Silverlineマネージド サービス プラットフォームでのAmazon CloudFrontの導入

グローバルなITソリューション企業である当社のとあるお客様は、自社の要件を満たすことができるさまざまなサービスやソリューションを評価する中で、コンテンツ デリバリ ネットワーク（CDN）、Web Application Firewall（WAF）、詐欺/ボットや分散型サービス拒否（DDoS）攻撃からの保護を組み合わせたソリューションを導入・運用する際の変数について幅広く検討しました。さまざまな分析と複数のチームとの内部協議の結果、このお客様はF5 SilverlineとAmazon CloudFrontコンテンツ デリバリ ネットワークの組み合わせが最良のソリューションであると判断されました。

お客様がこのソリューションを選んだ理由は、マネージド セキュリティ サービス、迅速な導入、プロビジョニングと保守・運用コストの削減を実現するためでした。お客様の社内チームは、Webサイトの進化に向けた計画を定義し、進行中の業務に大きな影響を与えることなく、計画の各フェーズを迅速に完了させることに集中しました。

導入の容易さ、そしてアーキテクチャのメリットが組み合わされることにより、継続的なパフォーマンスの向上、セキュリティ管理の強化、SIEMやその他のログ分析プラットフォームへのデータエクスポート機能を備えた広範なレポート機能とログ機能が実現されました。これにより、お客様のチームは、シームレスで魅力的なカスタマ エクスペリエンスの提供という、最も得意とすることに集中できました。

お客様が計画の第4フェーズ（図1）の実施にF5とAWSのソリューションを選択したのは、主に各サービスが提供する構成の柔軟性、運用コストの低さ、何度も繰り返しながら長期的にシステムを成長させることができる能力が理由です。また、Silverlineプラットフォームを継続的に監視しているF5 Silverline Security Operations Center（SOC）のアナリストと連携できることも大きな要因でした（SilverlineはF5のクラウドベースのManaged Security Servicesプラットフォームです）。SOCのアナリストにより、お客様はセキュリティ体制を定義し、システムのユーザビリティを最大化することができました。これにより、お客様はスムーズなエクスペリエンスを提供しながら、詐欺や不正利用と徹底的に戦うことができるようになりました。

Webアプリケーションの進化に伴うパフォーマンス向上と運用コストのバランスを取りながら、高速で安全、かつスムーズなカスタマ エクスペリエンスを提供する

企業は、Webアプリケーションを構築・設計する際に、さまざまな課題や制約に直面します。主な検討事項は、アプリケーションのライフサイクルを通じて継続的にパフォーマンスを改善できるよう、効率的に技術の取得、導入、管理にかかるコストと人員のバランスをとることです。下の図は、Webアプリケーションを進化させるために必要なコストとパフォーマンスのバランスについて、当社のお客様が行った分析を示しています。

図1：F5 Silverlineのお客様のWebアプリケーション パフォーマンス ライフサイクル

初期フェーズでは、アプリケーションの導入と顧客獲得に重点が置かれました。目標を達成するために実行されたステップを次に示します。

第2フェーズでは、顧客基盤の獲得とさらなる拡大に向けた強化・改善に重点が置かれました。

第3フェーズでは、お客様はF5 Silverlineのアカウント チームと協力して、マネージド セキュリティ コンポーネントを導入し、アプリケーションが拡張し、生成されるすべてのトラフィックに対応できるようにAmazon CloudFrontを構成しました。

第4フェーズでは、お客様は顧客のリクエストを分析し、多くの顧客が米国以外の国から取引をしていることを特定しました。この所見に加え、米国での需要が増加しているという追加の分析が、範囲を拡大して、グローバルなパフォーマンスを向上するためにAmazon CloudFrontを導入する動機となりました。

最終フェーズでは、コロケーション サービスとSaaS/IaaS/PaaSプラットフォームを組み合わせたハイブリッド環境を導入し、運用能力の向上と変化の激しいグローバル市場環境への適応に重点が置かれました。

この記事では、Amazon CloudFrontとF5 Silverlineマネージド セキュリティ サービス プラットフォームの第4フェーズの統合を完了するために、お客様が実行した技術的なステップを中心に説明します。

サービス導入とシステム統合を成功させるための基本的な要件

Amazon CloudFrontをF5 Silverlineプラットフォームに統合する準備として、このお客様は、Silverlineチームの支援を受けながら、以下の項目をプロビジョニングしました。

お客様が最大限のパフォーマンスとエンゲージメント エクスペリエンスをグローバルに得られるよう、セキュアでスケーラブルなネットワークを構築する

マルチホーム リンクと複数のサービスを備えた安全で高速なグローバル ネットワークを導入することは、どの組織にとっても容易なことではありません。幸いなことに、F5とAWSが提供できるインフラストラクチャとサービスへの投資を組み合わせることで、お客様はメリットを得ることができます。これにより、お客様は、アプリケーションを最大限に有効活用するために迅速に導入できるソリューションを構築し、投資収益を即座に実感することができます。

当社のお客様が導入したアーキテクチャを下の図に示します。

図2：シームレスなシステム統合によるスムーズなカスタマ エクスペリエンス

導入しやすいことで、迅速な統合が可能に

組織は、競争上の優位性やコスト削減を得るために、市場の課題に迅速に対応するアプリケーションを導入する必要に迫られています。大規模なリソースと追加コストを必要とする導入に比べて、短期間で実行できる導入は大きな利点をもたらします。F5とAWSを使用すれば、これらの構成の導入は簡単です。お客様が構成するためのコンポーネントとデータをすべて準備していれば、数分で完了します。

