F5 最新事例のご紹介 - F5 Networks · F5 Silverline WAF(BIG-IP ASM) vs Akamai Kona Site...
-
Upload
trinhhuong -
Category
Documents
-
view
233 -
download
0
Transcript of F5 最新事例のご紹介 - F5 Networks · F5 Silverline WAF(BIG-IP ASM) vs Akamai Kona Site...
2015年9月
F5ネットワークスジャパン株式会社
シニアソリューションマーケティングマネージャ
帆士敏博
F5 最新事例のご紹介
© F5 Networks, Inc 2
本セッションのゴール
1. 最新事例の内容を理解
2. 提案時の”勘所”をつかむ-マーケット・トレンド-誰がターゲットなのか?-顧客の課題は何で、どう解決するのか?- F5の優位性は?
© F5 Networks, Inc 3
本日紹介する事例 4つ
No ユーザプロファイルソリューションタイプ
F5プロダクト/サービス 内容/ポイント
1 金融サービス(シンガポール)
パブリッククラウド型DDoS/WAFサービス
F5 Silverline
DDoSへの対策意識の高まりから案件化。Cレベルへのソリューションインプット。
2 大手コーヒーチェーン(米国)Akamaiサービスからのリプレイス。コスト/ハイブリッド/可視化に優位性あり。
3 人材サービス業クラウドフェデレーション
+SSL VPNBIG-IP APM on AWS
SSL VPN、SAMLフェデレーションSPとしてアプリケーションのアクセスコントロールできる唯一の製品
4 大手通信事業者 (米国)社内インフラサービス
の自動化BIG-IP LTM with
OpenStack Neutron
OpenStackベースのクラウドサービスの可用性確保(LBaaS)、HA ProxyではなくBIG-IP LTMを選択
© F5 Networks, Inc 4
テクノロジーの変化(環境の変化)・クラウドの浸透によりアプリケーションの分散化・使った分だけ課金、スケール、迅速性の要件の高まり
F5の戦略・オンプレミス上でもクラウド上でも、全てのアプリへ可用性/セキュリティ/パフォーマンスを提供ハイブリッドで、L4-7の価値を展開する・パブリッククラウドでも合理的なL4-7サービスはクラウドへ例.DDoS/WAF/DNS/フェデレーション等
収益モデルの変更が必然・HW/SWアプライアンス販売とサポートのみのビジネスと決別・箱売りモデル以外の収益源の確保
Silverline=F5パブリッククラウドサービス。戦略はハイブリッド
なぜ、F5がパブリッククラウドサービスなのか?
インテグレーションビジネスの視点では・従来のインテグレーションビジネス以外の収益元の確保・従来の案件に加え、パブリッククラウド案件まで広げられる
プライベート
パブリック パブリック
Silverline
DDoS/WAF
© F5 Networks, Inc 5
1. 脅威の増大
実際に攻撃が発生し、関連業界が攻撃されている
グローバルの売上分析。立ち上がりが早く、好調。実績の分析:Silverline DDoS Protectionの案件クローズパターンとは?
50%
25%
20%
5%
2.競合サービスからのリプレイス(主にアカマイ)
3.今ちょうど攻撃されている!
4.事前の予防対策どんな状況で案件クローズできるのか?
・話題性のある攻撃と被害が発生し、役職者が自社も対策しなければ責任を問われるのではないかという不安を抱えるケースは案件化しやすい
・既存のDDoSプロテクションへの不満アカマイからのリプレイス案件が多い。アカマイの価格面と分析の可視化に不満を抱えてるユーザF5へ乗り換えるケースが多い
・事前の予防対策程度では、案件化しない。喫緊の課題意識がないとクローズはできないので見極めた方が良い。
なぜ、F5 Silverline DDoS Protectionを契約したのか?
© F5 Networks, Inc 6
ユーザの声: F5 Silverline DDoS/WAFサービス
グローバルコーヒーチェーンIT担当者*BIG-IP LTM既存ユーザ
アカマイから、F5 Silverlineへ移行しました。アカマイで課題だったのは、可視性とベンダー間の調整の手間です。現在どのように、どうブロックしているのか?
