F5で第1層アプリケーションのワークロードをAWSに移行

はじめに

実稼働環境のワークロードをパブリッククラウドに移行または導入しようとしている企業は、プラットフォームとしてAmazon Web Services（AWS）を検討することが多いでしょう。現在、AWSを利用している顧客は190か国で100万を超え、これには2,000の政府機関と5,000の教育機関が含まれています。¹Gartnerによると、AWSは売上高（47％）²でも、パブリッククラウドのInfrastructure-as-a-Service（IaaS）に導入されたアプリケーションワークロードのシェア（41.5％）²でも、圧倒的な市場シェアを維持しています。この記事ではエンタープライズアプリケーションにおけるパブリッククラウドの広範な導入を妨げている多くの要因について検討し、F5 Application Delivery ServicesがAWSの導入を促進するうえでどれほど重要な役割を果たしているかを解説します。

インフラストラクチャとサービスを迅速に導入する必要性

多くの企業にとって、アプリケーションはパフォーマンスパラメータが明確に定義されている静的なリソースではありません。ユーザーエクスペリエンスに影響を与えないように、予期せぬ需要の急増が発生するたびに対応できなければなりません。社内のITサービスは柔軟性に欠け、固定資産への投資が必要なため、IT組織は従来から平均的な需要ではなくピーク時の需要を満たすようにインフラストラクチャやアプリケーションリソースをプロビジョニングすることで、需要の変動に対応してきました。しかし、新たなインフラストラクチャやネットワーキング、関連するアプリケーションリソースの調達と導入は複雑で時間のかかるプロセスであり、相当なCapEx投資を必要とします。

AWSはインフラストラクチャやソフトウェア資産に必要な投資を既に行っているためこの課題の一部を解決しており、企業はリソースをオーバープロビジョニングすることなく、容量に制限がないことの恩恵を受けることができます。AWSのようなパブリッククラウドIaaSプロバイダを利用するメリットは、企業が新しいアプリケーションを迅速に導入できる俊敏性、オンデマンドでリソースを割り当てることができる柔軟性、そしてCapExモデルと比べた場合のOpExモデルの経済性にあります。

パブリッククラウドにアプリケーションを移行する際に企業が抱く懸念

クラウドへのアプリケーションの移行を検討する際にITチームが抱く最大の懸念がアプリケーションのセキュリティ、パフォーマンス、管理制御であることは当然のことです。AWSはこれらのアプリケーションデリバリ要素のいくつかに対処する多くのネイティブのツールやサービスを提供していますが、それらのツールのさまざまな機能がアプリケーションの要件を満たしていない場合もあります。

セキュリティ

今日の脅威の状況を考えると、ほとんどの組織がクラウドでホストされているアプリケーションの最大の懸念にセキュリティを挙げています。パブリッククラウドインフラストラクチャにワークロードを移行する際には、巧妙なマルウェアや、アプリケーション層への攻撃（OWASP Top 10、クロスサイトスクリプティング、SQLインジェクションなど）と組み合わせたボリューム型DDoS攻撃のようなレイヤ4～7の混合型のセキュリティ脅威から防御することが不可欠です。AWSではセキュリティに関して責任共有モデルを採用しており、これはクラウドのセキュリティとクラウド内のセキュリティの2つのセグメントに分けられます。クラウドのセキュリティは基盤となるIaaSインフラストラクチャ（コンピューティング、ストレージ、物理ハードウェアなど）のセキュリティを指し、AWSが責任を負います。クラウド内のセキュリティはハイパーバイザー層より上にあるすべて（OS、アプリケーション、データなど）の保護に関するもので、消費者が責任を負います。

一貫したアプリケーションアクセスも必須条件です。組織はどのようにして、デバイスや場所を問わずすべてのユーザーに一貫したアクセスを保証しながら、内部ポリシーに従わせるのでしょうか。ユーザーがいくつものユーザー名とパスワードの組み合わせを記憶しなければならないとすれば、パスワード疲れからセキュリティが脅かされ、効率の低下につながる可能性があります。ほとんどの企業では自社のデータセンタやプライベートクラウド環境に導入されているワークロードに加えてパブリッククラウドのワークロードを導入しています。そのため、これらのユーザーが複数のハイブリッドクラウド環境にわたって一貫性のある実証済みのセキュリティプラクティスやポリシーを複製して適用できる必要があります。

パフォーマンス

ユーザーエクスペリエンスと生産性は引き続き重要な考慮事項であり、どちらもクラウド上のアプリケーションのパフォーマンスに左右されます。場合によっては、クラウドプロバイダのデータセンタがユーザーから遠く離れているために、ユーザーとアプリケーションの間の遅延が大きくなり、パフォーマンスに影響を与えます。また、キャッシング、圧縮、TCP最適化など、遅延に対処するために一般的に使用される方法の一部はAWSでは利用できません。

