WebSphere DataPower製品のご紹介 -...
Transcript of WebSphere DataPower製品のご紹介 -...
-
®
© 2010 IBM Corporation
WebSphere DataPower
WebSphere DataPower製品のご紹介
日本アイ・ビー・エム株式会社
ソフトウェア事業
WebSphereクライアントテクニカルプロフェッショナル
-
WebSphere DataPower
2
•異なるお客様要件に対して最適化•他のESBとの相互運用性
IBMの提供するESB製品
WebSphere ESB WebSphere Application
Serverベースの統合SOA環境
WebSphere Message Broker
異機種間での広範な接続インター
フェースと変換を実現
WebSphere DataPower Integration Appliance
シンプルな操作と強固なセキュリティを提供する
ハードウェアESB
・WAS NDベースのESBソリューション
・Webサービスとの高い親和性
・WASの運用管理方法などを継承
・SOAアプライアンスによるシンプルな構成
・高速なXML処理、強固なセキュリティの提供
・
WebSphere MQベースのESBソリューション
・
広範な接続性、データ変換をサポート
・
既存システムとの連携、WebSphere MQとの高い親和性
・
高スループットが要求される業務に適合
・
金融業界での豊富な実績
-
WebSphere DataPower
3
WebSphere DataPower アプライアンスとは
WebSphere DataPowerアプライアンスは、お客様のROIの増加、 TCO削減を手助けします。DataPowerは優れたパフォーマンスと強
固なセキュリティーを兼ね備えた特定機能に特化した製品です。
SIMPLIFYインフラの接続をシンプルに
ACCELERATEお客様の時間を短縮
SECURE SOA, Web 2.0, B2B,Cloud 環境
をセキュアーに
GOVERN ITアーキテクチャーを集中管理
-
WebSphere DataPower
4
個々にアプリケーションを更新
DataPowerアプライアンス導入前
即座に全てのアプリケーションをセキュアーに
し、ルーティング、変換が可能に
アプリケーションへの変更は不要
DataPowerアプライアンス導入後
複数のアプリケーションのコード変更なしで、ルーティング、変換処理を実現し、セキュリティーを高めることも可能
低コストで複雑処理を実現
アプライアンスによりクリティカルな機能をシンプルにし集中化
ルーティング
変換
暗号/復号
妥当性検証
認証
-
WebSphere DataPower
5
DataPowerの革新
1999
2000
2001
2002
20032004
20052006
20072008
20092010
XSLJIT最適化されたソフトウェアコンパイラー
XG4Gigabit/秒の
HWソリューション
による買収
ITCAMfor
SOAのサポートHW Model
9235
DGXT最適なソフトウェア
インタープリター
XG3最適化されたハードウェア
アクセラレーション
HW Model7993
ツールのサポート(WebSphere
TransformationExtender)
AOオプション機能セルフバランシング
インテリジェントな負荷分散
XA35
XS40
XI50
XB60
XM70
-
WebSphere DataPower
6
WebSphere DataPower アプライアンス製品ラインナップ
マイクロ秒のレイテンシーでエクストリームなデータを処理
拡張メッセージングプロトコル変換
拡張QoSとパフォーマンス
圧倒的なB2Bパフォーマンス
B2Bメッセージ(AS1, AS2, AS3)をセキュアーに
取引パートナープロファイル管理
B2Bトランザクションビューワー
ハードウェア ESB
ワイヤースピードで変換処理
“動的ルーティング、インテリジェンスな負荷分散
Webサービスセキュリティー
豊富な認証、認可
ポリシー管理の集中化
XB60XM70
XI50XS40
-
WebSphere DataPower
7
Internet Trusted Domain
Consumer
Consumer
4 社内セキュリティー5 Enterprise Service Bus6 SOA ガバナンスの実行7 Web サービス管理8 ホストとの統合
9 低レイテンシーゲート ウェイ
3 B2B パートナーゲートウェ イ
1 セキュアゲートウェイ(Webサービス, Webアプリケーション)
2 インテリジェントな負荷分散
Application
Application
System z
DMZ
WebSphere DataPower アプライアンスのユースケース
-
WebSphere DataPower
8
XS40/XI50サポート機能
XS40 XMLセキュリティー・ゲートウェイ
XI50 インテグレーション・アプライアンス
XML処理のオフロードXSL変換パーシング
スキーマによる妥当性検証
圧縮
キャッシュ
基本機能のサポート
SSL アクセラレーター後段サーバーへのロードバランシング
ロギング(syslogなど)
サポートプロトコル
HTTP,HTTPS,NFS
監視ツール
SNMP
XML、Webサービスのセキュア化WS-SecurityのサポートXML暗号化電子署名
アクセス制御
XMLレベルでのフィルタリングXDoS攻撃対応、X threatへの対応
認証サーバーとの連携
LDAP、Tivoli Access Manager、Netgrity、SAMLなど
サービス監視機能
サービスレベルモニタリング機能を実装
レジストリーのサポート
WSRR、UDDIレジストリー
Webサービスの監視ITCAM for SOA v6.1
プロトコル変換のサポート
WebSphere MQWebSphere JMSFTP,SFTP(SSH),FTPS(SSL)IMS connectTibco
Non-XML変換をサポート
ODBC接続サポートOracle、Oracle RAC、DB2、SQL Server 、Sybase
XI50はXS40の機能を包含しています。
-
WebSphere DataPower
9
SOAアプライアンス(専用ハードウェア)としての高速XML処理
負荷のかかるセキュリティー関連の処理も高速実施
0
0.2
0.4
0.6
0.8
1
`
Software
Tim
e
基本XML処理
WebSphereDataPower
Tim
e
XMLセキュリティ処理
Software Software withアクセラレータ
WebSphereDataPower
**USデモンストレーション環境での概算. 実際の処理時間の差異はXML構造や処理内容に依存します。
0
0.2
0.4
0.6
0.8
1
1.2
XML処理はソフトウェアと比較して約1/10に!