結果はどうなのかという可視性が低かった事です。社内への投資効果の説明をしづらいケースがありました。
また、クラウド側とオンプレミス側での原因分析の切分けやベンダー間の調整が手間になっていました。すでにプライベートクラウドでBIG-IP LTMを利用しており、Silverlineを採用する事でF5に窓口が統一できるので、大変ありがたいです。
“2015年5月、DD4BCグループから攻撃するとの脅迫を受け、標的となりました。。CISOの要望により、DDoSとWAFのクラウドサービス利用の検討開始。大規模なボリューム型DDoS攻撃に耐えうるサービスとアプリケーションレイヤーの攻撃対策を要件としました”※日本でも2015年5~6月頃、セブン銀行やFXプライム、
SMBC日興証券が、脅迫されDDoS攻撃を受けたとされている
シンガポール金融サービスセキュリティアーキテクト
件名:DDOS ATTACK !差出人:DD4BC Team本文:Your site is going under attack unless
you pay 25 Bitcoin.
XXXPlease note that is will not be easy to mitigate our attack, becauseour current UDP flood power is 400-500 Gbps,so don't even bother. Atleast, don't expect cheap services like CloudFlare or Incapsulatohelp...but you can try. :)Right now we are running small demonstrative attack.Don't worry, it will not be that hard (it shouldn't crash your site)and it will stop in 1 hour.It‘s just to prove that we are serious.Check UDP
traffic. :) We are aware that you probably don't have 25 BTC at the moment, so weare giving you 24 hours.
サンプル:脅迫メール
脅威の増大案件
アカマイからのリプレイス案件
© F5 Networks, Inc 7
シンガポール金融サービス
課題やポイント
顧客プロファイル
シンガポールの金融サービス事業者。従業員:約 700名。アプリケーションは、為替、株式などのミッションクリティカルなアプリケーション。50%以上の顧客が、シンガポール以外のアジア諸国。
背景/課題
DDB4CグループからのメールでのDDoS脅迫文が届く。金融業界全体がターゲットになっており、業界レベルで対策が求められていた。CISOの指示により、ハイボリュームなDDoS攻撃やWebアプリケーションへの攻撃をブロックできるクラウドサービスを検討開始
採用サービス F5 Silverline DDoS Protection と WAF サービス
競合優位性
アカマイのDDoS(Prolexic)とKona(WAF)と比較検討を実施したが、下記のポイントでF5を選定①アカマイから提案されたCDNが不要②アカマイのWAFエンジン(Modecurity)がプアだと判断③アカマイは、DDoS(旧Prolexic)とWAFサービス(KONA)が分断され、ルートし直す必要があった。
④見積もりがF5の方が安価
プライベートDC
Silverline
DDoS/WAF
スクラビングセンター
証券アプリ 為替取引アプリ
ボリューム型DDoSアタックWebアプリケーションアタック
© F5 Networks, Inc 8
WAFエンジン比較F5 Silverline WAF(BIG-IP ASM) vs Akamai Kona Site Defender(ModSecurity)
No 項目 内容 Akamai Kona (Mod Security) F5 Silverline WAF (BIG-IP ASM)
1 ポジティブセキュリティ固有アプリに合わせた柔軟な対策ができるか?
×シグネチャのみ
○シグネチャ+ホワイトリストの柔軟な設定
2セキュリティポリシーの設定反映時間
セキュリティポリシーがWAFのエンジンに反映される時間
×一時間程度かかるケースがあり、その時
間は脆弱な状態が続く
○即時反映
3 設定のしやすさ 簡単に設定できるか?×
シグネチャ対象のURLをマニュアル入力する必要がある
○ラーニングして、URLをリストアップ
4ブラックリスト/ホワイトリストIPのエントリ数
IPアドレスベースのフィルタをいくつまでエントリできるか?
△最大 32個なで、不足するケースが多い
○設定次第だが、数百は余裕
5 アプリのセッション管理セッションに関する攻撃をブロックできるか?
×セッション管理の機能無し
○WAFでセッション管理するので
セッションハイジャックなどの攻撃をブロック
6データ流出機能(データガード)
クレジットカード情報などフォーマット化されたデータの流出をブロックできるか?
×データ流出のリスクが高い
○規定のデータの流出をブロック可能
なので、リスクを低減
© F5 Networks, Inc 9
米国大手コーヒーチェーン:アカマイからF5 Silverlineへの移行
プライベートDC
アカマイ Kona
DDoS Defender
ブランドサイト Eコマース
ロードバランシングWAF
アカマイ
F5
IT担当者
何をどうブロックしているのか詳細がわからない
?
ベンダー間の調整が大変
解析しづらい、時間がかかる
プライベートDC
Silveline DDoS
Protection
ブランドサイト Eコマース
ロードバランシングWAF
F5IT担当者
!
