F5 Security for Service Providers リファレンス・アーキテクチャ デリバリ・アーキテクチャと運用を簡素化し、サービスの可用性と信頼性を高め、 アプリケーション認識と制御を提供して、CSPネットワークを最適化、安全化、 収益化します。 ホワイトペーパー ホワイトペーパー F5 Security for Service Providersリファレンス・アーキテクチャ 目次 はじめに 3 課題 3 ソリューション 5 このソリューションが機能する理由 6 重要な機能とメリット 7 ビジネスメリット 8 まとめ 9 2 ホワイトペーパー F5 Security for Service Providersリファレンス・アーキテクチャ はじめに 通信事業者(CSP)は、顧客が信頼できる接続を使用して正常に電話をかけ、スマートフォ ンアプリを使用し、競争力を高める差別化されたサービスを提供し、比較的平坦な収益ス トリームを大幅に増加できるようにする必要があります。このため、通信事業者は複雑さ やコストを増加させずに優れたネットワーク品質を保証する必要があります。セキュリティ の脅威はネットワーク品質とカスタマ・エクスペリエンスに直接有害な影響をもたらすため、 セキュリティは最優先事項であり、CSP は常に増加する脅威からの防御を行う必要があり ます。 一方、通信事業者は爆発的なデータ量の増加に取り組みながら、競合他社と業界からの圧 力により、時間がかかり高額な 4G LTE 向けのアップグレードに着手せざるを得なくなってい ます。この移行は、セキュリティの脅威の状況を劇的に変化させています。さらに、IPv6 へ の移行とネットワーク機能仮想化(NFV)技術も目前に迫っているか、すでに進行中です。 その結果、ネットワークの予測可能性、信頼性、可用性を維持するため、CSP には多角的な サポートが必要です。 F5 は一連のダイナミックで多層的なセキュリティ・ソリューションを提供して、サービス・デ リバリ・アーキテクチャ全体でこのような CSP のニーズを満たします。このソリューションの 広がりは CSP インフラストラクチャ全体の保護に必要であり、従来のファイアウォールや専 用製品には提供できません。F5 のセキュリティ・ソリューションは、コストを削減しながら、 デリバリ・アーキテクチャと運用を簡素化し、サービスの可用性と信頼性を高め、アプリケー ション認識と制御を提供して、ネットワークを最適化、安全化、収益化できるように CSP を 支援します。 課題 通信事業者のセキュリティの状況は、4G LTE への移行でサービス・デリバリ・アーキテクチャ がよりフラット、よりオープンで、すべて IP ベースになったことから劇的に変化しています。 その結果、通信事業者は契約者やサービス・インフラストラクチャに対して、ますます複雑、 多角的で、混合した大規模な攻撃に直面しています。DoS 攻撃、ボットネット、個人情報の 盗難、感染したシステムなど悪意のある動作は、シグナリングストームや間違った構成のシ ステムなど、意図しないセキュリティ関連の問題同様、ネットワークに影響を及ぼさないよ うにする必要があります。 同時に、業績を強化するために 4G LTE サービスを導入し、インフラストラクチャ全体を制 約し続ける爆発的なトラフィックを安全に管理するために多額の費用が生じるということだ けでも、CSP はコストを削減し、ネットワークの運用効率を改善する必要があります。最後 に、新しい 4G LTE アーキテクチャでは、ポリシー管理、DNS アドレッシング、IMS サービ 3 ホワイトペーパー F5 Security for Service Providersリファレンス・アーキテクチャ スなどの戦略的なネットワーク要素は、新しいシグナリング・インフラストラクチャに依存 しており、これも保護する必要があります。 この環境で、通信事業者は次のようなセキュリティの課題に直面します。 • DoS 攻撃や分散サービス拒否(DDoS)攻撃、IP ポートスイープ、シグナリングストー ムなどのサービスの可用性に対する脅威 • 個人情報や銀行預金の情報、企業の資産やパスワードなどのさまざまなデータの盗難 • パフォーマンスを低下させたり、サービスを妨げるデバイス側とサービス側のマル ウェア • アクセス制御が十分でない場合に、ネットワークとデータセンタの資産を侵害する 標的型攻撃(APT) • OWASP Top10 などの Web アプリケーション攻撃 従来のネットワーク・ファイアウォールでは必要な拡張性、柔軟性、インテリジェンスを提 供できず、管理も容易ではありません。