高度なトラフィック管理と可視性

ほとんどの企業では、データセンタで（基本的なロードバランシングに加えて）ビジネスクリティカルなアプリケーション向けの高度なトラフィック管理を必要としています。AWSは、Elastic Load Balancing（ELB）やApplication Load Balancer（ALB）による基本的なロードバランシングサービスを提供していますが、組織はHTTP/HTTPSやTCP以外にどのようなプロトコルのサポートが必要かを検討する必要があります。基本的なヘルスチェックとロードバランシングアルゴリズムで十分でしょうか。多くの場合、消費者はアプリケーションデータを操作する必要があるため、URLの検査や書き換えなど、L7アプリケーションのプロキシ機能がすべて必要になります。受信するクライアントトラフィックをコンテキストとともに確認できることは、きめ細かなトラフィックステアリングの決定に不可欠です。

F5がAWSの導入にどのように役立つか

前述の懸念に対処するには、F5のBIG-IPソリューションのような統合プラットフォームによって提供される、高度でプログラム可能なアプリケーションデリバリおよびセキュリティサービスが必要です。このプラットフォームにより、場所を問わず、すべてのアプリケーションのセキュリティ、パフォーマンス、可用性が確保されます。またあらゆるハイブリッド環境にわたって新しいクラウドベースのアプリケーションと既存のアプリケーションのどちらに対しても一貫した方法で、アプリケーションサービスとそれに関連するポリシーのデリバリと管理が可能になります。

F5® BIG-IP® Virtual Edition（VE）は、すべてのBIG-IPハードウェアで利用できる同一の一貫したサービスセットを提供する仮想BIG-IPアプライアンスです。これにはインテリジェントなトラフィック管理（ローカルおよびグローバル）、高速化、最適化から、DNS、高度なアプリケーションアクセス、高性能のアプリケーションセキュリティまで、さまざまなアプリケーションおよびネットワーキングサービスが含まれます。これらのサービスはアプリケーションスタックの一部として完全に統合され、自動的に構成することができます。F5はハードウェアと仮想のアプリケーションデリバリコントローラ（ADC）の両市場のリーダーであり、Fortune50企業のうち48社が現在、F5のアプリケーションサービスを利用していることからも、アプリケーションにサービスを提供して保護するために企業でF5が採用されている可能性は十分に高いと言えます。

F5のセキュリティサービス

BIG-IP VEは、制御性、柔軟性、可視性を犠牲にすることなくクラウドアプリケーションを保護する、包括的なL4～7セキュリティサービスを提供します。これらのサービスは、AWSのサービスを補完し、高度なWAF（Web Application Firewall）によって、複雑なDDoS攻撃、Webスクレイピング、マルチレイヤWebベースアプリケーション攻撃、データ窃盗、漏洩などをすべて防ぐことができます。F5のソリューションは異常なトラフィックパターンを認識するインテリジェンスで高度な行動分析を備え、自動化されたボットネット攻撃を検知して緩和できます。F5のソリューションは、F5 iRules®のデータパススクリプティングの機能を活用して、アプリケーションの脆弱性の悪用やゼロデイ攻撃に迅速に対応できます。F5を使用すると、社内の各アプリケーションに関するファイアウォールのルールやポリシーを調整して構成するために費やしてきた労力や専門知識を、クラウドでホスティングされているアプリケーションのためにVEで活用し、再利用することができます。

F5のIDアクセス管理アーキテクチャは、ユーザー、デバイス、環境、アプリケーション、ネットワークの完全なコンテキスト認識に基づいています。つまりF5のソリューションを使用すると、データセンタとクラウド全体のアプリケーションアクセスでID連携とシングルサインオンが可能になります。同時に、コンテキストベースの安全なアクセス、Webベースのマルウェアや持続的脅威の防止、包括的なエンドポイントデバイス検査により、アプリケーションのセキュリティとデータの整合性を確保します。

可用性とパフォーマンス

BIG-IPの高度なローカルトラフィック管理サービスは、HTTP/TCPを含む幅広いプロトコル（HTTP 2.0、SPDY、UDPなど）と、アプリケーションとの優れた対話能力をサポートしています。BIG-IPプラットフォームはフルプロキシアーキテクチャとして、そのプロセスにおいてSSLトラフィックの復号と再暗号化を行い、アプリケーショントラフィックを完全に可視化します。またグループ内のサーバーのパフォーマンスレベルを動的に追跡し、詳細な稼働状況の監視と接続状態の管理を行います。BIG-IP Application Delivery Optimizationサービスは、アプリケーションの応答時間を短縮し、遅延を最小限に抑え、モバイルデバイスからのWeb要求に応えるまでのデータラウンドトリップ数を減らすことができます。

