A10、SAP共同プロジェクト Thunder ADCとSAP HANAによる ネットワーク監視ソリューションを検証 アプリケーションサーバーへの攻撃に対するADCの有用性を証明 概要 いまやインターネット経由で社外からビジネスアプリケーション にアクセスできる環境は、企業にとって必須の環境です。 それだけ にネットワークの脅威にさらされるリスクが伴います。 そのような中 で、企業や組織のネットワークに流れ込んでくるパケットの細部ま で知ることは必ずしもできていませんでした。 そこで、A10ネットワークスとSAPジャパンは、SAP Co-Innovation Lab Tokyo(以下、 COIL Tokyo)において、 次世代アプリケーションデ リバリーコントローラー(ADC)のThunder™ 3030S ADC、 インメモ リープラットフォームのSAP HANA等を用いて、 インターネット経由 でアプリケーションサーバーにアクセスする通信をリアルタイムに 捕捉し、無効なアクセスを可視化・ビジュアル化するネットワーク監 視ソリューション「Attack Finder」の検証プロジェクトを実施。 その 有効性を明らかにしました。 背景 スマートデバイスの進化がワークスタイルを変革することが認識 されるようになり、 ビジネスアプリケーションへのアクセス環境は大 きく変化してきました。基幹業務システムも社外からインターネット を通じて利用することが必然になりつつあります。一方、 ネットワー クの脅威は複雑かつ高度に進化し、 ビジネスアプリケーションが脅 威にさらされるリスクも高まっています。 図1 こうしたネットワーク環境の変化や脅威の進化に対して企業や COIL TokyoにおけるAttack Finderの検証環境 組織のセキュリティ対策は、多層防御で対処することが指向されて います。 とはいえ、様々なレイヤーにセキュリティ専用装置を導入す ることにより、ネットワーク環境が複雑化する場合もあります。ADC Internet であるThunder ADCとSAP HANA、SAP Lumiraによるネットワーク 監視ソリューションは、既存のセキュリティ専用装置を補完し、 アプ リケーションサーバーへのアクセスを監視することによって、多層 ルーター 防御の一端を担うことをねらったものです。 Thunder 3030S ADC Syslogサーバー SAPアプリケーション サーバー SAP HANA SAP Lumira SAP Infinitelnsight 検証プロジェクトで使用したThunder 3030S ADC A10、SAP共同プロジェクト 検証プロジェクトの前提条件 ●導入済みのネットワークセキュリティ機器との競合を発生させないものとする 本構成をはじめとしてSAP社製品(SAP HANA等)が実装される環境は、 データセンター機能として別途ネットワークセキュ リティ機器(ファイアウォール、DDoS対策など)が存在していると想定。 ●プロジェクトにおいて構築・実現する内容は、上記前提を考慮し以下とする ファイアウォールが実装されている環境においても、TCP/UDP上の一部プロトコル(DNS/NTP等)のようにセキュリティ要 件が緩やかになりうる通信を悪用した攻撃試行の情報を収集し、 その傾向を解析する。 本プロジェクトの検証環境 ることを目的としているため、 セキュリティ専用装置(ファイアウォー 検証にはCOIL Tokyoで稼動しているシステムにThunder 3030S し、かつそれらと競合しない環境を想定しています。 ADCを導入して実施しました(図1)。 また、検証プロジェクトにおいて構築・実現する内容は、前述のよ SAPのアプリケーションサーバー群の前段にThunder 3030S うな実環境の中でソリューションの優位性を訴求するため、 ファイ ルやDDoS対策ツール)が導入されている環境であることを前提と ADCを設置。 そして同装置のログを蓄積するサーバーから情報を SAP HANAのインメモリーデータベースに取得。 その結果をビジュ 図2 アルに視覚化するSAP Lumira、 さらにデータマイニングソフトウェ Attack Finderの動作フロー アのSAP InfiniteInsight を利用しました。 Thunder 3030S ADC 本検証プロジェクトでキーとなるコンポーネントは、Thunder 3030S ADCとSAP HANA、SAP Lumira。前者はA10の独自OSである ハブ (L2スイッチ) ケットに含まれる情報を分析して、あらかじめ設定されたポリシー (フィルタリング、 ドロップ、 リダイレクト)を適用できることを利用し ています。 