自社開発のトラフィックアナライザーとリッチなユーザポータルGUIどんな攻撃をどうブロックしているか。現在はこうなっている。
窓口一本化による調整負荷の軽減。パブリックとクラウドの解析を同時にできるので解析がスムーズ
高コスト
約20%のコストダウン
オンプレの情報をベースにSilverlineの設定を実施することがスムーズなので、攻撃を適切にブロックできる。
© F5 Networks, Inc 10
アカマイ/国内サービスとの比較概要 – DDoS防御
比較項目 F5 Silverline Akamai (Prolexic)国内キャリア/クラウドサービス設備投資に依存が前提
グローバルでの、1 Tbps以上のスクラビングキャパシティ
キャパシティ不足数百GbpのDDoSに耐えうる設備
が無いケースが多い
各リージョンでの200 Gbps以上のスクラビングキャパシティ
キャパシティ不足数百GbpのDDoSに耐えうる設備
が無いケースが多い
サービスコストパフォーマンス
アカマイの60-80%程度のケースが多くある
ー
24 x 7 SOCサービスと専用分析レポート ー
Netflowによるモニタリング ー
サポート解析のエスカレーションに関するSLA ー
アドバンストレイヤー 7防御 ー
オンプレミスでの防御 ー
シングルベンダーによるハイブリッド防御 ー
“Always On”防御 ー
防御内容の可視化、ポータル、リアルタイム性 ー
GRE トンネルの選択の柔軟性L2VPN, Equinix Cloud
Exchange, IP RefectionL2VPN ー
PCI DSS v3.0準拠 ー
© F5 Networks, Inc 11
Silverline提案ポイントNo 項目 ポイント
1 ターゲット・オンプレミスのBIG-IPユーザと同じ顧客セグメントのミッションクリティカルな公開アプリケーション。・日本の顧客(感触) : 金融やコンシューマーで著名なブランドを持っている企業でも
DDoS対策をしていないケースが多く見受けられる、危機感は高まっている。
2ターゲットとなる役職、アプローチ
・CIO/CISO(セキュリティについて最も責任のある人 =攻撃うけたら、最も非難される人)へのアプローチが効果的。・現場レベルからアプローチするとセキュリティは面倒なのでつぶされるリスクがあるので注意。・リプレイス案件の場合は、現場レベルからのアプローチも効果的。
3 アプリケーション・インターネットへの公開アプリケーション、でかつミッションクリティカル金融サービス、Eコマースサイト、ブランドサイト、中央省庁などの公共
4 競合/F5の強み
最大の競合はアカマイとなる。F5の強みとは?
1.ハイブリッドでの提案(オンプレとの連携での精度の高いブロック、窓口一本化)2. コスト優位性3. トラフィック状況の可視化レポート
5 F5 Japanからの支援
・日本のセキュリティ専任チームによる支援-エンドユーザ同行支援-エンドユーザへの提案資料作成-パートナー様主催のセミナーでの講演
© F5 Networks, Inc 12
通常アプローチ時・DDoS攻撃をうけたときにどのような被害が想定されますか?
・DDoS攻撃をうけた場合の対策責任者は誰ですか?
・XXXX(例.SYN Flood、NTPベースDDoS、DD4BC)という攻撃を聞いたことありますか?
・現在、どれぐらいのDDoS攻撃が発生しているかご存知ですか?Google社 Digital Attack Map (http://www.digitalattackmap.com/ )Norse社 IPViking (http://map.norsecorp.com )
・DDoS攻撃対策を効果的に実施するために、クラウドとオンプレミスを利用できることを知っていますか?
リプレイス提案時• 現在のDDoSプロテクションサービスは満足ですか?
• 最後に攻撃をうけた時は、どのような状況でしたか?
• 現在のサービスレベルは、どのようなものですが?
顧客に、こんな質問を投げかけましょう!