約1/10 約1/10
アプライアンスとしての処理パフォーマンス
-
WebSphere DataPower
10
WebSphere DataPowerの特長
-
WebSphere DataPower
11
構成ベースなので迅速に構築可能
コーディングなしでセキュリティー標準を実装
メッセージ処理は直感的なパイプラインを使用
環境間でのインポート/エクスポート 構成
-
WebSphere DataPower
12
コンテンツベースルーティングにより効果的に既存資産を活用
どんなメッセージでも動的にルーティングIPアドレス、リクエストURL、プロトコルヘッダーなどのような属性SOAPヘッダー、XMLのようなメッセージ内のデータ
ルーティング情報の保管先
DataPower上のXMLファイルWebサーバー、DBWebSphere Service Registry & Repositoryにも問い合わせ可能
ルーティングポリシーの変更
に停止時間は不要
シンプルなルーティング変更で
トランスポートプロトコルも変更可能
-
WebSphere DataPower
13
サービスレベル管理とロードバランスによりトラフィックを制限アプリケーションを過負荷から守るためサービスレベル管理(SLM) を使用
リクエスト数、エラー数、ユーザー名、XMLコンテンツ、接続数などの頻度カスタムの閾値に到達した際のアクション
Notify (ロギング)Shape (遅延させる)Throttle (拒否)
複数デバイスにまたがったSLMも実行可能SLMデータを複数デバイスで共有
SLMとルーティングの併用し、インテリジェントなフェイルオーバーを決定閾値に達した場合、代わりのサーバーを使用
CPU
Logに通知
リクエスト拒否
アプリケーションサーバー
リクエスト
shape
-
WebSphere DataPower
14
Webサービスを集中管理WebSphere Service Registry & Repository (WSRR) を使用し、Webサービスをストアし、公開し、統制
WSRRサブスクリプションを経由し、DataPowerに自動的にサービスを公開WS-PolicyAttachmentを通し、 WS-Policyステートメントを含む特定のバージョン数ごとにWSDLを取得可能
WSRRから実行ルーティング情報を動的に取得
SOAガバナンス ソリューションを実行WSRRで、Webサービスの
ライフサイクルポリシー管理
DataPowerで、Webサービスのランタイムポリシーを実行 WSRR
-
WebSphere DataPower
15
DataPowerトラフィックをモニター既存のモニターインフラとDataPowerは簡単に統合可能
SNMPを通して、広範囲の状態情報を取得syslogを通して、詳細のトランザクションログ情報を取得
さらなる全体解析のため、SOAモニターツールを利用IBM Tivoli Composite Application Manager (ITCAM) for SOA
アプリケーション要件に適合する拡張ログ/監査ソリューションを作成同期・非同期ロギング
柔軟なログサブスクリプション
によりモニターをカスタマイズ
複数ターゲットに送信
複数フォーマットで送信
SNMP syslog
OtherITCAMSOAsyslog
-
WebSphere DataPower
16
容易なプロトコル変換
設定のみでプロトコル変換を容易に実現
複数通信プロトコルのサポートとプロトコル変換
N対Nの変換が可能複数フロントエンド・ハンドラーの定義と複数宛先へのディスパッチ
HTTP
HTTPS
MQ
Stateless RAW XML
File(NFS/FTP/SFTP)
フロントサイド バックサイド
WAS JMS
TIBCO EMS
Stateful RAW XML
HTTP
HTTPS
MQ
Stateless RAW XML
FTP
WAS JMS
TIBCO EMS
Stateful RAW XML
プロトコル変
換
+
IMS ConnectIMS Connect
処理ポリシー
-
WebSphere DataPower
17
データフォーマット変換
DataGlue™エンジンメッセージ
A メッセージ
B
メッセージBのフォーマット表記
(アウトプット)
メッセージAのフォーマット表記
(インプット)
インプット/アウトプットファイルのフォーマットを指定 (Corba IDL, COBOLコピー句,binary,CSV, etc.)