ますます高度化し増加する攻撃に対して、効果的 なセキュリティを提供するには、CSP に応答性が必要です。さらに、脅威の起源はインター マルウェア、その他のソースからの攻撃は、 ネットばかりではありません。DDoS ボットネット、 モバイルデバイスからも行われるようになっています。脅威が双方向になっていることから、 セキュリティ・ソリューションもネットワーク・インフラストラクチャに双方向の保護を提供 できる必要があります。 その他従来の方式の保護は、DDoS アプライアンス、DNS アプライアンス、Web アプリケー ション・ファイアウォール、ロードバランサなど、多数の個別製品を寄せ集めたものです。 このようなアプローチはアーキテクチャの複雑さと遅延を増加させ、ネットワークに障害点 を追加します。さらに、運用上の観点から、異なったシステムとテクノロジで複数のセキュ リティベンダの製品を管理、サポートすることは極めて難しく、リソースを大量に消費します。 さらに悪いことに、専用製品を寄せ集めると、さまざまな攻撃ベクトルからの情報を統合 したり、統一された防御を提供することができなくなります。ネットワークに未解決のセキュ リティの問題があると、サービス呼び出しが増加し、顧客満足度が低下し、サービスを乗 り換える顧客が増加するため、攻撃に関する包括的なインテリジェンスは非常に重要です。 4 ホワイトペーパー F5 Security for Service Providersリファレンス・アーキテクチャ ソリューション 適切なセキュリティを提供するには多層的なソリューションによるアプローチが必要です。 CSP はネットワーク全体、ネットワークユーザのデバイス、データセンタ内に広範囲にわた るセキュリティを実装するサービス・デリバリ・アーキテクチャを設計する必要があります。 ネットワーク内でソリューションはデータプレーンとコントロールプレーンの両方で保護を 提供する必要があります。データプレーンではモバイルパケットのコア・インフラストラクチャ を保護し、コントロールプレーンではメッセージング・インフラストラクチャとシグナリング・ インフラストラクチャを保護します。データセンタでソリューションはデータ・インフラスト ラクチャとホストされたアプリケーションの両方にアプリケーションレベルの保護を提供す る必要があります。 F5 は一連のダイナミックで多層的なセキュリティ・ソリューションを提供して、サービスプ ロバイダがインフラストラクチャ全体を保護し、最も要求の高い条件下でインテリジェンス と柔軟性を実現するための拡張を支援します。限られたセキュリティの問題のみを解決する 競合専用製品とは異なり、F5 のセキュリティ・ソリューションは、統合プラットフォームと 非常に優れた機能によって、CSP インフラストラクチャ全体で脅威に対処できます。結果と して、これらのソリューションはサービスプロバイダによるネットワークの安全化、最適化、 収益化をサポートします。 REFERENCE ARCHITECTURE: Security for Service Providers CONTENT TYPE: Solution Diagram AUDIENCE: Solution Provider DDoS 対策 DNS セキュリティ S/Gi ファイア ウォール データ・ センタ・ ファイア ウォール アプリケー ション・ ファイア ウォール Diameter Security 顧客のシナリオ アプリケーション/ 企業のデータセンタ モバイルユーザ 一元管理 App App App サービスプロバイダ向けの セキュリティ 主要機能 固定ユーザ フル プロキシ 大規模な 拡張性 30を超える DDoS ベクトル アプリケー ションの 可視化 統合 プラット フォーム ダイナミック で柔軟 NFV対応 インターネット/クラウド プロフェッショナル・サービスとサポート F5 Security for Service Providers ソリューション F5 プラットフォームは認定済みのファイアウォール・ソリューションで、ネットワーク・アー キテクチャを簡素化し、新しい脅威への迅速な対応により高い柔軟性を提供し、キャリア グレードのパフォーマンスと信頼性を実現します。