ブログ

Amazon AWS 向けの新しい Auto Scaling およびスタンドアロン WAF ソリューション

トム・アトキンス サムネイル
トム・アトキンス
2017 年 6 月 19 日公開

まずは少し話題から外れますが、世界で最も人気のあるビデオオンデマンドサービスである Netflix についてお話ししましょう。 2009年から2016年にかけて、Netflixは加入者数が1,200万人から4,800万人強へと驚異的な増加を記録し、2016年の最後の3か月だけで143万人の新規顧客を獲得しました。 もしあなたがその時期に Netflix の主要株主になる幸運に恵まれたのなら、おそらく銀行に向かって大金を笑いながら歩いていただろう。しかし、この爆発的な成長を支えるインフラの提供を任された IT チームの一員だったなら、頭を悩ませていたかもしれない。

需要の増加に対応するために自社のデータセンターを拡張することは、関連する資本支出と運用コスト、さらには管理上の問題が発生することから、単純に実現不可能でした。 そこで、同時期に彼らは未知の世界に足を踏み入れ、すべての業務を AWS クラウドに移行し、クラウドベンダーが提供する無制限とも思えるスケーラビリティを活用できるようにする 7 年間のプロジェクトに着手しました。 ご存知のとおり、彼らは最近この偉業を達成しました。

「これで仕事は完了」と思う人もいるかもしれないが、それは間違いだ。 ご存知のように、長期的には需要の増加に合わせて規模を拡大する能力は重要ですが、短期的に需要が大きく変動した場合はどうなるでしょうか? 最近の調査によると、インターネットのラッシュアワー(午後7時から午後11時)には、Netflix が米国のダウンストリームトラフィック全体の 35.2% を占めていましたが、予想通り、この時間帯以外はその割合ははるかに小さく、この投稿から引用した以下の図 1 に示すように、需要の周期的な変動を引き起こしていました。

[図 1 – 5 日間の Netflix トラフィックの例]

この需要の大きな変動に対処するために、Netflix は独自の自動スケーリングアルゴリズムであるScryer を実装しました。これにより、ラッシュアワーの需要を処理するのに十分な AWS EC2 インスタンスをプロビジョニングしながら、要件を満たさないと判断されたインスタンスを取り消すことも可能になりました。 これにより、ピーク時にはユーザーに最高品質のサービスを提供すると同時に、オフピーク時には計算オーバーヘッドを最小限に抑えることができました。

これは単なる例であり、F5 のソリューションと特に関係はありませんが、現代における自動スケーリング ソリューションの必要性を理解していただくとともに、この投稿の核心である F5 の新しい自動スケーリング Web アプリケーション ファイアウォール (WAF) ソリューションについて説明します。

関連して、2016 年のデータ侵害の約 40%がアプリケーション層攻撃によるものだったことをご存知ですか? アプリケーションの需要は日々、時間ごとに変化する可能性がありますが、その保護を確実にする必要性は変わりません。 アプリケーションとそのデータのセキュリティがプロセス中に危険にさらされる場合、さまざまなスループットをサポートするように拡張できるソリューションは役に立ちません。 F5 の新しい AWS 向け自動スケーリング WAF ソリューションは、トラフィック レベルに関係なくアプリケーションに必要なエンタープライズ グレードのセキュリティを提供し、必要なパブリック クラウド リソースのみをプロビジョニングして支払うことを保証します。

WAF ソリューションの中核は、業界で実証され ICSA 認定を受けた BIG-IP ASM とBIG-IP LTMです。これらを組み合わせることで、L7 DDoS 攻撃、OWASP トップ 10 の脅威、悪意のあるボット攻撃などの高度な攻撃ベクトルに対する包括的な保護が提供されます。 BIG-IP ASM は、自動学習機能、動的プロファイリング、リスクベースのポリシーを使用して、追加のセキュリティ予防措置を講じ、最も複雑な攻撃がアプリケーション サーバーに到達するのを防ぐこともできます。

しかし、自動スケーリングコンポーネントはどうでしょうか? ソリューションを実行するために必要なものはすべて、BIG-IP仮想エディションS3 バケットからAuto Scaling グループCloudWatch アラームまで、AWS CloudFormation テンプレートにバンドルされており、これらのサービスが本能的に相互に連携して完全に自律的なソリューションを提供します。 テンプレートを起動する前に、ユーザーからいくつかのパラメータ入力が必要です。たとえば、いつでも動作する必要がある VE インスタンスの最小数や、超過すると自動スケーリング グループにインスタンスを起動または取り消すように指示するスループットしきい値 (通常は最大インスタンス スループットの 80% と 20%) などです。 スピンアップされた VE インスタンスは、図 2 に示すように、AWS アベイラビリティーゾーン全体に分散され、可用性がさらに向上します。

[図 2 – F5 の AWS 向け Auto Scale WAF ソリューションのトポロジ]

このソリューションは、BIG-IP と AWS のベストプラクティスに従って F5 の専門家によって設計され、完全にテストされており、導入エクスペリエンスを簡素化し、ユーザーが自信を持って F5 プラットフォームを導入できるようにします。 ソリューション内の BIG-IP ASM インスタンスは、F5 によって作成された事前構成済みのセキュリティ ポリシーを使用して導入されるか、個々のアプリケーションに固有のカスタマイズされたポリシーを使用して導入されます。

つまり、アプリケーションの需要に合わせて拡張し、最も複雑なレイヤー 7 攻撃から継続的に保護する完全な WAF ソリューションが実現します。 数回のクリックで AWS マーケットプレイスから直接デプロイできるため、このセットアップ全体を 1 時間以内に AWS VPC 内で実装して運用できます。

ここで付け加えておきたいのは、ここでは主に自動スケーリング WAF ソリューションに焦点を当てていますが、同じ AWS Marketplace の提供を通じて、より予測可能で一貫性のあるトラフィックフローでアプリケーションを保護するためにスタンドアロン WAF イメージをデプロイできるということです。 自動スケーリングとスタンドアロン ソリューションはどちらも、インスタンスあたり 25 Mbps、200 Mbps、または 1 Gbps の柔軟なスループット オプションを備えた PAYG (従量課金制) VE インスタンスを活用します。

詳細については、CloudFormation テンプレートの動作に関するより詳しい技術的情報を提供する GitHub の自動スケール WAF リポジトリを確認するか、ここにあるマーケットプレイス ページにアクセスしてください。

関連リソース

BIG-IP ASM データシート

パブリッククラウドにおける F5

AWS マーケットプレイス – F5 WAF ソリューション

Azure Marketplace – F5 WAF ソリューション

クラウド ソリューション テンプレート – DevCentral の記事

AWS の Auto Scale WAF CFT の更新 – DevCentral の記事