WTX Design Studio
ツールで作成した
マップファイルを
WebSphereDataPowerで指定
プロトコル変換機能との併用により、レガシー⇔Webサービス連携などが容易に可能日本の文字コードもサポート済み
DataGlueTMエンジン:非XMLメッセージ変換のランタイムWebSphere DataPower XI50に標準搭載XML以外のフォーマット(Binaryなど)へ変換する機能
WebSphere Transformation Extender Design Studio(別ライセンス)にてマップ用ファイルを作成GUI上でドラッグ&ドロップでInとOutのファイルをマッピング(コーディング不要)
ホスト環境 オープン環境
-
WebSphere DataPower
18
WebSphere DataPowerの構成
-
WebSphere DataPower
19
WebSphere DataPowerの構成WebSphere DataPowerの構成
Applicationドメイン(Domain)単位で構成情報を保持ユーザー/グループはドメインごとにアクセス制御可能
オブジェクトA
オブジェクトC
オブジェクトB
Applicationドメイン
特定のドメインに対してログインし、構成管理を行う
ドメイン単位で様々な構成情報を保持
オブジェクトA
オブジェクトC
オブジェクトB
Applicationドメイン
ユーザーA
グループB
-
WebSphere DataPower
20
WebGUI コントロールパネルサービスオブジェクトの新規作成ウィザードの提供
メンテナンスメニューの提供
証明書/鍵管理、リソース管理、ログ管理、デバッグ機能、サービスステータス確認
構成管理
Webサービスプロキシー XMLファイアウォール
マルチプロトコルゲートウェイ
XSLアクセラレーター
ログ確認 デバッグ機能
証明書/鍵管理ファイル管理
モニタリング ステータス確認
個別オブジェクト構成その他管理メニュー
構成のインポート/ エクスポート
システムコントロール
プライマリー・サービス
-
WebSphere DataPower
21
プライマリー・サービス
フロント(クライアント)サイドとバックエンドを結ぶ基本構成フロントサイドとバックエンドのエンドポイント情報を設定
目的に応じてプライマリー・サービスを選択
XMLファイアウォール :XMLメッセージレベルでのファイアウォールWebサービスプロキシー :Webサービスのプロキシーマルチプロトコルゲートウェイ :複数トランスポートプロトコルのゲートウェイ
XSLアクセラレーター :XML処理のオフロードWebアプリケーションファイアウォール:HTTP(S)レベルのファイアウォール
メッセージに対する処理はサービスの処理ポリシーとして定義
全てのプライマリー・サービスは処理ポリシーを必須オブジェクトとして保持
サービスを生成し、ドキュメント処理ポリシー、ルール、アクションを作成
各プライマリーサービスの作成ウィザードが提供される
プライマリー・サービス
サービス・リクエスター
サービス・プロバイダー
プロトコル別パラメータメッセージタイプListenするIP:Port設定SSL 復号化Decompress処理etc・・
フロントサイドの設定 処理ポリシー バックエンドの設定
プロトコル別パラメータメッセージタイプエンドポイント設定SSL 暗号化Compress設定etc・・
メッセージに対する処理をステップバイステップの
ルールとして定義
-
WebSphere DataPower
22
処理ポリシー
メッセージに対する処理は処理ポリシーとして定義
複数のルール(マッチングルール+処理ルール)の集合リクエスト/レスポンス/エラーごとに優先度に従い順次評価・実行
サービス・リクエスター
サービス・プロバイダー
フロントサイドの処理 処理ポリシー バックエンドの処理
プライマリー・サービス
マッチング
ルール
処理ルール
複数の処理ルール
が順番に評価・実行
処理フローの方向優先度
-
WebSphere DataPower
23
ルールマッチングルール
処理ルールの実施有無を決定する条件
HTTPヘッダー/URL/XPath/エラーコード
処理ルール
メッセージに対する処理をステップバイステップで構成
リクエストフロー/リプライフロー/処理エラー発生時フローの別に定義1つ以上のアクション(処理)から構成されるドラッグアンドドロップでアクション(処理)を処理ルールに追加
マッチング
ルール
処理ルール
処理フローの方向
アクションのパレット
レスポンスフロー 両方向 リクエストフロー エラーフロー
ゴミ箱
処理の順番は必ず左→右で定義
-
WebSphere DataPower
24
使用可能アクション
-1-Transform XSLTによるメッセージ変換
Validate URLスキーマ、スキーマ属性、Rewrite属性、WSDL URLによる妥当性検証
Filter メッセージのフィルター処理(xslファイルを指定)
Route XSLT、Xpath、変数による動的ルーティング処理
Fetch 外部リソースを取得
Header Rewrite URL、ヘッダーの書き換え
Call 別のルールを呼び出し
Conditional Xpathで条件を指定、指定した別のアクションを実行
For-each ループ条件(Xpathか回数)を指定し、ループさせるアクションを指定
