ブログ

F5 SSL Orchestrator、強力なパートナーシップにより顧客にさらなるメリットを提供

フランク・ストロベル サムネイル
フランク・ストロベル
2018年7月25日公開

F5 がSSL Orchestrator (SSLO) 製品の新リリースを準備する中、顧客のセキュリティにおいてパートナーシップが果たす重要な役割に再び注目する時期が来ています。 F5 では、世界有数のセキュリティ企業の多くと提携して、セキュリティを強化し、規模と可用性を高め、運用コストを削減するエコシステムを構築しています。 こうした緊密な連携の最終的な目標は、両社の共通のお客様にメリットをもたらす統合と相互運用性を促進することです。SSLO は、この相互運用性を実際に実現したモデル例です。

F5 SSL Orchestrator とパートナーのソリューションの統合について説明する前に、まずこの製品の機能について簡単におさらいしておきましょう。

SSL/TLS で脅威を見逃さないようにしましょう

SSL について話すとき、基本的には暗号化について話しています。 暗号化に関して難しいのは、不正な内容がないか検査するために必要なすべての復号化と再暗号化を実行するには、多くのリソースが必要になることです。 この場合の「悪質なもの」とは、DDoS 攻撃、[ゼロデイ] Web エクスプロイト、ドロッパー [バイナリ]、マルチプロトコル コールバックなど、非常に専門的な用語です。

F5 SSL Orchestrator は、暗号化によって生じる盲点を解決するための当社の答えです。 この多用途のソフトウェア ソリューションは、さまざまな F5 プラットフォームで利用可能で、SSL/TLS 暗号化トラフィックの非常に効率的な可視性をセキュリティ デバイスに提供することで、SSL インフラストラクチャを最適化するように特別に設計されています。 また、ポリシーベースの管理と既存のセキュリティ デバイスへのトラフィックのステアリングもサポートしているため、既存のアーキテクチャや他のベンダーのソリューションに簡単に統合でき、すべての暗号化されたトラフィックに企業のセキュリティ制御を簡単に適用できます。

動的サービスチェイニング - 一度復号し、頻繁に検査し、一度再暗号化する

特定のセキュリティ上の課題を解決するために、IT 管理者は通常、複数のポイント製品を連結して包括的なセキュリティ スタックを作成します。 スタックには、たとえば、データ損失防止 (DLP) スキャナー、Web アプリケーション ファイアウォール (WAF)、Web プロキシ、侵入防止システム (IPS)、マルウェア分析ツールなどが含まれる場合があります。 SSL Orchestrator は、トラフィックをバイパスするか、復号化していずれかのサービスに送信するかを決定することで、このようなチェーンの作成と保守を容易にします。 このようにポリシーを使用してトラフィック ステアリングを自動化すると、管理コストが削減され、セキュリティ サービスへの既存の投資からより多くの価値を得ることができます。

FireEye ® とのパートナーシップは、 SSLO サービス チェーンが価値をもたらす一例です。 従来、FireEye Network Security などの侵入防止システム (IPS) はインラインで導入され、すべてのトラフィックがそこを通過していました。つまり、トラフィックが暗号化されているため実際には検査できないにもかかわらず、暗号化されたトラフィックを処理できるサイズにする必要がありました。 最新のソリューションははるかに効率的です。 SSL Orchestrator を利用することで、検査が必要なトラフィックのみを IPS に送信できるようになります。

「FireEye と F5 の SSL Orchestrator の統合により、FireEye ネットワーク セキュリティ オファリングの機能が拡張され、追加のデータ形式が含まれ、より広範なユース ケースが提供されるようになります」と、FireEye の戦略テクノロジー パートナー担当副社長 Rich Stegina 氏は述べています。 「コンテンツの復号化と暗号化の負担がなくなると、FireEye セキュリティ ソリューションのパフォーマンスが向上します。 このような状況では、当社のクライアントは潜在的なセキュリティ脅威に対する可視性を高めることができます。」
[図 1 – F5 SSL Orchestrator によるインテリジェントなサービス チェーニング]

次世代ファイアウォールは、SSL Orchestrator のメリットを享受できるネットワーク デバイスのもう 1 つの優れた例です。 たとえば、主要なCisco Firepower NGFW は、統合管理機能を備えた、脅威に焦点を当てた完全に統合された次世代ファイアウォールおよび次世代侵入防止システムです。 攻撃前、攻撃中、攻撃後に高度な脅威保護を独自に提供します。

また、これまでと同様に、Cisco Firepower NGFWが SSLO サービス チェーンの一部である場合、F5 はクラス最高の SSL ハードウェア アクセラレーションを使用して SSL 復号化/再暗号化を集中管理し、スタック内のすべてのセキュリティ検査ホップにおける処理の負担を軽減します。 復号化/再暗号化が不要になるため、Cisco Firepower NGFW は本来の目的に集中できます。

「Cisco Firepower NGFW は、膨大な量のトラフィックに対して、驚くほど多様なタスクを実行します」と、シスコのテクニカル アライアンス マネージャーである Douglas Hurd 氏は述べています。「お客様はオンボードの SSL 復号化を使用して可視性を高めることができますが、多くのお客様は、この計算集約型の作業を F5 SSL Orchestrator でオフロードすることを選択します。つまり、私たちは、重要な部分、つまりお客様の保護に、より多くの処理能力を投入できるのです。」

他の多くのパートナーも、自社の製品またはソリューションのアップストリームに SSL Orchestrator を導入することでメリットを得ています。 Symantec DLPツールもよい例であり、 RSA NetWitness SuitePalo Alto Networks の Next-Gen Firewallも同様です。 実際、トラフィックを検査するあらゆるサービスは、関連性のある実用的なデータのみをパススルーする SSL Orchestrator の機能から恩恵を受けることになります。 その利点は明らかです:

  • トラフィック管理が改善されると、セキュリティ インフラストラクチャが向上し、アプリケーションがスムーズに実行されます。
  • サービス チェーニングには、トラフィックを 1 回だけ復号化すればよく、複数の検査ポイントが可能になり、トラフィックを 1 回再暗号化するだけで済むという利点があります。
  • セキュリティ スタック内の復号化されたトラフィックのインテリジェントなオーケストレーションにより、デイジー チェーン パラダイムが解消され、デバイスの独立したアドレス指定、負荷分散、監視、フェイルオーバーが可能になり、他のセキュリティ デバイスに関係なく、最終的にはスケーラブルになります。
  • 高度な復号化機能により、暗号化されたトラフィック内に脅威が隠れないことが保証されます。

さらなる発展が期待される

今年後半にリリースされる SSL Orchestrator の新機能にご期待ください。 SSLO は、非常に幅広いデバイスやソリューションに重要な機能を提供するため、急速に当社の主力製品の 1 つになりつつあり、当社はパートナーと顧客の両方に価値を提供し続けるために懸命に取り組んでいます。

もっと詳しく知る