big-ip tmos v12.0 テクノロジーアップデート - f5 …...© f5 networks, inc 7 big-ip afm...
TRANSCRIPT
BIG-IP TMOS v12.0テクノロジーアップデート
F5ネットワークスジャパン株式会社
セールスエンジニアリング本部
プリセールスコンサルタント
伊藤 悠紀夫
© F5 Networks, Inc 2
• SSL Everywhere(LTM)
• セキュリティ(AFM/ASM)
• アプリケーションアクセス(APM)
• クラウド対応(MS Azure)
アジェンダ
SSL Everywhere
© F5 Networks, Inc 4
SSL セッション・コネクションミラーリング(正式サポート)
課題:
• ストリーミングやオンラインゲームなどは接続時間が長く、フェイルオーバー時にインパクトを受ける
• SSLオフロード環境においては、TCPレベルのミラーリングだけではフェイルオーバの際に再度SSLネゴシエーションが必要になり、アプリケーションが追従できない
• SSLコネクションがアプリケーションに直接影響ある場合、ビジネスインパクトが大きい
ソリューション: • SSLのセッション情報とあわせたコネクションミラーリング機能により、フェイルオーバー時においてもSSL通信を維持
SSL MIRRORING
Active Traffic Group Passive Traffic Group
© F5 Networks, Inc 5
課題:
BIG-IP Virtual EditionにおけるSSLパフォーマンス
解決策:
SSLの処理をBIG-IPハードウェアにオフロードすることで、全体のパフォーマンスを向上
*SSL Crypto Offload用の別ライセンスが必要
MultipleBIG-IP Virtual Editions
User
Applications
SSL Traffic Onlyfor Offload
SSL Acceleration+ SSL Crypto Offload
BIG-IP Hardware Platform
SSL Crypto Offload
High PerformanceHigh Capacity SSL
All Application ServicesExcept SSL
SSL External Crypto Offload (正式サポート開始)
セキュリティ
© F5 Networks, Inc 7
BIG-IP AFM Version 12.0 ハイライト
• DDoSプロテクション機能の強化 動的IPブラックリストの作成 (AFM Sweep/Floodとの連携)
HWベースのDoSベクタが100種類に
H/WアクセラレータによるDDoS保護対象の拡大
DoS Profile,レポート画面を改良
• F/W機能強化 ルールアドレスにFQDNが指定可能
ルール数が多い場合のパフォーマンスを改善
ポートミスユースポリシー(Early Access)F/Wルール以外のポートやプロトコルを利用したアクセスがあった場合、ログ出力やDropを行う
© F5 Networks, Inc 8
• ソースIP単位のセキュリティ対策を行いたい場合
• iRuleを用いてIP単位のレートリミットを掛けていた場合、AFM Sweep機能を用いて、マイグレーションが可能。BIG-IPのCPU負荷率を軽減
• IPアドレスでは無く、FQDN単位でF/Wルールを記載したい場合O365環境など
AFM 12.0 が必要とされるユースケース
© F5 Networks, Inc 9
BIG-IP ASM Version 12.0 ハイライト
• ボット対策の強化 プロアクティブボット防御機能の改良
(JavaScriptによるブラウザ判定)
CAPTCHAチャレンジでユーザが人間であることを識別
ボットシグネチャによる検知
• 運用操作性の向上 手動/自動学習機能を1つの画面に統合
学習内容状況やポリシー作成可否を分かりやすく表示
• ログインフォームの自動検知 Web Application内のログインフォームを自動学習し、ブルートフォース対策を指定可能
ASM Website
Application
Security
Web Bot
User
アプリケーションアクセス
© F5 Networks, Inc 11
BIG-IP APM Version 12.0 ハイライト
• SAML機能拡充 SAML ECP(Enhanced Client or proxy profile)に対応ブラウザ以外のリッチクライアント(outlook等)からSAML認証可能
SAML multivalued attribute サポート複数DB値が必要なアプリケーション(Web-EX等)もSAML認証可能
• MDM製品との連携 VMware Airwatch, IBM MaaS 360等のMDM製品と連携したVPNアクセスが可能
• VDI関連のUpdate
Citrix StoreFrontプロトコルをサポート
VMware Horizon View v6に対応
VMware Horizon View利用時、スマートカード認証対応
© F5 Networks, Inc 12
Webtop画面のグルーピングが可能Webtopに表示するアイコンのグループ化を行い、表示順番を指定することが可能
V11まではアプリケーションリンクやネットワークアクセス等、リソースの種類によって、表示グループを分類
V12からは、複数のリソースをグルーピング可能表示順番の変更も可能となった
クラウド対応
© F5 Networks, Inc 14
F5 クラウド環境に対するアップデート
• Microsoft Azureに対応(10月予定)
MS Azure環境へADCサービス(L7負荷分散、セキュリティ機能)を提供
• Amazon AWS AutoScaleに対応 (11月予定)
ADCサービスの動的スケールを実現
• vCMPへより柔軟にリソース割当 vCMPゲスト単位にSSLやRate Limitが可能
© F5 Networks, Inc 15
SQL Backend
Active Directory
End Users
Internet
ACTIVEBIG-IP
STANDBYBIG-IP
Azureユースケース: オンプレ環境と同様のセキュリティサービスを提供
Pre-authentication Traffic
Backend Data Communication
BIG-IP Local Traffic ManagerLTM
BIG-IP Access Policy ManagerAPM
BIG-IP Application Security ManagerASM
APM・端末セキュリティチェック
・認証・認可
・シングルサインオン
ASM・Web Application Firewall・L7 DDoS対策
LTM・L4-L7ロードバランサー・SSLパフォーマンス