Convert Query Params to XML HTTPからXMLへの変換処理
Crypto Binary バイナリーに対するPKCSによるセキュリティー処理(署名、暗号、復号、署名検証)
Event-sink 非同期アクションの完了を待ち、非同期アクションに含まれるアウトプットコンテキストを他のア
クションで利用可能にする
Extract Using XPath XpathによりXMLを抽出し、変数にセット
Log 指定した宛先にログメッセージを送信
On error エラーをキャッチし、処理継続か中断を決定。中断を選択するとエラールールに処理が流れる
Set Variable 値を変数としてセット
Transform Binary Non-XMLへの変換(WTX開発ツールで生成したファイルを指定)
Results メッセージを後段サーバーへ送信、複数サーバーへの送信も可能
Results Asynchronous 非同期でコンテキストを宛先に送信。fetch, log, routeアクションと一緒に使う必要がある
-
WebSphere DataPower
25
使用可能アクション
–2-
Encrypt WS-Security,XMLによる暗号処理
Decrypt WS-Security,XMLによる復号処理
Sign XMLメッセージ署名を付加
Verify XMLメッセージ署名検証
AAA AAA(認証・認可・監査)フレームワークによる処理(LDAPやTAMなど認証サーバーと連携)
Anti-Virus ICAPサーバーを指定し、XMLウィルスの検知
SQL ODBCによるDBアクセス。SQL文の発行が可能
Strip Attachments アタッチメント全てあるいはMIME/DIMEアタッチメントを除去
Method Rewrite HTTPメソッドの操作
MQ Header MQMDヘッダーの変更、挿入が可能
SLM WebSphere DataPowerを通過するメッセージのカウント。設定した閾値を越えるとアクション
(ログ、キューイング、拒否)を実行
Checkpoint Event WS-Management エージェントおよびSLMの情報取得
チェックポイントイベントは認証、リクエスト、レスポンス、フォルトから選択
-
WebSphere DataPower
26
アクションの非同期処理
各アクションで非同期(Asynchronous)を指定可能
非同期アクションの終了を待たずに、ルール内の次のアクションの処理が可能
ログアクションなどアクションの処理結果を待つ必要がない場合に有効
複数のアクション実行によるネットワークI/Oおよび遅延の削減
-
WebSphere DataPower
27
その他管理機能
デバッグ機能:Probe機能メッセージ処理をアクション毎に確認可能
ロギング
外部書き出し(syslog,SNMPサポート)debugモード、errorモードなどログレベルを選択可能
SMTPによる通知が可能製品購入時、HDDオプションをつけることにより、HDDにログを保管することが可能
WebSphere DataPowerの監視ツールSNMPITCAM for SOA *
Probe
Log
通過するメッセー
ジを表示
アクション毎のメッ
セージの確認が
可能
* IBM Tivoli Composite Application Manager for SOA
-
WebSphere DataPower
28
WebSphere DataPowerによる セキュリティー対策
-
WebSphere DataPower
29
システム連携におけるセキュリティー課題
正当なXML/SOAP
IP Fir
ewall
IP Fir
ewall
DMZ SecuredInternet
不正なXML/SOAP
XML特有な攻撃
サービス
プロバイダー
認証・認可XML復号XML署名検証スキーマ検証サービスの処理
リクエスター
Webサーバー
SSL認証SSL復号HTTPレベルの検証
DMZ 上の Web サーバーなどを経由する構成IP Firewallでは、XML DoS攻撃などの脅威に対しては脆弱Web サーバーでは認証・認可を行わないため(行わない場合)、様々な不正なメッセージを含む、全てのメッセージがプロバイダー用のノードまで到達する
SSLレベルの認証・復号以外の、全ての負荷がプロバイダー用のノードに集中する
-
WebSphere DataPower
30
WebSphere DataPowerによるセキュリティー対策概要トランスポートレベルとメッセージレベルのセキュリティーを提供
広範囲なセキュリティー機能を提供
暗号・復号
SSLによる暗号・復号WS-Security/XML暗号・復号
署名・署名検証
XML署名・署名検証認証・認可・監査
SSLクライアント認証メッセージに含まれるユーザー情報・認証情報による認証・認可
監査ログの取得
不正XMLへの防御XML脅威への防御スキーマ検証
GUIベースでシンプルに設定可能ウィザードに従って、必要な設定項目のみを表示
柔軟なセキュリティー設定も可能
-
WebSphere DataPower
31
WebSphere DataPower を使用した構成DMZ 上に セキュリティー・ゲートウェイとして設置し、認証・認可および XML の検証を行う
アプリケーション側でセキュリティーを意識する必要が無く、複数プロバイダーに対して設定する必要が無い
WebSphere DataPowerで認証・認可を行うことにより、アクセス権のないメッセージをプロバイダーに到達させない