これらのユニバーサル・プラットフォー ム機能は F5 ソリューション全体で実装され、CSP のコア・インフラストラクチャでのさまざ まな機能の実現を意図しています。 • パケット・コア(S/Gi)・ネットワーク・アーキテクチャ 5 ホワイトペーパー F5 Security for Service Providersリファレンス・アーキテクチャ • メッセージング・プロトコルとシグナリング・プロトコルのセキュリティ • インターネット・データ・センタのセキュリティ ソリューションは、単一のサービス・デリバリ・アーキテクチャに適合し、契約者に最も高い セキュリティポスチャと最適な操作性を実現します。 F5 はこのアーキテクチャに単一のセキュリティ製品は提供していません。代わりに、ソリュー ションは F5 セキュリティ・ポートフォリオ内のインテリジェントでスケーラブルなコンポー ネントを組み合わせて提供されています。統合プラットフォームは F5® BIG-IP ® Advanced Firewall Manager ™ (AFM)、BIG-IP Application Security Manager ™ (ASM)、BIG-IP Global Traffic Manager ™ (GTM)、BIG-IP Local Traffic Manager ™ (LTM)、F5 Traffix ™ Signaling Delivery Controller ™ (SDC) で構成されています。 • BIG-IP AFM は高パフォーマンス、ステートフル、フルプロキシ・ネットワーク・ファ イアウォールで、SYN フラッドのようなネットワーク層 DDoS 攻撃や SSL フラッドの ようなセッション層攻撃から保護します。 • BIG-IP ASM は高度な Web アプリケーション・ファイアウォールで、F5 の優れたア プリケーションとの対話能力を使用して、HTTP ベースの攻撃を検出して緩和します。 • BIG-IP GTM は、スケーラブルな DNS および DNSSEC ソリューションで、DNS イン フラストラクチャ上の DNS ベースのネットワークとセッションへの攻撃を緩和します。 • BIG-IP LTM は、アプリケーション・デリバリ・ソリューションで、コンテンツベース のインテリジェントなトラフィック管理を追加します。 • Traffix SDC は Diameter ルーティング・ソリューションで、サードパーティ・パートナ からトポロジハイディングとシグナリングストームからの保護を提供します。 このソリューションが機能する理由 F5 セキュリティ・ソリューションは、サービス・アーキテクチャ全体に拡張された重要な機 能を提供します。それは、拡張性、柔軟性、アプリケーションの可視性、管理容易性、パフォー マンスです。その結果、CSP はサービス・デリバリ・アーキテクチャのさまざまな部分で、異なっ たベンダによる複数の専用製品のサポートを回避できます。これにより、コストやマルチベ ンダ環境の複雑さなしで、幅広いセキュリティが実現できます。 むしろ、統合プラットフォームからダイナミックで多層的なセキュリティ機能を提供すること で、F5 ソリューションは CSP アーキテクチャと運用を簡素化し、サービスの可用性と信頼 性を高め、アプリケーションの認識を提供して、資本コストと運用コストを削減します。結 果として、顧客満足度を直接改善できる優れたネットワーク品質が得られます。 6 ホワイトペーパー F5 Security for Service Providersリファレンス・アーキテクチャ 重要な機能とメリット F5 セキュリティ・ソリューションは、サービス・デリバリ・アーキテクチャ全体で CSP のニー ズを満たす多数の重要な機能を提供しています。これらの機能は統合プラットフォームに特 有で、メリットを幅広く実現できます • フルプロキシ・アーキテクチャ:このアーキテクチャにより、F5 製品はセッションを 終了、検査、転送して、最高度の可視化と制御を実現します。 • 拡張とパフォーマンス:単一の F5 プラットフォームを拡張して、最大 5 億 7600 万の 同時接続、640 Gbps のスループット、1 秒当たり 800 万の接続を処理して、最大級 規模の攻撃を緩和できます。 • 統合プラットフォーム:F5 プラットフォームは、複数のセキュリティ・ソリューション を共通のシステムアーキテクチャでソフトウェア対応のサービスとして提供し、運用 を簡素化して総所有コストを削減します。 • 柔軟性とプログラマビリティ:F5 プラットフォームは、F5 iRules ® スクリプト言語で カスタマイズされたセキュリティポリシーの柔軟性を提供しています。F5 iControl ® と F5 iCall ™ API によって自動化されたプログラマビリティとオーケストレーショ ンの統合も提供しています。ユーザのカスタマイズが可能なフレームワークで、F5 iApps® Templates によるネットワーク全体でのセキュリティ導入を簡素化、高速化し ます。 • ハードウェアとソフトウェアの仮想アプライアンス:F5 プラットフォームは専用の高 パフォーマンス・ハードウェアとソフトウェア対応の仮想アプライアンスでサポート されており、NFV 対応で運用は極めて柔軟です。 • 可用性と信頼性:システムはハードウェアの冗長性、同期、状態の監視、自動フェイ ルオーバー / フェイルバック機能による高可用性と信頼性を提供します。 • 管理容易性:高度な管理スイートにより、CSP はファイアウォール・ポリシーを集中 管理したり、セキュリティポリシーを特定のアプリケーションの周囲に論理的に適合 させたり、ポリシーの有効性をすべてのデバイス全体で監視したり、ポリシー変更 を監査できます。 • DDoS 認識とすべてのレイヤの保護:BIG-IP AFM は DDoS を認識し、自動的にフラッ ドを防止して、ハードウェア展開で多数のレイヤ 2 からレイヤ 4 の攻撃をライン速度 で処理します。F5 DDoS ソリューションは、ネットワーク層、セッション層、アプリケー ション層でセキュリティを提供します。 7 ホワイトペーパー F5 Security for Service Providersリファレンス・アーキテクチャ ビジネス上のメリット F5 セキュリティ・ソリューションは、CSP に多数のメリットを提供します。 • アーキテクチャと運用の簡素化:F5 統合プラットフォームはデータネットワークとシグナリング・ ネットワーク、データセンタの幅広いセキュリティ・ソリューションで構成され、サービスプロ バイダはより少ない専用製品とベンダを使用することで、セキュリティ・アーキテクチャを簡 素化できます。ソリューション・プラットフォームの包括的な性質により、スペアリングの減少、 トレーニングとトラブルシューティングの減少、デリバリ・インフラストラクチャ全体での一元 化されたセキュリティポリシー制御も可能になります。 • パフォーマンスの強化:F5 製品はセキュリティ機能を統合された大容量のプラットフォームに 統合して、ネットワークホップと遅延の数を削減し、ハードウェアで加速したセキュリティ・パ フォーマンスを提供します。 • 極めて高い拡張性で大規模な攻撃から保護: F5 セキュリティ・ソリューションはサービスプロ バイダに拡張性の高いプラットフォームを提供し、優れたスループット、1 秒当たりの接続、同 時セッションを提供して、大量のトラフィックが存在する環境を大規模な攻撃から保護します。 • サービス・エクスペリエンスの改善: F5 ソリューションによって、サービスプロバイダはユーザ ごと(IP アドレスごとではなく)のポリシーを導入して、攻撃と脅威から保護し、より優れたサー ビスの可用性と信頼性を実現できます。その結果、サービスプロバイダは契約者の信頼を維 持し、契約者に対するサービス品質、契約者のデータを保護し、セキュリティ攻撃による評判 の低下を防止できます。 • コストの削減:F5 プラットフォームはセキュリティ機能を統合フレームワークに統合して、設 備投資と運用コストを削減できます。さらに、F5 プラットフォームの高い拡張性と容量により、 全般的なデバイス管理時間が短縮され、フットプリントコストと電力コストが削減されるため、 総所有コストが低くなります。 • 運用上の柔軟性の増加:サービスプロバイダは、シグネチャの更新や新しいソフトウェアの アップグレードなしで、iRules スクリプト言語でゼロデイ攻撃やその他の脅威に対応できます。 iRules によって、F5 ソリューションはポリシー更新や外部監視用のオーケストレーション・シ ステムとの通信や対話が可能である一方、iControl API ではログシステムとレポートシステム とのスムーズなインターフェイスが提供されます。 • ハードウェアまたは仮想アプライアンスの選択:F5 セキュリティサービスは専用ハードウェ ア、つまりさまざまなアプライアンスから、またソフトウェアベースの仮想アプライアンス からシャーシベースのシステムに提供できます。