BIG-IP TMOS v12.0テクノロジーアップデート

F5ネットワークスジャパン株式会社

セールスエンジニアリング本部

プリセールスコンサルタント

伊藤 悠紀夫

© F5 Networks, Inc 2

• SSL Everywhere（LTM）

• セキュリティ（AFM/ASM）

• アプリケーションアクセス（APM）

• クラウド対応(MS Azure)

アジェンダ

SSL Everywhere

© F5 Networks, Inc 4

SSL セッション・コネクションミラーリング(正式サポート)

課題:

• ストリーミングやオンラインゲームなどは接続時間が長く、フェイルオーバー時にインパクトを受ける

• SSLオフロード環境においては、TCPレベルのミラーリングだけではフェイルオーバの際に再度SSLネゴシエーションが必要になり、アプリケーションが追従できない

• SSLコネクションがアプリケーションに直接影響ある場合、ビジネスインパクトが大きい

ソリューション: • SSLのセッション情報とあわせたコネクションミラーリング機能により、フェイルオーバー時においてもSSL通信を維持

SSL MIRRORING

Active Traffic Group Passive Traffic Group

© F5 Networks, Inc 5

課題:

BIG-IP Virtual EditionにおけるSSLパフォーマンス

解決策:

SSLの処理をBIG-IPハードウェアにオフロードすることで、全体のパフォーマンスを向上

*SSL Crypto Offload用の別ライセンスが必要

MultipleBIG-IP Virtual Editions

User

Applications

SSL Traffic Onlyfor Offload

SSL Acceleration+ SSL Crypto Offload

BIG-IP Hardware Platform

SSL Crypto Offload

High PerformanceHigh Capacity SSL

All Application ServicesExcept SSL

SSL External Crypto Offload (正式サポート開始)

セキュリティ

© F5 Networks, Inc 7

BIG-IP AFM Version 12.0 ハイライト

• DDoSプロテクション機能の強化 動的IPブラックリストの作成 (AFM Sweep/Floodとの連携)

HWベースのDoSベクタが100種類に

H/WアクセラレータによるDDoS保護対象の拡大

DoS Profile,レポート画面を改良

• F/W機能強化 ルールアドレスにFQDNが指定可能

ルール数が多い場合のパフォーマンスを改善

ポートミスユースポリシー(Early Access)F/Wルール以外のポートやプロトコルを利用したアクセスがあった場合、ログ出力やDropを行う

© F5 Networks, Inc 8

• ソースIP単位のセキュリティ対策を行いたい場合

• iRuleを用いてIP単位のレートリミットを掛けていた場合、AFM Sweep機能を用いて、マイグレーションが可能。BIG-IPのCPU負荷率を軽減

• IPアドレスでは無く、FQDN単位でF/Wルールを記載したい場合O365環境など

AFM 12.0 が必要とされるユースケース

© F5 Networks, Inc 9

BIG-IP ASM Version 12.0 ハイライト

• ボット対策の強化 プロアクティブボット防御機能の改良

(JavaScriptによるブラウザ判定)

CAPTCHAチャレンジでユーザが人間であることを識別

ボットシグネチャによる検知

• 運用操作性の向上 手動/自動学習機能を1つの画面に統合

学習内容状況やポリシー作成可否を分かりやすく表示

• ログインフォームの自動検知 Web Application内のログインフォームを自動学習し、ブルートフォース対策を指定可能

ASM Website

Application

Security

Web Bot

User

アプリケーションアクセス

© F5 Networks, Inc 11

BIG-IP APM Version 12.0 ハイライト

• SAML機能拡充 SAML ECP(Enhanced Client or proxy profile)に対応ブラウザ以外のリッチクライアント(outlook等)からSAML認証可能

SAML multivalued attribute サポート複数DB値が必要なアプリケーション(Web-EX等)もSAML認証可能

• MDM製品との連携 VMware Airwatch, IBM MaaS 360等のMDM製品と連携したVPNアクセスが可能

• VDI関連のUpdate

Citrix StoreFrontプロトコルをサポート

VMware Horizon View v6に対応

VMware Horizon View利用時、スマートカード認証対応

© F5 Networks, Inc 12

Webtop画面のグルーピングが可能Webtopに表示するアイコンのグループ化を行い、表示順番を指定することが可能

V11まではアプリケーションリンクやネットワークアクセス等、リソースの種類によって、表示グループを分類

V12からは、複数のリソースをグルーピング可能表示順番の変更も可能となった

クラウド対応

© F5 Networks, Inc 14

F5 クラウド環境に対するアップデート

• Microsoft Azureに対応(10月予定)

MS Azure環境へADCサービス(L7負荷分散、セキュリティ機能)を提供

• Amazon AWS AutoScaleに対応 (11月予定)

ADCサービスの動的スケールを実現

• vCMPへより柔軟にリソース割当 vCMPゲスト単位にSSLやRate Limitが可能

© F5 Networks, Inc 15

SQL Backend

Active Directory

End Users

Internet

ACTIVEBIG-IP

STANDBYBIG-IP

Azureユースケース: オンプレ環境と同様のセキュリティサービスを提供

Pre-authentication Traffic

Backend Data Communication

BIG-IP Local Traffic ManagerLTM

BIG-IP Access Policy ManagerAPM

BIG-IP Application Security ManagerASM

APM・端末セキュリティチェック

・認証・認可

・シングルサインオン

ASM・Web Application Firewall・L7 DDoS対策

LTM・L4-L7ロードバランサー・SSLパフォーマンス