メッセージレベルの復号や署名の検証の負荷を、プロバイダーのノードからオフロード
不正なメッセージを検知、XML threat, XML DoS攻撃の防御
正当なXML/SOAP
IP Fir
ewall
IP Fir
ewall
DMZ SecuredInternet
不正なXML/SOAP
XML特有な攻撃
サービス
プロバイダー
サービスの処理
リクエスター
WebSphere DataPower セキュリティー・ゲートウェイ
認証・認可不正XML の検証
SSL復号XML復号XML署名検証
-
WebSphere DataPower
32
AAA
柔軟なAAA (認証、認可、監査) ポリシー
IDの抽出
HTTPヘッダーWS-SecurityトークンWS-SecureConversationWS-TrustKerberosX.509SAMLアサーションIPアドレスLTPAトークンカスタム
認証
リソースの抽出
URLSOAPオペレーションHTTPオペレーションカスタム
LDAPSystem/z NSS (RACF, SAF)Tivoli Access ManagerKerberosWS-TrustNetegrity SiteMinderRADIUSSAMLLTPA署名検証カスタム
認可Audit &
Post-Process
IDのマップ
リソースのマップ
LDAPActiveDirectorySystem/z NSSTivoli Access ManagerSAMLXACMLカスタム
WS-Securityの付加z/OS ICRXトークンの生成Kerberosの生成SAMLの生成LTPAの生成Tivoli Federated Identityに
マップ
外部アクセス制御サーバー/DataPower上のID管理ストア
入力メッセージ
出力メッセージ
-
WebSphere DataPower
33
WebSphere DataPowerによるXML脅威への防御XML脅威への防御機能
Single Message XML Denial of Service (XDoS) Protection 悪意のあるXMLメッセージから防御
Multiple Message XML Denial of Service (MMXDoS) Protection大量のXMLリクエストにより負荷を増大させる攻撃への防御
SQL Injection Protection Protocol Threat Protection
サービスで使用するメッセージタイプ(SOAP/XML)を検証XML Virus (X-Virus) Protection
Attachmentのあるメッセージに対する制御Dictionary Attack Protection
パスワードハッキングなどの防御
-
WebSphere DataPower
34
WebSphere DataPowerデバイスセキュリティー
Hardware
ファームウェア
XMLAcceleration
CryptoAcceleration
構成情報
管理者
WebGUI、SSH接続などで構成管理
脆弱性を最小限に抑えたWebSphere DataPowerデバイスハードディスク、USB、CD-ROMをもたない
製品オーダー時にログ用のハードディスクオプションを選択可能
ハードディスクオプションを付けない場合はコンパクトフラッシュ
ファームウェアは署名・暗号化
ソフトウェアの導入は不可
全ての設定がデフォルトOFFHardwareには秘密鍵、ログを保管タンパー・プルーフ・デバイス
解体等の操作を行うと、格納されたデータが消去されるため、秘密鍵などを不正に取り出すことが不可能
http://www.dell.com/us/en/gen/topics/segtopic_opti.htm
-
WebSphere DataPower
35
WebSphere DataPowerの配置と負荷分散
-
WebSphere DataPower
36
DataPower(Active-Active)
DataPowerから生死確認ヘルスチェック
WebSphere DataPowerの基本構成リクエスター(クライアント)
Application Optimizationオプションの付加によりDataPowerの前段の負荷分散装置が不要に
ロードバランサー(Active-Standby)
DataPower(Active-Active)
DataPowerの生死確認
DataPowerから生死確認ヘルスチェック
-
WebSphere DataPower
3737
Application Optimization(AO)オプション新規オプション機能(有償)
9235/ 9004モデル XI50 、XS40モデルに実装可能
DataPowerのバックエン
ドにルーティングと負荷
分散を実行
インバウンドリクエスト
をセルフバランシング
クライアント
静的な重みに基づくリクエストの負荷分散閾値に基づくフロントサイドリクエストのSLA管理
AOオプションの二つの機能セルフバランシング
2台以上のDataPowerで自身に負荷分散が可能です。それにより負荷分散装置をDataPowerの前段に配置する必要がなくなります。
インテリジェントな負荷分散
WebSphere NDやnon-WAS環境において負荷分散機能を提供します。
WAS NDのセルに問い合わせ、ロードバランサーグループを動的に作成
