グローバル金融機関向けのF5 DDoSリファレンス

グローバル金融機関向けのF5 DDoSリファレンス アーキテクチャ
Manabu Kondo, 2015-04-11
今回投稿したブログは、F5ネットワークスのテクノロジー・エバンジェリストであるDavid Holmesのブログ投稿「The F5 DDoS Reference
Architecture - Global FSI Edition」を元に、日本向けに再構成したものです。以下は、David Holmesの個人的体験談に基づいて
います。
皆さんは、ジョージ・クルーニー主演の「マイレージ、マイライフ(原題:Up in the Air)」という映画を観たことがあるでしょうか。1000万マ
イル(航空会社のマイレージ、しかも国内線だけで)達成を人生の目標にしていた男の物語です。この映画の中で主人公が「年間35
万マイルも飛んでいるんだ」と語っていたことを思い出します。月までの距離が約20万マイルですから、彼はそこからさらに15万マイルも
彼方へ、年間で移動していたことになります。私(David Holmes)はこの映画が大好きです。なぜなら私も同じような状況に置かれて
おり、実は私もこの2年余りの間に、30万マイル近くを空の上で過ごしてきました。
空の上で書き上げた2段構成のアーキテクチャ
私の旅のほとんどは、著名なグローバル金融機関への訪問であり、用件はDDoS攻撃に対する彼らのチャレンジに関するものです。
この取り組みがもたらした大きな成果のひとつが「F5 DDoSリファレンス アーキテクチャ(F5 DDoS Reference Architecture)」です。この
アーキテクチャは、ボリュメトリック型と非対称形の両方のDDoS攻撃を防御するために最適化された、分割型のネットワーク アーキテク
チャです。すでにこのアーキテクチャを実現している金融機関もあれば、構築中の金融機関、あるいは早急に構築したいと希望してい
る金融機関もあります。
私はこのアーキテクチャに関するドキュメントを、すべて飛行機の中で書き上げ、新しい「F5 reference architecture site」に掲載しま
した。飛行機の中では、美人アテンダントに時折気を散らされる以外は、集中して物書きができるからです。
このアーキテクチャの本質として、DDoS攻撃に対する防御機能を2段構成にしている点が挙げられます。
第1段:ネットワーク防御
第1段の防御は、ネットワーク ファイアウォールの近くに実装します。この防御機能は、SYNフラッドやICMPフラッドといった攻撃を緩和
するよう設計されている他、アクセス回線の帯域使用率が80~90%になる程度のボリュメトリック攻撃にも対応します。多くの金融機
関は独自のIPレピュテーション データベース(パケットを送ってきたソースIPアドレスが信用できるか否かを識別するためのデータベース)を
構築しており、DDoS攻撃を受けた際にはその情報に基づいて、ソースIPアドレスからのパケットを制御します。
このリファレンス アーキテクチャは、ネットワーク ファイアウォールがF5製品か否かを問わない内容になっています。しかしあえて言わせて
いただければ、F5製品ほどDDoS攻撃防御を強く意識したファイアウォールは、他に存在しません。
第2段:アプリケーション防御
第2段は、CPU負荷の大きい防御メカニズムであり、アプリケーションを意識した上で展開すべきと、F5が提唱しているものです。この
種のメカニズムとしては、ログイン ウォールやWebアプリケーション ファイアウォール ポリシー、F5 iRulesを活用したダイナミック セキュリティ
コンテキストがあります。またSSLの終端も、この第2段に含まれます。第2段において、特定機能に特化した専用のIDS/IPSデバイス
を採用した場合には、かなりのラックスペースが専有される可能性があります。
どこでSSLを終端させるべきか
を採用した場合には、かなりのラックスペースが専有される可能性があります。
どこでSSLを終端させるべきか
このリファレンス アーキテクチャを発表した後、「第2段ではなく第1段でSSLを終端させることは可能だろうか」という質問を複数の方々
からいただきました。答えは「Yes」であり、私たちのお客様の中にもそのようなケースは存在します。しかしこれらのお客様はグローバル
な金融機関ではありません。グローバルな金融機関はできる限り、彼らの暗号鍵を最前線のファイアウォールの後ろに隠そうとしていま
す。彼らの資産はインターネットの中で最も高い価値を持つ攻撃ターゲットであり、SSLの暗号鍵はその最たるものだと言えるからです。
このアーキテクチャに関する詳細は「F5 Synthesis reference architecture site」で解説しています。またこのサイトにはDDoS攻撃
防御だけではなく、クラウド化やLTEローミング、サービス プロバイダー向けセキュリティなどの解説も掲載されています。
このリファレンス アーキテクチャに対する反応はポジティブなものでした。お客様はぜひとも、技術的な詳細を知りたいと言ってくださった
のです。飛行機の中での執筆作業は、ジョージ・クルーニーが過ごした時間よりも、間違いなく意義のあるものでした。ところで今ふと思
い出したのですが、ジョージ・クルーニー主演映画の中で私が一番気に入っているのは「ラスト・ターゲット(原題:The American)」で
す。ぜひご覧になってください。このDDoSリファレンス アーキテクチャを読み終える間に、ネットからストリーミングできるはずですから。
F5 Networks, Inc. | 401 Elliot Avenue West, Seattle, WA 98119 | 888-882-4447 | f5.com
F5 Networks, Inc.
Corporate Headquarters
[email protected]
F5 Networks
Asia-Pacific
[email protected]
F5 Networks Ltd.
Europe/Middle-East/Africa
[email protected]
F5 Networks
Japan K.K.
[email protected]
©2016 F5 Networks, Inc. All rights reserved. F5, F5 Networks, and the F5 logo are trademarks of F5 Networks, Inc. in the U.S. and in certain other countries. Other F5
trademarks are identified at f5.com. Any other products, services, or company names referenced herein may be trademarks of their respective owners with no
endorsement or affiliation, express or implied, claimed by F5. CS04-00015 0113