© F5 Networks, Inc 13
本日紹介する事例 4つ
No ユーザプロファイルソリューションタイプ
F5プロダクト/サービス 内容/ポイント
1 金融サービス(シンガポール)
パブリッククラウド型DDoS/WAFサービス
F5 Silverline
DDoSへの対策意識の高まりから案件化。Cレベルへのソリューションインプット。
2 大手コーヒーチェーン(米国)Akamaiサービスからのリプレイス。コスト/ハイブリッド/可視化に優位性あり。
3 人材サービス業クラウドフェデレーション
+SSL VPNBIG-IP APM on AWS
SSL VPN、SAMLフェデレーションSPとしてアプリケーションのアクセスコントロールできる唯一の製品
4 大手通信事業者 (米国)社内インフラサービス
の自動化BIG-IP LTM with
OpenStack Neutron
OpenStackベースのクラウドサービスの可用性確保(LBaaS)、HA ProxyではなくBIG-IP LTMを選択
© F5 Networks, Inc 14
背景 :人材紹介ビジネス IT担当者の声
“2013年、パブリッククラウドを徹底的に活用! 「全てのITサービスをパブリッククラウドへ」それに伴い、既存システムをAWSへ移行開始。業務アプリも順次SaaSへ移行。”
執行役員
“勤怠管理やメール、ファイルサーバ、認証基盤も全てパブリッククラウドへ。アクセスゲートウェイの要件として、AWS上でPCやiPadの端末特定、L3 VPNトンネルを張れること、 SaaS認証の為のSAMLフェデレーションベースのアクセスコントロールが同時に必要だった。また、運用負荷を軽減するために、AWS上でセキュリティポリシーやアカウント管理を一元化したい。
インフラ担当者
システム担当者
“個人情報や給与などの機密情報を扱うのでセキュリティを強化したい。また、ビジネスの性質上、アカウントの追加/削除の作業が多い。管理業務ユーザがアクセスした場合の閲覧データのコントロールも必須。”
ハイブリッドクラウド環境のアプリのアクセスポリシーをBIG-IP APMで一元管理
ソリューション
背景/課題
・SSL VPN、SAMLフェデレーション SPとしてアプリケーションのアクセスコントロールできる製品がBIG-IP APMしかなかった。
・端末特定、アクセスコントロールを一元管理したい・将来的なSaaSの利用、契約解除に柔軟に対応したい・既存のAWSには、VPNトンネルで以前と変わらず利用したい
CAクラウドサービス
証明書発行
ADAD同期
証明書 証明書
SAMLフェデレーション
SAML Idp SAML SP
アプリ A アプリ B アプリ C
SaaS 1将来
SaaS 2将来
管理部門ユーザTanaka
一般ユーザ(人材)Yamada
1.SSL VPN2.O3653.勤怠管理
2.O3653.勤怠管理
ポータル ポータル
ID サービス
Tanaka 1/2/3
Yamada 2/3
IT管理外の端末
拒否
セキュリティポリシーを集約1.SSLクライアント認証による端末特定2.ユーザ認証3.利用できるアプリケーション4. SSL VPNトンネル
AWS
© F5 Networks, Inc 16
提案ポイントクラウド移行に伴いアクセスコントロール案件が増加中。統合GW(SSL VPN+SAML)の提案がオススメ
No 項目 コメント
1 ターゲットは? パブリッククラウドやSaaSの利用を検討/進めている企業 = ほとんどの企業
2 ターゲットの役職、課題認証基盤担当者、セキュリティ担当者がSaaSの増加やアプリの分散化でセキュリティポリシー強化の複雑化が課題。SaaSアクセスの端末特定ニーズは高い。
3 解決SaaS利用増大によるアカウント管理の課題をSAMLフェデレーションで解決。パブリッククラウドに移行しても、従来通りのアクセスがしたいアプリが残るのでSSL VPN GWが必要とされる。
4F5の強み(BIG-IP APM)
・SSL VPN とSAMLアサーションによるサービスポータルコントロールと端末特定が同時にできる唯一の製品・ビジュアルポリシーエディターで容易にセキュリティポリシーが組める・SAMLアサーションメッセージのデバックがしやすい
5 F5からの支援
・提案資料・日本のセキュリティ専任チームによる支援-エンドユーザ同行支援-エンドユーザへの提案資料作成-パートナー様主催のセミナーでの講演
© F5 Networks, Inc 17
本日紹介する事例 4つ
No ユーザプロファイルソリューションタイプ
F5プロダクト/サービス 内容/ポイント
1 金融サービス(シンガポール)
パブリッククラウド型DDoS/WAFサービス
F5 Silverline
DDoSへの対策意識の高まりから案件化。Cレベルへのソリューションインプット。
2 大手コーヒーチェーン(米国)Akamaiサービスからのリプレイス。コスト/ハイブリッド/可視化に優位性あり。
3 人材サービス業クラウドフェデレーション
+SSL VPNBIG-IP APM on AWS
SSL VPN、SAMLフェデレーションSPとしてアプリケーションのアクセスコントロールできる唯一の製品
4 大手通信事業者 (米国)社内インフラサービス
