オンプレ担当者も納得! Azureセキュリティレベルの保ち方

オンプレ担当者も納得!
Azureセキュリティレベルの保ち方
〜ハイブリッドクラウドとF5 BIG-IP for Azure〜
F5 ネットワークスジャパン
パートナー営業本部
ビジネスディベロップメントマネージャ
兼松大地
BIG-IP in Azureを活用した
セキュアなハイブリッドクラウド
オンプレ担当が
Azureファーストでも安心できるハイブリッドクラウドに向けて
適材適所で安心、納得、連携
© F5 Networks, Inc
3
セキュアなハイブリッドクラウドへのステップ
ステップ II
ステップ III
Azureファーストではじめる
一歩進んだハイブリッドクラウドへのステップ
 ネットワーク仮想化
 プライベートクラウド
 クラウド接続
 ユーザ/端末検疫
 VDI認証ゲートウェイ
 クラウド認証連携
F5ソリューション

F5をオンプレミスDCに配置



ステップ I
© F5 Networks, Inc

多要素認証、エンドポイントチェック（APM）
マルチVDIゲートウェイ（APM）
SAML IdP, SaaS認証連携（APM）
F5をAzureやIaaSに配置

 サイバー攻撃対策
 SSLセキュリテイ強化
 アプリケーションパフォーマンス
SCVMM連携、NVGREゲートウェイ（LTM＋SDN, BIG-IQ）
AzureとのIPSec VPN接続（LTM）
F5をオンプレミスDCに配置