F5® BIG-IP® DNSおよびGlobal server load balancingサービスは、ユーザーを最も近いクラウドデータセンタに誘導して、最適なユーザエクスペリエンス、ディザスタリカバリ、フェイルオーバーポリシーを提供します。ルーティングの決定には、ユーザーとの距離、位置情報、ネットワークの状態、アプリケーションの可用性がすべて考慮されます。このプラットフォームでは、アプリケーションやユーザーごとにさまざまなグローバルロードバランシング手法やインテリジェントな監視機能が使用されます。またF5はDNS DDoS対策も提供し、悪意のあるIPアドレスへのアクセスをブロックし、DNSSECで応答を保護します。特にDNSのクエリとヘルスチェックは従量課金の対象とならないため、DNS DDoS攻撃を受けても正当なクエリと不正なクエリの両方に課金されてコストが高額になることはありません。

アプリケーションのフォーマンス要件を満たす拡張性

アプリケーションのワークロードをパブリッククラウドプラットフォームに移行する主な利点は、データセンタにプロビジョニングされた基本容量を超えてアプリケーションを拡張できることです。AWS Auto Scalingを使用すると、アプリケーションの可用性を維持しながら、事前に定義したしきい値に応じてAmazon EC2の容量が自動的に調整されます。BIG-IPソリューションとAWS Auto Scalingを統合すると、BIG-IPアプリケーションおよびセキュリティサービスを動的にスケーリングできます。またBIG-IP VEはプールメンバーの追加や削除をネイティブに処理するため、アウトオブバンドのオーケストレーションや構成管理は必要ありません。F5は、F5® BIG-IP® Local Traffic Manager™（LTM）のオートスケーリングに加えて（図1を参照）、アプリケーションセキュリティのオートスケーリングが可能なソリューションをリリースしており、これによりBIG-IP LTMとF5® BIG-IP® Application Security Manager™（ASM）の両方がBIG-IP VE上にプロビジョニングされます。

図1：Amazon EC2インスタンスとともにF5のアプリケーションおよびセキュリティサービスをオートスケーリング。

導入の簡素化と自動化

AWS Cloud Formationのテンプレート（CFT）は、インフラストラクチャ（サーバー、ストレージ、ネットワーキング、およびコンピューティング）リソースの導入を自動化するための方法をスクリプト化したものです。これにより同じBIG-IPイメージと構成をAWS内で何度も迅速に繰り返し展開でき、貴重な労働時間をより緊急性の高いビジネス上の問題に割くことができます。CFTはF5のエンジニアによって設計され、入念にテストされているため、BIG-IP VEの導入や構成に関連するあらゆる不安が解消されます。F5の仮想アプライアンスを確実にプロビジョニングできることをF5の専門家が自信を持って保証します。それだけでなく、Ansible、Chef、Puppetなどのサードパーティの自動化ツールとシームレスに統合できるため、これらのCFTによってBIG-IP VEの自動化とオーケストレーションのプロセスが簡素化されます。F5のCFTはすべてオープンソースであり、GitHubを通じて無料で提供されているため、F5のユーザーは特定のビジネス要件に合わせてテンプレートを変更できます。

また、より迅速かつ容易に実装できるように、F5はAWS Marketplaceとより緊密に統合して、CFTの一部をAWS Marketplaceから直接提供しています。例えば、さまざまなオートスケーリングソリューション（オートスケーリングBIG-IP LTM、オートスケーリングWAFなど）をMarketplaceで選択して導入すると、1時間以内に実稼働環境で稼働させることができます。F5のユーザーはこれらの複雑なソリューションを構成する必要がなく、数週間とはいきませんが数日分の労働時間を節約できます。

DevCentral™コミュニティサイトでは、サブネット、ネットワークインターフェイス、ルーティングテーブルなど、BIG-IP VEを導入するためのVPCリソースの構成例を提供しています。これらの例では、CloudInitユーザーデータスクリプトを使用して、特定のパッケージアプリケーション（Microsoft SharePoint、Exchangeなど）やカスタムアプリケーション用のF5® iApps®テンプレートを導入する方法も紹介されています。AWS CFTと同様の機能を持つiAppsは、各アプリケーションに必要な特定のサービスの迅速な導入を支援するために開発されました。またiAppsは、アプリケーションごとにトラフィック管理、暗号化、ファイアウォール、パフォーマンス最適化などのサービスの構成とポリシーを定義します。

