
応した、詳細なセキュリティレポートを
その統計データとログが提示されるため、攻撃元を即時に識別できるほか、経時的に攻撃
作成
を解析し、加入者に対して攻撃の範囲と影響をまとめたレポートを作成することができま
す。DefenseProのセキュリティイベントは、通信事業者が既に所有するSymantecやArcsight
.
などのセキュリティイベント管理プラットフォームに、シームレスに報告することができ
ます。
キャリアグレードのパフォーマンス、
フォールトトレランス、およびネット
ワークの透過性
DefenseProは、キャリアグレードのパフォーマンス、拡張性、およびフォールトトレラン
ス要件を満たす設計となっています。デュアルネットワークプロセッサ、RISCプロセッサ
と、1,000倍の高速検査スピードに対応したハードウェアASIC String Match Engine搭載し、
4階層のASICスイッチングアーキテクチャに実装されて、最も要求の厳しいアプリケー
ション処理や大容量ネットワーク環境でも、比類のない4Gbpsの処理能力を有しています。
DefenseProの内部バイパス機能とデュアル電源、完全な冗長構成のトポロジーにより、
フォールトトレランスと99.999%のアップタイムが保証され、マネ-ジド・セキュリティ
・サービスの不断の可用性が確保されます。
顧客離れの減少と加入者のサービスレベ
ルの向上
DefenseProは、接続不良や加入者アプリケーションの低速なパフォーマンスへの対応など、
n
セキュリティ攻撃に伴う顧客離れの管理の費用を大幅に削減します。
5
ラドウェア・マネージド・コンテンツ・セキュリティ・デリバリソリューション
Content Inspection Director(CID)は、通信事業者を対象にした、高パフォーマンスでフォールトトレ
ラントかつ拡張性の高いマネージド・コンテンツ・セキュリティサービス・アーキテクチャです。
ウイルス対策、スパム対策、URLフィルタリング、Webアプリケーションファイアウォール(WAF)、
ペアレンタルコントロールなど、あらゆるコンテンツフィルタリング機能を最適化して展開すること
ができます。
CIDはマルチギガビットのスループットを維持しつつ、ワイヤスピードでディープパケットインスペク
ションを実行することができます。ベストオブブリードなコンテンツ・インスペクションツール全体
でサービスのボトルネックを解消し、キャリアグレードの可用性とサービスの継続性を確保します。
また、コンテンツ・インスペクションをインテリジェントに管理し、ポリシーベースでサービスフロー
のカスタム化を実現することにより、ビジネスユーザ、個人ユーザ、モバイルユーザに対し、高度で付
加価値のあるマネジド・コンテンツ・セキュリティを提供します。
Web サーバ
Internet
ボーダ・ルータ
RADIUS
エンタープライズ
サーバ
CID
エッジ・ルータ
BRAS/GGSN
Anti-Virus
加入者
Anti-Spam
WAF
URL
Filtering
ビジネスユーザ、個人ユーザ、モバイルユーザ
Parential Control
キャリア コア網 (MPLS)
CID: Manged Control Security
高い可用性とパフォーマンスを備えた
マネージド・コンテンツ・セキュリティの可能性
付加価値のある一連のマネージド・コンテンツ・
セキュリティをビジネスユーザ、モバイルユー
ザ、個人加入者向けに最適化し、通信事業者の
業務効率を向上
加入者サービス
Uncontroled Transit
Step 1
→
Step 2
プレミアム・コンテンツ
セキュリティ
Anti-Virus 1
Anti-Virus 2
ADSL加入者向け安全サイト
Anti-Spam
Anti-Virus
プラチナ・モバイル
セキュリティ
URL Filtering
Caching
→
マネージド・コンテンツ・セキュリティのフローポリシーの例
6
Step 3
Caching
Anti-Virus
ラドウェア・マネージド・コンテンツ・セキュリティ・デリバリの主な機能とメリット
ポリシーベースの加入者向けマネージド・ プログラマブルなポリシーベースのマネージド・コンテンツ・セキュリティ・サービ
コンテンツ・セキュリティ
スアーキテクチャを提供するCIDでは、レイヤ2~7の情報(加入者、アプリケーション、