WAS NDセルから負荷分散を決定する重みを取得WAS NDメンバーとのセッションアフィニティーをサポートWAS以外のアプリケーションサーバーでもセッションアフィニティーをサポート
-
WebSphere DataPower
38
複数デバイスで定義したプール内でリクエストを分散
Application Optimization – セルフバランシング
DataPowerの前段に負荷分散装置は必要ない
クライアントには仮想IPを公開
同じ仮想IPを定義したDataPowerはグループの他のメンバーにトラフィックを分散
フェイルオーバーも可能
-
WebSphere DataPower
39
WebSphere Application Server環境では…WAS ND,VEのサーバーインスタンスのワークロード管理を利用
効果的にサーバーリソースを利用
リアルタイムのトラフィック条件によって動的に構成をアップデート
WASとDataPowerのアーキテクチャーフレームワークを使用ODCInfo アプリケーション (WebSphereセル内のDeployment Manager 上で稼動)を使用DataPowerは定期的にWLM情報を取得DataPowerのLoad Balancerオブジェクトでメンバーと重みをアップデート
Application Optimization – インテリジェントな負荷分散
-
WebSphere DataPower
40
Cookieベースのセッションアフィニティー効果的なセッションハンドリング
同一セッション内で全トランザクションを同じバックエンドサーバーに転送
DataPowerはどのバックエンド環境でも各種のアフィニティーモードを提供Passive (WASのみ), Active-Conditional, Active
IDテーブルを区分する更新によりフェイルオーバー
Application Optimization – インテリジェントな負荷分散
-
WebSphere DataPower
41
後段サーバーへの負荷分散機能
WebSphere DataPowerはロードバランス機能をもつため、WebSphere DataPowerの後段に負荷分散装置は不要
ロードバランシング機能WebSphere DataPowerの機能でサービスのロードバランシングが可能
first-alive:プライマリーサーバーがダウンした場合のみバックアップサーバーへ割り振りhash:クライアントIPによるアフィニティleast-connection:コネクションが最も少ないサーバーへの割り振りWeighted Least Connections:重み付けleast-connectionround-robin:ラウンドロビンweighted-round-robin:重み付けラウンドロビン
ヘルスチェック機能
サービスのレベルでの生死確認が可能
HTTP GETもしくはSOAPリクエストでの定期チェック– XPathを用いてレスポンスを走査– ダウンと検知したサーバーにはリクエストを転送しない
-
WebSphere DataPower
42
早期に構築するESBMQなどのプロトコル変換、データ変換を行うことでレガシーとの連携が可能
HTTP,MQ,WebSphereJMS,FTP,Tibco,IMSをサポートODBC接続によるDB連携
WebSphere DataPowerから始めて、将来BPELエンジンを使用した本格的SOA基盤構築サービスレベルモニタリング機能によるリクエストの監視
簡単にシステムを機能アップ
GUIによる簡単な構成設定面倒なWS-Securityも簡単に設定アプリケーションの改変なしにレガシーと連携
アプリケーションサーバーの負荷を軽減可能
専用デバイスによりXMLやSSL処理を効率化負荷のかかるセキュリティー処理、XML処理をオフロード
よりセキュアなシステムに
より安全な企業間・企業内連携を可能に
XML特有の攻撃に対する防御機能Webサービスのセキュリティレベルを容易にアップ
WebSphere DataPowerハードウェア・アプライアンスによるシンプルで高速なESB基盤
http://www.datapower.com/newsroom/pr_043003_nwc-award.html
-
WebSphere DataPower
43
事例紹介
-
WebSphere DataPower
44
日本のお客様事例
XML/SOAPSecuredInternet
XML 脅威防御
AquaLogicService Bus
Schema Validate SLM
不正XML/SOAP
企業顧客
XS40 Webサービスゲートウェイ
Log サーバー
SNMPサーバー
Route
Webサービスプロバイダー
XMLDos攻撃
商用システム
テストシステム
課題とニーズ
Webサービスを企業顧客にインターネット経由で公開するにあたり、システムおよびアプリケーションを保護する必要があった
全てのリクエストの正当性をチェック(悪意がなくても攻撃になりうる)企業顧客からのXMLメッセージをチェックし、正当なものだけ受け入れる
XML特有の攻撃パターンをフィルターリクエストがテスト段階のものか、商用サービスのリクエストかを見分けて、高速にルーティング
(企業顧客が本サービスを利用する場合、テストフェーズを経て正常稼動を確認した後、商用サービスへと移行する)
接続先の企業顧客の数が増加しても、動的更新が可能であること
