ADCならではの解析力でアクセスと防御を向上

BIG-IP v11だからできるアプリケーションセキュリティ対策

2011年09月30日 06時00分更新

文● 大谷イビサ／TECH.ASCII.jp

BIG-IP v11の新機能として、セキュリティの強化が挙げられる。BIG-IPならではのアプリケーション解析力を活かして、多くの企業に脅威を与えているアプリケーション攻撃やDDoS攻撃などを確実に防ぐほか、柔軟なユーザー認証、DNSインフラの強化など実用的な拡張が施されている。

マルチレイヤーの防御の必要性

　現在、エンタープライズの情報システムで大きな懸念となっているのが、インターネット経由での攻撃だ。2011年前半に大きく報道された大手企業や官公庁などのサイト攻撃例を見るまでもなく、攻撃は年々熾烈になっている。既存アプリケーションやAJAXなどの弱点をボットで突く巧妙な攻撃や大量のトラフィックでシステムに負荷をかけるDDoS攻撃などは、すでに既存のファイアウォールでは防御できず、サイトの書き換えや情報漏えいなどにつながってしまう。こうした現状を見て、米国はすでにサイバー攻撃を「戦争」と見直しているのはご存じのとおりだ。

　しかし、実はBIG-IPのようなADCがあれば、こうしたマルチレイヤーのサイバー攻撃を効率的に封じ込めることができる。基本的なロードバランシングを提供するBIG-IP LTMでも、ネットワークレベルのDDoS等を軽減し、コネクションも確実に管理できる。BIG-IPのソフトウェアTMOS自体が、さまざまなセキュリティ機能を搭載しているからだ。

　さらに、Web Application Firewallモジュールである「BIG-IP Application Security Manager（以下、ASM）」を使えば、アプリケーションレベルの攻撃もきちんとブロックすることが可能になる。こうしたBIG-IPのセキュリティ機能を知らず、ロードバランサーとしてしか使わないのは、もったいないわけというわけだ。

複数のセキュリティ機器をBIG-IPやVIPRIONに統合できる

ASMのアプリケーション防御と
アクセスを制御するAPM

　ASMはSQLインジェクションやクロスサイトスクリプティングなどの典型的なWebアプリケーション攻撃やDDoS攻撃を防御するBIG-IPのモジュールだ。攻撃パターンを登録したシグネチャ、正しいトラフィックを定義したホワイトリストの両面で攻撃を検出・防御したうえ、機密情報をマスクすることで、漏えいによる被害を防ぐ。アプリケーションごとのセキュリティポリシーも用意されているほか、可視化やレポートなどの機能も充実している。

　最新のBIG-IP ASM v11では、JSONというAJAXにおけるデータ交換フォーマットを悪用した攻撃に対応した。攻撃と判断されるデータがJSONのペイロードに含まれる場合、ブロックメッセージと解決用のIDを表示することができる。アプリケーションを解するBIG-IPならではの高度な芸当だ。これらASMは仮想版（VE：Virtual Edition）も用意されるので、プライベートクラウド、パブリッククラウドなどの仮想化環境にもいち早く展開することが可能になる。

　また、さまざまなユーザー認証を統合するSSO（Single Sign On）やアクセス制御、VPN等を提供する「BIG-IP Access Policy Manager（以下、APM）」でも数多くの新機能が追加された。

APMではさまざまな認証方式がサポートされている。

　SSOでの認証方式として、Active DirectoryのKerberosなどが追加され、複数ドメインをまたいだSSOも可能になった。また、どのデバイスが、誰がアクセスしているか？　どのアプリケーションがアクセスされているのか？　どこからアクセスされているのか？などのレポートが詳細にとれるようになった。さらに、外部ダイナミックACL（Access Control List）によりアクセスリストをBIG-IPに外部の認証サーバーなどから読み込み、ダイナミックにアクセスコントロールすることも可能だ。さらにTMOSに標準搭載されるIPsecによる拠点間接続を活用することで、サイト間でのVPN接続やVPNを通るアプリケーションの高速化が行なえるようになった。

安全で拡張性の高いDNSのインフラを実現

　昨今の傾向として、DNSインフラへの攻撃が一般化しているという現状がある。多くのアプリケーションがWeb化する中で、ドメイン名とIPアドレスを関連づけるDNSは、まさにインターネットのアキレス腱ともいえる重要な役割を持つ。こうしたDNSをDDoS攻撃で襲われてしまうと、多くのWebサービスは停止に追い込まれてしまう。とはいえ、DNSのプロトコル自体はUDPのシンプルなもので、即応性が必要となるため、事実上対策は難しかった。

　これに対して、BIG-IP v11のGTM（Global Traffic Manager）では、処理能力を大幅に向上させ、すべてのDNSリクエストに対して余裕で応答できる強靱なDNSインフラを実現した。具体的にはソフトウェア面でのアーキテクチャー変更とマルチコアプロセッサーに対応したCMPの活用により、1コアの1秒あたりのクエリ数を13万以上に拡張。シャーシ型のVIPRIONにおいては、なんと1秒間に最大600万クエリをさばけるようになった。また、メモリ内に権威DNSサーバーを動作させ、数千万件のレコードをキャッシュできるDNS Expressにより、応答性を高めている。さらに1つのIPアドレスへの問い合わせに対し、複数のDNSサーバーで処理を分散させるIP Anycast機能の搭載により、地理的にもっとも近いGTMでDNSを処理することが可能になった。その他、IPv4とIPv6の両方でのDNS変換も行なえる。

　●

　このようにBIG-IP v11では、JSONへの対応、ドメインをまたいだ柔軟なアクセス制御、DNSインフラの強化、など実に洗練されたセキュリティ対策を提供する。これらは、まさにアプリケーションを精査しているBIG-IPだからこそ実現できるものだ。本格的なセキュリティ対策製品として、充分導入に値することが理解できたはずだ。

■関連サイト