カスタムフィットのマネージド・コンテ およびコンテンツに関する情報など)を利用して、あらゆるベストオブブリードの複数
ベンダのコンテンツ・セキュリティ・ツールで、カスタムフィットのコンテンツ・イ
ンツ・セキュリティ・サービス
ンスペクションを構築することが可能です。またCIDが、複数のコンテンツ・セキュリ
ティ・ツールおよびフィルタリング操作で、同一セッションのトラフィックを順次リ
ダイレクトするため、通信事業者は、無数のコンテンツ・インスペクション・フローを
カスタマイズして、無数のマネージド・アカウントおよび粒度の細かいポリシーベース
のコンテンツ・インスペクション・サービスのカスタム化を実現することができます。
オンザフライでのサービスのセルフ
プロビジョニング
煩雑な加入者管理業務の軽減、IT運用
コストの削減、サービスの迅速な導入を
実現
マルチベンダのベストオブブリードな
コンテンツ・セキュリティ・アーキテク
チャに柔軟に対応
あらゆるベンダに対応した、柔軟性のあ
るマネージド・コンテンツ・インスペク
ション・サービス
コンテンツ・インスペクションと加入者
における高い拡張性
運用コストと設備投資を削減し、マネジ
ド・コンテンツ・セキュリティによる
最大の収益を実現
キャリアグレードのパフォーマンス、
ネットワークの透過性、およびフォール
トトレランス
CIDでは、オンザフライでリアルタイムに加入者サービスのプロビジョニングが可能で、
静的な手動再設定の必要がありません。またCIDは、RADIUSの応答属性をリアルタイム
でスニッフィングし、加入者と対応するコンテンツ・インスペクション・サービスが一
致するように、ユーザを自動的に分類します。オペレータはCIDによって、動的IPアド
レスを持つユーザに対し、サービスをプロビジョニングできるため、静的ネットワーク
ポリシーの更新や設定の必要がなくなります。このようなセルフプロビジョニング機能
によって、マネージド・セキュリティ・サービスの導入が簡素化されるとともに、加入
者の増加を自動管理できるため、IT運用における煩雑さが軽減され、運用コストの削減
.
につながります。
通信事業者はCIDを採用することで、ベンダを完全に自由に選定できるようになります。
統合による費用負担なしに、Symantec、McAffee、WebSense、Surfcontrolなどあらゆる
サードパーティのツールを使用して、コンテンツ・セキュリティ・アーキテクチャを柔
軟に構築できるため、ベストオブブリードなコンテンツ・セキュリティを提供すること
ができます。さらにCIDでは、コンテンツ・セキュリティ・サービス・アーキテクチャの
性能対価格比を柔軟に設計し、新しいツールをシームレスに追加することが可能である
ため、マネージド・コンテンツ・インスペクション・サービスを必要に応じて拡張し、
運用コストを効率的に抑制することができます。
10ギガビットインタフェースに対応したCIDは、すべてのコンテンツ・インスペクショ
ン処理を最適化し、1台のデバイスで100万人以上の加入者に対応できる高いインスペ
クション・サービスと加入者の拡張性を実現します。インスペクション・サービスを非
常に経済的に拡張できるため、運用コストと設備投資の大幅な削減につながります。
CIDのマルチギガビットのパフォーマンスは、無類のコンテンツ・インスペクション速度
を達成した、4階層のASICスイッチングアーキテクチャによって実現されています。完全
な冗長構成のトポロジーとデュアル電源を採用し、高いMTBF(平均故障間隔)によって
フォールトトレランス、99.999%のアップタイム、および迅速な災害復旧を可能にしま
した。CIDは、最も要求の厳しいアプリケーション処理や大容量ネットワーク環境におい
ても、マネジド・コンテンツ・セキュリティ・サービスの不断の可用性を確保します。
7
Radwareについて
有線網や移動網の通信事業者では、Radware社の製品を導入する
ことにより、ミッション・クリティカルなIPサービスの可用性、
パフォーマンスそしてインテグリティを高めることができるよう
Rradwareは、統合化アプリケーション配信ソリューション
になります。また、加入者に対するサービス品質を高め、効率的
のグローバル・リーダです。1997年に設立されて以来、開
な運用とデータ・ネットワーキング サービスの利益率とビジネ
発された製品とそのテクノロジーは数々のアワードを受賞、
?