BEA AquaLogic Serverとシームレスに連携できること
ソリューション
WebSphere DataPower XML Security Gatewayにて要件を全て満たせることを実証
Webサービス妥当性検証XML Threat Protectionとサービスレベルモニタリング機能によるXMLDos攻撃対策XMLメッセージの中身に応じたルーティング(コンテンツベースルーティング)WebSphere DataPowerをn+1台構成にすることでスケーラビリティーを確保WebSphere DataPowerの監視はSNMPを使用
-
WebSphere DataPower
45
Wachovia セキュアでリアルタイムの
ATM- 支店間処理を実現
課題とニーズ
ATMでの“処理”情報をFTPで一晩かけて銀行支店に転送セキュリティのため固定IPアドレスやVPNを利用ネットワークも機器も、リソースは飽和状態。
銀行間の小切手取引も電子取引“Check21”に対応する必要(詐欺防止、ペーパーレス化のチェックプロセス)
ハイボリュームでリアルタイムの処理をセキュリティを確保しながらコストを下げる方
法を模索
ソリューション
WebSphere DataPower XI50をDMZに導入。入ってくるメッセージをチェック、フォーマット変換、メッセージをルーティング
メッセージ・レベルのセキュリティ、暗号化、デジタル署名、アクセス制御の機能で、VPNを使わなくてもセキュアな転送。バッチファイルの代わりに、“メッセージ”でATMからほぼリアルタイムに銀行の支店に送付。
次フェーズ、MQとの統合も予定導入効果
2~3週間で運用開始。(他の方法では6ヶ月の構築期間)
ハイボリュームの処理を安全でリアルタイムに実現。月間の取扱量が増大
VPN利用料金の削減本来のコアビジネスへの投資を可能に。
フォーマット変換
コンテンツベースルーティング
認証
米国最大規模の金融機関。一般的な預金のほか、資産管理、コーポレートバンキング、投資銀行業
務など多様に展開
XI50AppServer
WEBサービス
リクエスター
ATM
ATM
クライアント
認証サーバー
認証要求
WEBサービス
リクエスター
-
WebSphere DataPower
46
ING Bank Slaski 既存システムを変更せず、新業務をWebサービスで提供
XI50バックエンド・
システム
クライアント
MQマネージャー
MQ
プロトコル変換
フォーマット変換
MQ経由でレガシーに接続
ヨーロッパ本拠地の世界的金融機関。銀行業務、保険、アセットマネジメント・
サービスを提供
FTPサーバー
WEBアプリケーション・
サーバー
MQ
FTP
HTTP
クライアント
クライアント
ソリューション
WebSphere DataPower XI50 を2台導入お客様やパートナーからは、XMLでデータを受け取り、DPでプロトコル変換し、MQでバックエンドのシステムへ転送。
DPはデータをASCII からEBCDICに
いくつかの金融取引と銀行業務をWebサービスで直接お客様にオンライン・サービスとして提供
導入効果
バックエンドのアプリケーションに手をいれないことで、コストを抑えて、変化に柔軟なインフラを構築
新規サービスへの早期対応
早期に投資の回収
課題とニーズ
24時間365日のオンライン・サービスなどの新サービスの提供既存システムでは変更の為のアプリ開発に時間がかかる
既存システムに手を入れずに、お客様サービスにも、販売チャネルとのプロセスにも、柔軟に対応・拡張していけるインフラを検討
-
WebSphere DataPower
47
課題とニーズ1) 既存ESB(RR Bus)のおきかえ2)インターネット、イントラネットのアプリケーション用に新しい Web サービスセキュリティーの導入が必要既存ESB (RR Bus)をJ2EEサーバー上に自前で構築していたが、管理不可能に。22台の サーバーが、2007年末に44台になる予定であった。2007年-2008年にかけて、 schwab.comサイトが、RR Bus のインフラに移行するため、負荷が増えることが予想されていた。
解決策
WebSphere DataPower Integration Appliance XI50 とWebSphere DataPower XML Security Gateway XS40を導入.RR Bus – 22台のJ2EEサーバーを4台のDataPower XI50 Integration appliancesでおきかえWeb サービスセキュリティー – 2台のDataPower XS40 XML Security Gateway Appliancesで、インターネット、イントラネットのアプリケーション用に標準のWeb サービスセキュリティーを提供
導入効果
自前のルーティングソリューションを簡素化-22台のサーバーに比べ、4台の管理で済むので保守と管理が大幅に簡素化1年目で投資を回収予定リアルタイムのルーティングとメインフレームへのトランザクション処理を提供
新サービスの構築: Webサービスセキュリティー
WebSphere DataPower Integration Appliance XI50WebSphere DataPower XML Security Gateway XS40WebSphere MQ
Charles Schwab 大手オンライン証券会社
-
WebSphere DataPower
48
イギリス某都市