第3フェーズが完了すると、当社のお客様は第4フェーズへと進みました。このフェーズでは、Amazon CloudFrontとF5 Silverlineプラットフォームの統合に焦点を当て、以下のステップが含まれていました。

当社のSilverline SOCチームがポータル アカウントを導入すると、お客様はログインして、プロキシ表示名、FQDN（完全修飾ドメイン名）、オリジン サーバーIPアドレスまたはELB CNAME（正規名レコード）、脅威インテリジェンス プロファイル、WAFポリシー、SSL証明書、詐欺/ボット対策エンドポイントに必須の設定を行うプロキシ ルート オブジェクトを構成できるようになります。お客様は、オンボーディング フェーズにおいて、Silverline SOCアナリストとこれらのステップを確認します。また、プロキシの導入をサポートするSOCアナリストと連携することもできます。

図3：プロキシ オブジェクトの追加と設定

プロキシが保存され、Silverlineプラットフォームに導入されると、お客様はAmazon CloudFrontネットワークのオリジンとして使用される一意のCNAMEを受け取ります。お客様は、導入後にメインの構成パネルでこのプロキシCNAMEを見つけることができます。

図4：SilverlineのプロキシCNAME

プロキシを有効にすると、すぐにトラフィックを受け取る準備ができ、そのサービスが設定されるとすぐにCloudFrontからのユーザー リクエストをルーティングするために使用できるようになります。

Amazon CloudFront - サービス構成

CloudFrontとの統合をスムーズに行うには、お客様は以下の情報を事前に入手しておく必要があります。

これらのコンポーネントが配置され、プロビジョニングされると、お客様はAWS管理コンソールに移動してCloudFrontの構成を開始することができます。コンソール メニューから、［Networking & Content Delivery］/ CloudFrontサブカテゴリを見つけて選択します。［Distributions］リンクを見つけて選択し、初期ディストリビューションの作成に進みます。

図5：AWS管理コンソールとCloudFrontのナビゲーション

図6：CloudFrontの［Distributions］パネル

オブジェクトの構成を開始するには、［Create Distribution］コントロールを選択します。［Specific Deliver Method］を作成するよう求めるプロンプトが表示される場合があります。当社のお客様は、［Web］のデリバリ方法を選択しました。

［Get Started］コントロールを選択します。以下のパネルがブラウザ上に表示されます。［Origin Settings］を次に示すように構成します。

図7：CloudFrontの［Distributions］構成パネル - ［Origin Settings］

変更が必要でない限り、［Origin Connection Attempts］、［Origin Timeout］、［Origin Response Timeout］、［Origin Keep-Alive Timeout］、［HTTP］、および［HTTPS Ports］については、デフォルトのままにしてください。

［Origin Customer Headers］：カスタム ヘッダーのキーと値は、オリジンへのすべてのリクエストに含まれます。これらの設定は、CloudFrontから発信されていないSilverlineプロキシでのリクエストをフィルタリングするために使用することもできます。

［Default Cache Behavior Settings］は、アプリケーション開発者、情報技術チーム、DevOpsチーム、セキュリティ チーム、およびその他のステークホルダーによって定義された内部ポリシーに従ってプログラムできます。値の変更によって、アプリケーションの全体的な運用にどの程度の影響があるかを理解することの重要性を強調することが不可欠です。F5 Silverlineは、各設定がコスト、セキュリティのリスク、パフォーマンスへの影響、およびSilverline WAFまたはボット/不正対策との相互作用に差異をもたらす可能性があるため、進化的アプローチを推奨しています。AWSでは、各コントロールを適用する方法と、それが既存の運用に及ぼす可能性のある影響を理解するのに役立つドキュメントを、管理コンソールで入手できます。また、当社のSilverline SOCアナリストも、これらの設定がSilverlineのプロキシ、WAFまたはボット/不正対策に与える影響について情報を提供します。

図8：CloudFrontの［Distributions］構成パネル - ［Default Cache Behavior Settings］

［Distribution Settings］も運用にかなりの影響を与える可能性があります。さらに、以下の設定を検討することをお勧めします。

図9：CloudFrontの［Distributions］構成パネル - ［Distribution Settings］

最後のステップは、ディストリビューションの作成に関するものです。

これには数分かかりますが、完了すると、お客様はCNAMEを受け取ることができます。

図10：CloudFrontの［Distributions］ - ［Create Distribution］コントロール

Amazon CloudFrontによって発行されるCNAMEを、アプリケーションに向かうトラフィックの解決策に関する当局の記録としてAWS Route 53で使用できるようになりました。

当社のお客様の社内のセキュリティ、情報技術、運用、開発の各チームは、顧客エンゲージメントとマーケティング戦略の目標に最適なソリューションの評価に多くの時間を費やしました。お客様がソリューションを選択した後、実装は何の障害もなく進み、数分後にはサービスやアプリケーションをグローバルに稼働させ、世界中のお客様に、よりスムーズで迅速なエンゲージメント エクスペリエンスを提供することができました。