この組み合わせにより、システムのニーズ や予算に適した、成長に合わせた支払いという柔軟性が提 供されます。F5 ではアプライ アンスとシャーシブレードでのリソース共有のため、マルチテナントの Virtual Clustered Multiprocessing ™ (vCMP®) も提供しています。 8 ホワイトペーパー F5 Security for Service Providersリファレンス・アーキテクチャ REFERENCE ARCHITECTURE: Security for Service Providers CONTENT TYPE: Architecture Diagram AUDIENCE: Service Providers CUSTOMER SCENARIO: S/Gi Firewall, DNS Security, Diameter Security, Network Functions Virtualization アクセスしたPLMN DNSサービス P-PCRF ローカル DNS 権威 DNS ポリシー管理と契約者管理 HSS MME OCS PCRF IMS制御とIMS以外の制御 AAA/HSS SBC/SPG X CSCF インフラストラクチャ DNS ボットネット デバイス ボットネット GGSN/ PGW/ASNgw PE IGR インターネット 攻撃者 データセンタ 攻撃者 アクセス ノード BRAS/ BNG/CMTS PE VASサービス アプリケーション IT コントロールの戦略的ポイント F5 Security for Service Providers アーキテクチャ まとめ サービスプロバイダ向けの F5 セキュリティは、ダイナミックで多層的なセキュリティ・アーキテクチャ を提供し、爆発的なデータの増加、平坦な収益ストリーム、4G LTE アップグレード、急速に移行す る基準とテクノロジだけでなく、拡大するセキュリティの脅威にも取り組んでいます。この難しい環 境で、差別化された優れたカスタマ・エクスペリエンスを提供するため、CSP は予測可能で信頼性と 可用性が高く、複雑でも高額でもない高品質のネットワークを運用する必要があります。サービスプ ロバイダ向けの F5 のスイートはインフラストラクチャ全体を保護し、最も要求の高い条件下でイン テリジェンスと柔軟性を実現するための拡張を支援します。 限られたセキュリティの問題のみを解決する競合製品とは異なり、F5 のセキュリティ・ソリューショ ンは、統合された拡張可能なプラットフォームによって、CSP インフラストラクチャ全体で脅威に対 処できます。F5 セキュリティ・ソリューションはサービス・アーキテクチャ全体で拡張性、柔軟性、 アプリケーションの可用性、管理容易性、パフォーマンスを強化する重要な機能も提供します。その 結果、CSP は専用ソリューションに構築されたマルチベンダ環境という複雑さやコストなしで、サー ビス・デリバリ・アーキテクチャを簡素化し、幅広いセキュリティを提供できます。 東京本社 〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19 階 TEL 03-5114-3210 FAX 03-5114-3201 西日本支社 〒530-0012 大阪府大阪市北区芝田 1-1-4 阪急ターミナルビル 16 階 TEL 06-7222-3731 FAX 06-7222-3838 www.f5networks.co.jp © 2013 F5 Networks, Inc. All rights reserved. F5、F5 Networks 、F5 のロゴは、米国および他の国における F5 Networks, Inc. の商標または登録商標です。本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。これらの仕様はすべて予告なく変更さ れる場合があります。本発行物の記載内容に誤りがあった場合、あるいは記載内容を更新する義務が生じた場合も、F5 ネットワークスは一切責任を負いません。F5 ネットワークスは、本発行物を予告なく変更、修正、転載または改訂する権利を有します。 WP-CSP-10895-security-for-service-provider 1013
© Copyright 2024 Paperzz