ス成長を高めることができます。
既に5,000を超える企業や通信事業者に採用されています。
ラドウェアのIP配信ソリューションについてもっと詳しくお知り
になりたい場合は、下記までお問合せ下さい。
[email protected]
Smart Network. Smart Business.
International Headquarters
www.radware.com
Americas Headquarters
APAC Headquarters
Rdware Ltd.
Tel: +972-3-766-8666
Fax: +972-3-766-8655
E-mail: [email protected]
Radware Inc.
Tel: +1-202-512-9771
Fax: +1-201-512-9774
U.S. Toll Free: 1-888-234-5763
E-mail: [email protected]
Radware China
Tel: +86-21-53965-490/1/2
Fax: +86-21-53965493
E-mai;[email protected]
Australia
Belgium
B razil
G erm any
Radware Brazil
Tel: +55811)3704-4338
Fax: +55(11)3704-4330
e-mail: [email protected]
Radware GmbH
Tel: +49(0)6196-76665-0
Fax: +49(0)6196-76665-66
e-mail: [email protected]
Japan
Radware Australia Pty.Ltd
Tel: +61-2-9954-0566
Fax: +61-2-9954-0577
e-mail: [email protected]
Radware Belgium
Tel: +32-2-403-11-43
Fax: +32-2-403-12-12
e-mail: [email protected]
EMEA Headquarters
Radware France
Tel: +33-1-41-22-0690
Fax: +33;1;41;22;0691
e-mail: [email protected]
H ong K on g
In dia
Italy
Radware Hong kong
Tel: +852-25627498
Fax: +852-29040528
e-mail: [email protected]
radware India
Tel: +91-11-416-48514/6/7/8
Fax: +91-11-4168519
e-mai; [email protected]
Rdware Sri.
Tel: +39-035-2055411
Fax: +39-035-2055415
e-mail: [email protected]
Nihon Radware K.K.
Tel: +81-3-5437-2371
Fax: +81-3-5437-8288
e-mail: [email protected]
K orea
Netherland
s
R ussia
S ingapore
Radware Korea
Tel: +82-2-3452-1240
Fax; +82-2-3452-2742
e-mail: [email protected]
Radware Nederland
Tel: +31-786-54-04-65
Fax; +31-786-54-04-64
e-mail: [email protected]
Radware Russia
Tel: +7-495-204-8323
Fax: +7-495-204-8153
e-mail: [email protected]
Radware Singapore
Tel: +(65)6832-5140
Fax: +(65)6732-4471
e-mai: [email protected]
S outh Africa
Sp ain
Taiw an
Thailand
Radware ltd.
Tel: +011-807-4997
Fax;: +011-807-4998
e-mai:[email protected]
Radware Spain
Tel: +34-93-492-03-74
Fax: ;34-93-492-03-51
e-mai; [email protected]
Radware Taiwan
Tel: +886-2-2705-9522
Fax: +886-2-2705-9501
e-mai: [email protected]
Radware Thailand
Tel: +668-1448-3337
e-mail: [email protected]
U nited K ingd om
Radware UK
Tel: +44(0)1344-397-027
Fax; +44(0)1344-397-127
e-mail: [email protected]
2007 Radware,Ltd. All Right Reserved. Radware and all other radware product and service names are registered trademark of Radware in the U.S. and other countries.
All other trademark and names are the propery of their respective owners.