これから
ご紹介します
SAML SP（APM）
F5をAzureに配置



ウェブアプリケーションファイアウォール（ASM）
SSL強化（LTM）
HTTP/2、WebSocket対応（LTM）
4
ステップ I
 サイバー攻撃対策
 SSLセキュリテイ強化
 アプリケーションパフォーマンス
ステップ I
Azure利用検討のポイント① 〜サイバー攻撃対策
よくある議論のポイント
・クラウドだと、ネットワークセキュリティ（ACL）とDoS対策程度
・個別アプリのセキュリティチューニングに限界がある
・オープンソースだと、いざという時に対応が不安
・オンプレと同等のセキュリティポリシーで運用できない
忘れがちな検討のポイント
✔ アプリケーションの脆弱性チェックちゃんと出来てますか？
✔ 安全なSSLサイトで運用できているといえますか？
© F5 Networks, Inc
6
ステップ I
Azure利用検討のポイント② 〜アプリのパフォーマンス
よくある議論のポイント
・クラウドだと、遅延が気になる
・オンプレに比べネットワークの状況が見えづらい
・ネットワーキングが独自実装なので、チューニングポイントが少ない
忘れがちな検討のポイント
✔ HTTP/2への対応出来てますか？
✔ WebSocket対応したいサービス諦めてませんか？
© F5 Networks, Inc
7
ステップ I
F5のソリューション for Azure
• BIG-IP in Azure
• すべてのBIG-IPモジュールが利用可能
• Azure Marketplaceからプロビジョニング
• BYOL（初期リリース）
②アプリケーションアクセス
①プロビジョニング
© F5 Networks, Inc
8
ステップ I
おさらい
Azureで提供されるトラフィック管理コンポーネント
Azure Traffic Manager
Azure Load Balancer
スケール
・リダイレクト型
・DNSを利用
・サイト間スケールアウト用
・アプリへのセキュリティ対策ができない
© F5 Networks, Inc
Azure Application Gateway
柔軟性
・インライン型
・TCP/UDPポート転送
・サイト内スケールアウト用
・アプリへのセキュリティ対策ができない
・インライン型
F5が解決！
・HTTP(S)プロキシ
・アプリケーションGW用
・セキュリティ対策はSSL終端のみ
9
ステップ I
F5のソリューション for Azure
サイバー攻撃対策につい
て具体的に
・アプリの脆弱性対応
・SSLの対応
②アプリケーションアクセス
①プロビジョニング
© F5 Networks, Inc
10
クラウドアプリのSDLC※にWeb脆弱性対応も適用
ステップ I
「すばやく」「安全」にバーチャルパッチをクラウドにも
Azure上のウェブサイト
脆弱性診断ツール（DAST）
• 脆弱性の検知
• 診断結果のエクスポート
サイト構成変更時や
定期的に
• 安全なウェブサイト運用
F5 ウェブアプリケーションファイアウォール
連携対応製品：
ウェブサイト毎に個
別のポリシー運用も
可能
© F5 Networks, Inc
• 診断結果のインポート
• ポリシーの自動生成
• 対応が必要な箇所の確認、ポリシー調整と適用
※SDLC：ソフトウェア開発ライフサイクル 11
クラウドだからこそ、より安全なSSLの利用を
ステップ I
「安全」に使えるSSLをクラウドに適用
•
SSLv3 [B] & RC4 の無効化 [B/C]
•
SHA1 Certs [A] と sub-2k Certs [C] の交換
•
TLS_FALLBACK_SCSV の適用 [A]
•
HTTP Strict Transport の適用 [A]
•
Perfect Forward Secrecy Compatible Ciphers の適用 [A-]
DHE ciphers 不使用 (ECDHEのみ)
•
TLS1.2 の適用 [C]
•
Secure Renegotiation [A-]
•
POODLE 対応 [C or F]
PCI Complianceへの加点:
•
F5を使っているので
A+判定
TLS 1.0 の無効化
*その他、多くの要求事項が定義されています。詳細は下記リンクを参照ください:
Qualys SSL Labs Rating Guide: https://www.ssllabs.com/projects/rating-guide/index.html
© F5 Networks, Inc
12
ステップ I
F5のソリューション for Azure
アプリパフォーマンスにつ
いて具体的に
・HTTP/2対応
・ WebSocket への対応
②アプリケーションアクセス
①プロビジョニング
© F5 Networks, Inc
13
ステップ I
HTTP/2 and SPDY 3.1 ゲートウェイ
ウェブサーバやクラウドLBの対応を待たずしてHTTP/2対応を「すばやく」
モバイル利用等で影響度
が高いネットワーク遅延に
対応
デバイス
HTTP 2.0
プロコトル
ゲートウェイ
HTTP 1.1/1.0
HTTP 1.1/1.0
オリジンサーバ
SPDY 3.1/3,0/2.0
F5 BIG-IP
Images
クラウド上のWEB
サーバはHTTP/2し
ていなくてもよい
SPDY 3.1/3.0/2.0 および HTTP 2.0 を HTTP 1.x にプロトコル変換
© F5 Networks, Inc
14
ステップ I
WebSocketロードバランシング
HTTP Upgradeによるプロトコル変換にも対応できる
通信初期にHTTPヘッダ（L7）を
確認できるので
GET /Contents?
Upgrade: websocket
HTTP/1.1 101 Switching Protocols
A/Bテストや、Blue/Green
通信中のプロトコル
デプロイメントがやりやすく
変更に対応
HTTP
デバイス
WebSocket特有の
WebSocket
プロキシ
WebSocket
サーバ
{status: ‘YES!’}
WebSocket
●
●
●
F5 BIG-IP
Images
WebSocket
サーバ
WebSocket
サーバ
ログ
ストレージ
© F5 Networks, Inc
●
●
●
通信ログも取れる
WebSocketサーバを
ため一括集中管理
シンプルにスケールアウト
が可能
15
ステップ II
 ユーザ/端末検疫
 VDI認証ゲートウェイ
 クラウド認証連携
ステップ II
認証基盤検討のポイント〜クラウド認証への対応
よくある議論のポイント
・クラウド認証はパスワード漏洩・アカウント乗っ取りの危険性がある
・クラウド認証は社内認証と同じレベルの強固な認証が必要
・クラウド認証はシームレスなログインをさせたい
忘れがちな検討のポイント
✔ オンプレにあるアプリケーションへの認証、置きざりになってませんか？
✔ マルチクラウドで利用するときの認証、考慮されてますか？
© F5 Networks, Inc
17
ステップ II
F5のソリューション for クラウド認証連携
• ハイブリッドクラウド認証連携ゲートウェイ
• SAML IdP（ActiveDirectoryと連携可）