警察署 Webサービスセキュリティの導入により犯罪率を減少
ソリューション2台のWebSphere DataPower XS40を導入署内インフラはMS BizTalk,SQL Serverが導入されており、これら既存システムとのシームレスな連携が可能であることが前提条件
導入効果WebSphere DataPowerの導入により、犯罪データを安全、且つリアルタイムに、協力機関と共有することが可能に規定のITセキュリティ要件に準拠し、犯罪発生率減少への非常に有効な手段に
XML FWとして導入XML攻撃をチェック・防御スキーマ検証デジタル署名・署名検証BizTalkと連携
課題とニーズ増え続ける犯罪撲滅を目的として、3年以内(2008/3まで)に犯罪発生率23%削減を目標警察の犯罪情報を他の協力機関と共有することは犯罪減少につながる重要な方策であったが、個人情報が含まれるため、取り扱いについてはイギリス個人情報保護法の準拠が必要既存のIPセキュリティは脆弱性があっため、情報を公開するためには適切なセキュリティを確保したIPファイヤーウォールインフラの導入が必須
国家警察シス
テムに連携
-
WebSphere DataPower
49
US US 大手携帯電話会社大手携帯電話会社 SOASOAを目指してを目指してESBESBの構築を実現の構築を実現
解決策
12台の WebSphere DataPower XI50を同社ネットワークのDMZに配置
他社のソフトウエアESB製品とのコンペであったが、構成上4倍以上の価格差により、WebSphere DataPower採用を決定ライセンス費用もさることながら、導入に際しての開発コスト、運用費用で圧倒的な金額差
その他、パフォーマンス、将来の拡張性でもWebSphere DataPowerの方が優位性ありと判断
導入効果
スケーラビリティが高く、導入設定、運用が容易なESB構築に成功パートナーとの社内システム共有の仕組みも、当初予定スケジュールよりも大幅に前倒しで構築
WebSphere DataPower Integration Appliance XI50
課題とニーズ外部のパートナーと社内システムを共有する仕組み構築の取り組みその仕組みとして、限られた予算内でXMLメッセージセキュリティの実装とメディエー ション機能を実現するESBの構築を検討
-
WebSphere DataPower
50
WebSphere
DataPower
価格
¥12,155,000~
¥10,296,000~XMLセキュリティー
機能
XML 統合と既存のシステム
との接続機能の追加
XS40 XML セキュリティ・ゲートウェイ
XI50 インテグレーション・アプライアンスWebSphere DataPower XI50
WebSphere DataPower XS40
Option for Tivoli Access Manager ¥772,200
Option for Database Connectivity ¥772,200Option for Tibco ¥893,800
※1年目の保守費用が含まれています
¥15,802,000
¥15,015,000
B2B メッセージング
(AS2/AS3)
XB60 B2Bアプライアンス
XM70 LLMアプライアンス低レイテンシーメッ
セージング
WebSphere DataPower XM70
WebSphere DataPower XB60
WebSphere DataPower製品のご紹介 IBMの提供するESB製品WebSphere DataPower アプライアンスとはアプライアンスによりクリティカルな機能をシンプルにし集中化DataPowerの革新WebSphere DataPower アプライアンス製品ラインナップWebSphere DataPower アプライアンスのユースケースXS40/XI50サポート機能スライド番号 9スライド番号 10構成ベースなので迅速に構築可能コンテンツベースルーティングにより効果的に既存資産を活用サービスレベル管理とロードバランスによりトラフィックを制限Webサービスを集中管理DataPowerトラフィックをモニタースライド番号 16スライド番号 17スライド番号 18WebSphere DataPowerの構成構成管理プライマリー・サービス 処理ポリシールール使用可能アクション -1-使用可能アクション –2-アクションの非同期処理その他管理機能スライド番号 28システム連携におけるセキュリティー課題WebSphere DataPowerによるセキュリティー対策概要WebSphere DataPower を使用した構成 柔軟なAAA (認証、認可、監査) ポリシーWebSphere DataPowerによるXML脅威への防御WebSphere DataPowerデバイスセキュリティースライド番号 35WebSphere DataPowerの基本構成Application Optimization(AO)オプションスライド番号 38スライド番号 39スライド番号 40後段サーバーへの負荷分散機能スライド番号 42スライド番号 43日本のお客様事例Wachovia�セキュアでリアルタイムの ATM- 支店間処理を実現スライド番号 46Charles Schwab 大手オンライン証券会社 イギリス某都市 警察署�Webサービスセキュリティの導入により犯罪率を減少US 大手携帯電話会社 ��SOAを目指してESBの構築を実現WebSphere DataPower 価格