の自動化BIG-IP LTM with
OpenStack Neutron
OpenStackベースのクラウドサービスの可用性確保(LBaaS)、HA ProxyではなくBIG-IP LTMを選択
© F5 Networks, Inc 18
背景 : 米国大手通信事業者のIT担当者の声
インフラエンジニア
“インフラの迅速性とエンジニアの工数削減のため、極力自動化を進めています。LBaaSサービスのロードバランサーとしてHA Proxyを検証しました。しかし、フェールオーバー時のステートフルフェールオーバー機能が不足している事や、ロードバランサーはサービスの可用性を担保してくれるクリティカルなインフラのコンポーネントなので、オープンソースでは無くF5 BIG-IPのハードとVEを採用しました。”
“現状では、BIG-IQを利用しておらずNeutronから直接BIG-IPをRestAPIを使って設定を行っています。BIG-IQは、マルチテナント対応がまだ実現していない事が原因なのですが、将来的には、FWサービスやWAFサービスを自動プロビジョニングする計画があり、iAppsテンプレートを利用したいと考えています。”
“社内サービスのコストを削減するために、2012年から可能な限りオープンソースへシフトしています。プライベートクラウドの基盤構築ソフトとして、OpenStackを採用しました。”
© F5 Networks, Inc 19
事例:米国 大手通信事業者自動化でインフラ構築のスピードアップ。 リクエストからのリードタイム3日→6時間へ短縮を目指す
背景/課題
・「俊敏」かつ「柔軟」なインフラの実現、および「コスト削減」を目指すためオープンソース製品をベースとしたアーキテクチャを採用。
・各事業部から申請を受けて、インフラの構築に3日程度かかるのでビジネスの妨げとなっている・サーバ担当者とネットワーク担当者の調整作業が負荷・LBaaSとして、HA Proxyでは可用性の確保が弱い
ネットワーク担当者
サーバ担当者
事業部
インフラの申請
ネットワークの申請
VM起動
L2-3設定
FW設定
LB設定
作業が追い
付かない
インフラサービス
が遅い
NW担当者との
調整が負荷
ソリューション
・Openstackを使って、サーバーとネットワークの両方をプロビジョニング・LBaaSはF5のコミュニティ版プラグイン(正式サポート無し)を採用。十分なテストを実施。将来的にはBIG-IQ版プラグイン(正式サポート有り)に以降予定・ネットワーク担当者の作業負荷の軽減。運用監視に注力できるようになる。・ 現状のLBaaSでは設定項目が限定的ではあるが、F5デバイスを利用することにより、H/Wによる高パフォーマンスおよびクラスタリング機能によるステートフル・フェイルオーバーを実現・BIG-IQとの連携により、よりリッチな機能(FW/WAF等)も利用を期待している。
事業部
インフラ担当者
L2 – 3ポリシー
FW / LBポリシー
インフラの申請
OpenStackで構築
サーバー作成
LBaaS設定
ネットワーク担当者
すぐにサービス
利用できる♪
コンパネから
サーバーとネットワー
クを簡単構築
作業負荷の軽減。新サ
ービスのデザインに
注力できる NEUTRON
© F5 Networks, Inc 20
提案ポイント = クラウド基盤のLBaaS提案
No 項目 コメント
1 ターゲットは?エンタープライズ、テレコム/クラウドプロバイダー、Eコマース、ゲームプラットフォームサービスの展開にスピードが求められるインフラ = 遅れるとビジネスインパクトが発生するインフラインフラの構成変更の頻発するインフラ = アプリのリリースが頻発、トラフィックの増減が激しい
2 トレンド
・エンタープライズのプライベートクラウド基盤としてOpenStackの採用が増えている。・SDDCに向かって、オーケストレータと協調できるインフラ作りが本格化している。・SDN/ネットワークの自動化/仮想化により、L2-3/L4-7のサービス自動化が求められている・連携による自動化の検証が終わっている製品から選択される
3 F5の強み・主要なSDNコントローラ、オーケストレータへの対応
OpenStack、Cisco APIC、VMware NSXとの連携対応・LBaaS < ADCaaS : iApps:各アプリケーションを考慮した自動化を開発(アプリに合わせた設定の自動化)
4 F5からの支援・OpenStack技術資料 (https://interact.f5.com/2015ALLF_OpenStack.html )
・OpenStack Neutron プラグイン、Cisco APIC Device Package、VMware NSX
→詳しくは弊社担当営業にお問合せください。
© F5 Networks, Inc 21
まとめ:本セッションのゴール
今後の営業活動プランをディスカッションする場をいただければと思います。
是非、個別にF5セールスまでお声掛けください。
1. 最新事例の内容を把握
2. F5ソリューションの提案の”勘所”をつかむ-マーケットのトレンド-誰がターゲットなのか?-課題は何か?- F5の優位性
Solutions for an Application World.