また、SAP HANAの大量データをサーバーのメインメモ 3 2 ACOS(Advanced Core Operating System)のaFleX機能により、 パ Internet 4 1 リーでリアルタイムに処理するインメモリー・コンピューティング技 術により、Thunder 3030S ADCが出力するログをリアルタイムに思 考スピードで分析。SAP Lumiraにより簡単な操作でデータをビジュ ルーター VPN Endpoint アル化します。 本ソリューションは、企業や組織のネットワークにおいて多層防 御の1セグメントとしてアプリケーションサーバーへの攻撃を監視す Syslogサーバー SAPアプリケーション サーバー SAP HANA SAP BO SAP Infinitelnsight リアルタイムのパケット検知が被害を未然に防ぐ 「A10ネットワークスとの共同検証によって、Thunder ADCとSAP HANAおよびSAP Lumiraの組み合わせで、 ファイアウォールでフィルタリングした環境においても許可して いないポートへのアクセスや不明なIPアドレスからのアクセスをリアルタイムに検出し、可 視化することができました。 このAttack Finderによって、 ネットワーク攻撃による被害が顕 著になる前に未然に防ぐことも可能になるでしょう」 ■SAPジャパン株式会社 Co-Innovation Lab Tokyo ディレクター 渡邊 周二 氏 アウォールが実装されている環境においても、TCP/UDP上の一部 プロトコル(DNS/NTP等)のように、 セキュリティ要件が緩やかにな りうる通信を悪用した攻撃を試行し、情報の収集とその傾向を解析 するものとしました。 検証結果とソリューションとしての展望 本検証プロジェクトでは、ある期間において最もパケットの多い ものがグラフ化され表示。 それぞれをポイントアウトするとIPアドレ スが表示されるようにしました。 また、 そのIPアドレスから所在地を ネットワーク監視のダイアグラムとプロセス 検索し、地図上にマッピングしています (図3)。 実際のトラフィックを監視し、 パケットの検知・分析・視覚化するプ ボ環境であり、 プロジェクトに関係するところからのアクセスである ロセスを以下に説明します (図2)。 はずが、 世界各地からの非常に多くのIPアドレスが検知されました。 検知したIPアドレスおよびアクセス数を見ると、COIL Tokyoはラ (1)グローバルIPにクライアントがアクセスすると、 (2)上位ルー その結果、Attack Finderがアプリケーションサーバーのネットワー ターがグローバルIPからプライベートIPに変換(CC-VIP)し、 ( 3) ク監視ソリューションとして機能することを明らかにできました。 Thunder 3030S ADCのVIPがトラフィックを受け付け、実サーバー(ア 今回の検証プロジェクトでは、IPアドレスやアクセスしたポート番 プリケーションサーバー)へ転送する際にSource NATを行います。 号を検知するよう設定しましたが、aFlexスクリプティング機能によ (4)VIPで不正なアクセス(グローバルIPの定義されていない り様々な情報の検知・グラフ化が可能になります。 TCP/UDPポートへのアクセス)を検知した際は、ログをsyslogサー また、同一のパケットがある一定量を超えて送信されてきたと バーへ送信します (ログ処理はaFleX機能を使用)。 きに、管理者にアラート通知する機能などを実装することにより、 syslogサーバーへ送信されたパケット情報は、 インメモリーデー パケットのリアルタイム検知・分析性能を活かし、 アプリケーション タベースのSAP HANAに取り込まれ、SAP Lumiraによってビジュア サーバーへの攻撃の兆候があった段階で迅速な対応が可能になり ル化したレポートを提示します。 ます。 図3 Attack Finderによる通信の視覚化 ネットワークセンサーとしての価値を示したThunder ADC 今回のプロジェクトによって、 アプリケーションデリバリーコントローラーとして認知さ れているThunder ADCが、ネットワークにおけるセンサーとしての価値を持つことが 実証できました。しかもビジネスアプリケーションへの脅威を視覚化できるという視点 に立てば、Attack Finderが明らかにする事象をビジネスオブジェクトとして判断でき る可能性を示したと考えています。 ■A10ネットワークス株式会社 ビジネス開発本部ビジネス開発部 シニアソリューションアーキテクト 熊村 剛規 氏 A10、SAP共同プロジェクト SAP AWARD OF EXCELLENCE 2015 COILプロジェクト・アワードを受賞! 