• リモートデスクトップGWなどの主要VDIゲートウェイ
IaaS
• 初回ログオン時には厳格な検疫とユーザ認証を実施
④リバース
• Office365などへシングルサインオン
プロキシ＆SSO
• SAML SP（WebアプリケーションのSSO対応）
①ユーザ認証、端末認証
SAML SP
④SAML認証連携
SAML IdP
③VDI
SaaS
ゲートウェイ
②AD連携
RD Session
Host
④SAML認証連携
④リバース
社内システム
プロキシ
＆SSO
Private Cloud
© F5 Networks, Inc
Active
Directory
アカウント連携
Azure
Active
Directory
18
ステップ II
F5のソリューション for クラウド認証連携
IaaS
リモートデスクトップゲート
ウェイについて具体的に
④リバース
プロキシ＆SSO
①ユーザ認証、端末認証
SAML SP
④SAML認証連携
SAML IdP
③VDI
SaaS
ゲートウェイ
②AD連携
RD Session
Host
④SAML認証連携
④リバース
社内システム
プロキシ
＆SSO
Private Cloud
© F5 Networks, Inc
Active
Directory
アカウント連携
Azure
Active
Directory
19
ステップ II
VDIをシンプルに
ユーザポータルでユーザ
属性に合わせたアプリ
ケーションランチャ
ICAプロキシ
VDI
VDI
VDI
VDI
Hypervisor
C社
Virtual desktops
VDI
VDI
VDI
VDI
Hypervisor
RDSHゲートウェイ
Virtual desktops
VDI
PCoIPプロキシ
V社
VDI
VDI
VDI
Hypervisor
認証
server
いつ、誰が、どこから、ア
クセスしてきたのかが詳
細にわかるレポート
© F5 Networks, Inc
Virtual desktops
20
ステップ II
F5のソリューション for クラウド認証連携
Office365へのSAML連携による
シングル・サインオンについて
IaaS
具体的に
④リバース
プロキシ＆SSO
①ユーザ認証、端末認証
SAML SP
④SAML認証連携
SAML IdP
③VDI
SaaS
ゲートウェイ
②AD連携
RD Session
Host
④SAML認証連携
④リバース
社内システム
プロキシ
＆SSO
Private Cloud
© F5 Networks, Inc
Active
Directory
アカウント連携
Azure
Active
Directory
21
ステップ II
SAMLによるエンタープライズSaaSへの認証連携
アカウント連携（パスワード情報不要）
①’ AD認証
②Office365選択
④シングルサインオン
③SAMLアサーション発行＆
リダイレクト
①ユーザ認証＆デバイス認証
既存のADで認証している
から、クラウド上にパス
ワードが不要
多要素認証・デバイス認
証もできるから、セキュリ
ティレベルを維持
© F5 Networks, Inc
22
ステップ III
 ネットワーク仮想化
 プライベートクラウド
 クラウド接続
ステップ III
F5のソリューション for ハイブリッドクラウド
• SCVMMプロバイダ＆NVGREゲートウェイ
• Hyper-V仮想化基盤上へのF5のプロビジョニングをSCVMMから管理
• IPSec VPNでAzure接続
• Dynamic Routingも対応（New!）
③アプリケーションアクセス
③アプリケーションアクセス
NATIVE
④NVGRE変換
NVGRE
NVGRE
SCVMM
①プロビジョニング
②VPN接続
Server
Database
Private Cloud
© F5 Networks, Inc
24
ステップ III
F5のソリューション for ハイブリッドクラウド
SCVMMからのプロビジョニ
ングについて具体的に
③アプリケーションアクセス
③アプリケーションアクセス
NATIVE
④NVGRE変換
NVGRE
NVGRE
SCVMM
①プロビジョニング
②VPN接続
Server
Database
Private Cloud
© F5 Networks, Inc
25
ステップ III
F5 SCVMMプラグイン
• Hyper-V Networking GatewayとしてF5 BIG-IPを動作させるためのプラグイン
（PowerShell Module）
• SCVMMからの以下オペレーションなどに対応
• NVGREトンネル（作成、更新、削除）
VMのライブマイグレー
ションに対応できる
• Static ARPエントリ（作成、更新、削除）
• FDBレコード（作成、更新、削除）
NVGREゲートウェイ
としても利用可能
WAP
VLAN
Hyper-V
テナントNW
NVGRE
Rest API
Rest API
BIG-IP Platform
BIG-IQ
Cloud
© F5 Networks, Inc
マルチテナントネット
ワーク仮想化に対応
NVGRE トンネル
エンドポイント
NVGRE ゲートウェイ
SCVMM
F5 SCVMM
PLUGIN
Internet
NVGRE
Server
26
ステップ III
F5のソリューション for ハイブリッドクラウド
③アプリケーションアクセス
IPSEC VPNについて具体的に
③アプリケーションアクセス
NATIVE
④NVGRE変換
NVGRE
NVGRE
SCVMM
①プロビジョニング
②VPN接続
Server
Database
Private Cloud
© F5 Networks, Inc
27
ステップ III
VPN装置としてのAzure認定と、F5の設定テンプレート
ダイナミックルーティング
近日サポート予定
CLIでコマンドを入れなく
ても、簡単に設定完了で
きるテンプレートも用意
Azure
認定VPNゲートウェイ
© F5 Networks, Inc
28
まとめ：今日お話ししたF5のソリューション
 ユーザ/端末検疫
 VDI認証ゲートウェイ
 クラウド認証連携
 サイバー攻撃対策
 SSLセキュリテイ強化
 アプリケーションパフォーマンス
© F5 Networks, Inc
ハイブリッド
クラウド認証GW
 ネットワーク仮想化
 プライベートクラウド
 クラウド接続
F5ソリューション
F5 in Azure
ステップ I
ステップ II
ステップ III
Azureファーストではじめる
一歩進んだハイブリッドクラウドへのステップ

F5をオンプレミスDCに配置



F5をオンプレミスDCに配置




多要素認証、エンドポイントチェック（APM）
マルチVDIゲートウェイ（APM）
SAML IdP, SaaS認証連携（APM）
F5をAzureやIaaSに配置


SCVMM連携、NVGREゲートウェイ（LTM＋SDN, BIG-IQ）
AzureとのIPSec VPN接続（LTM）
SAML SP（APM）
F5をAzureに配置



ウェブアプリケーションファイアウォール（ASM）
SSL強化（LTM）
HTTP/2、WebSocket対応（LTM）
29

Download Report