パブリックとプライベートの導入の連携

パブリッククラウドリソースを既存のプライベートデータセンタと統合することで、組織は既存の投資を引き続き活用しながら、スケジュールの優先順位に基づいてアプリケーションワークロードを移行できます。BIG-IP VE、iApps、AWS CFTが連携して、追加のアプリケーションリソースを迅速かつ透過的に導入できる統合されたクラウド構成を作成します。この連携によるクラウド構成の主な利点として、アプリケーションユーザーのシームレスなリダイレクト、位置情報およびアクセラレーション技術、AWS Direct Connectを使用した安全な接続が挙げられます。アプリケーションリソースがプライベートデータセンタとパブリッククラウドのどちらから提供されていても、ユーザーエクスペリエンスに影響はありません。プライベートおよびパブリッククラウドのリソースは、プロジェクトが新規か既存か、または要求者の場所に基づいて、オンデマンドで透過的かつ継続的に使用できます。

F5® BIG-IQ® Centralized Managementは、クラウドとオンプレミスの両方にあるF5の物理デバイスと仮想デバイスを一元的に管理できます。BIG-IQ Centralized Managementはアプリケーション管理を簡素化し、コンプライアンスの徹底を支援し、F5のデバイスとサービスがどこにあっても一貫して安全に管理するためのツールを提供します。またBIG-IQ Centralized ManagementはF5デバイスと以下のF5モジュールのポリシー、ライセンス、SSL証明書、イメージ、および構成を処理します。

BIG-IP® Local Traffic Manager™（LTM）
BIG-IP® Application Security Manager™（ASM）
BIG-IP® Advanced Firewall Manager™（AFM）
BIG-IP® Access Policy Manager®（APM）
BIG-IP DNS（監視のみ）
F5の不正対策ソリューションのWebSafeとMobileSafeのダッシュボード

BIG-IQ Centralized Managementは、物理アプライアンスまたは仮想アプライアンスとして提供されています。また、AWS Marketplaceから直接実行することもできます。

図2：F5 BIG-IQ Centralized ManagementはパブリッククラウドとプライベートクラウドにわたりF5のデバイスとサービスをカバー。

柔軟なライセンスモデル

BIG-IP VEは主にGood、Better、Bestバンドルとして提供されており、3つの購入モデルがあります。

従量課金。テストや開発の実稼働前環境のワークロードや、クラウドバースティングや拡張性の一時的なユースケース向けに、F5は柔軟性がありオンデマンドの後払いで利用できる1時間単位の従量課金ライセンスを提供しています。すべての従量課金モデルにプレミアムサポートとソフトウェアアップグレードが含まれています。
Bring Your Own License（BYOL）。このオプションは、既存のBIG-IP VEライセンスをプライベートデータセンタからAWSに直接移行するハイブリッドクラウド環境に最適です。
年間契約。F5はBIG-IP VE永久ライセンスのほかに、年間契約のBYOL VEライセンスも提供しています。これらのライセンスは、サポートされているあらゆるハイブリッドクラウド環境で使用でき、移植性と柔軟性に優れています。年間契約は、定常的なトラフィックがある実稼働環境のワークロードに最適で、AWS Marketplaceから購入できます。
エンタープライズライセンス契約（ELA）。最大限の柔軟性と俊敏性を必要とする大規模な企業環境向け。ELAではプレミアムサポートとソフトウェアアップグレードを含む3年契約として複数のVEを購入できます。

また、すべてのハイブリッド環境にわたりBIG-IP製品ライセンスを管理するため、BIG-IQ Centralized Management License Managerを無償で提供しています。

まとめ

この数年でパブリッククラウドサービスの導入が急速に進んでいますが、その中でもAWSは一貫して市場をリードしてきました。多くのITベンチャー企業や有名な大企業がAWSクラウドを全面的に導入して大きな成功を収めています。企業がクラウドへのアプリケーションの移行を計画している場合、F5のアプリケーションデリバリおよびセキュリティサービスはBIG-IP VEを使用して、クラウドアプリケーションワークロードに簡単に移植できます。これにより、企業のお客様がパブリッククラウドのセキュリティ、パフォーマンス、制御に抱いている基本的な懸念の多くが解消されます。AWS Marketplaceで、BIG-IPソリューションの柔軟なライセンスモデルが提供されているため、企業は最小限の資金負担でAWSでのアプリケーションの計画、ステージング、導入を行うことができ、AWSクラウドの俊敏性と効率性の恩恵を受けることができます。

¹「Amazonクラウドの基本：知っておくべき5つの事実」（https://n2ws.com/blog/5-facts-amazon-cloud-essentials.html）
²「2017年のAWS、Azure、Googleのクラウド市場シェア」（https://www.skyhighnetworks.com/cloud-security-blog/microsoft-azure-closes-iaas-adoption-gap-with-amazon-aws/）