次世代アプリケーション配信コントローラー Thunder ADC SAP社のビジネスへの貢献度ならびに顧客満足度などで、極 Thunderシリーズは、最大155Gbpsの高いパフォーマンスを めて高く評価されたパートナー企業を表彰する「SAP AWARD OF 実現するアプリケーションサービスゲートウェイです。Thunderシ EXCELLENCE」。 リーズには、ハードウェアのパフォーマンスを最大限引き出す独自 2015年3月、A10ネットワークスは、SAP InfiniteInsightなどの最 OSのACOSが搭載され、 コンパクトで低消費電力な筐体でありな 新製品を活用し、 グローバル・ネットワーク上のパケット通信に関す がら高いパフォーマンスを実現します。物理アプライアンス、仮想ア る分析、予測システムをCOILプロジェクトとして推進されたことが プライアンス、ハイブリッド仮想アプライアンスといった豊富なライ 評価され、SAP戦略ソリューション部門の「COILプロジェクト・アワー ンナップが用意されており、環境や用途、ビジネス規模に合わせて ド」 を受賞しました。 最適なモデルをお選びいただけます。 また、高い拡張性により将 来の規模拡張にも柔軟に対応します。 A10 Networks / A10ネットワークス株式会社について A10 Networks(NYSE: ATEN)はアプリケーションネットワーキン グ分野におけるリーダーとして、高性能なアプリケーションネット ワーキングソリューション群を提供しています。世界中で数千社に のぼる大企業やサービスプロバイダー、大規模Webプロバイダー といったお客様のデータセンターに導入され、 アプリケーションと ネットワークを高速化し安全性を確保しています。A10 Networksは 2004年に設立されました。米国カリフォルニア州サンノゼに本拠地 を置き、世界各国の拠点からお客様をサポートしています。 A10ネットワークス株式会社はA10 Networksの日本子会社であ り、お客様の意見や要望を積極的に取り入れ、革新的なアプリケー ションネットワーキングソリューションをご提供することを使命とし ています。 詳しくはホームページをご覧ください。 www.a10networks.co.jp Facebook : http://www.facebook.com/A10networksjapan A10ネットワークス株式会社 海外拠点 〒105-0001 東京都港区虎ノ門 4-3-20 神谷町MTビル 16階 TEL : 03-5777-1995 FAX: 03-5777-1997 [email protected] www.a10networks.co.jp 北米(A10 Networks本社) 香港 ヨーロッパ 台湾 南米 韓国 中国 南アジア [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] オーストラリア/ニュージーランド Part Number: A10-SB-90005-JA-01 Apr 2015 [email protected] ©2015 A10 Networks, Inc. All rights reserved. A10 Networks、A10ロゴ、A10 Lightning、A10 Thunder、aCloud、ACOS、ACOS Policy Engine、ACOS Synergy、 Affinity、 aFleX、 aFlow、 aGalaxy、 aVCS、 AX、 aXAPI、 IDaccess、 IDsentrie、 IP-to-ID、 SoftAX、 SSL Insight、 Thunder、 Thunder TPS、 UASG、 VirtualN、 Virtual Chassisおよび vThunderは米国およびその他各国におけるA10 Networks, Inc. の商標または登録商標です。 その他上記の全ての商品およびサービスの名称はそれら各社の商標です。 その他の商標はそれぞれの所有者の資産です。A10 Networksは本書の誤りに関して責任を負いません。A10 Networksは、予告なく本書を変更、修正、譲渡、および 改訂する権利を留保します。製品の仕様や機能は、変更する場合がございますので、 ご注意ください。 お客様のビジネスを強化するA10のアプリケーション サービスゲートウェイ、Thunderの詳細は、A10ネット ワークスのWebサイトwww.a10networks.co.jpをご覧 になるか、A10の営業担当者にご連絡ください。
© Copyright 2024 Paperzz
