ネットワーク トポロジ全体にわたる SSL Orchestrator と Palo Alto Networks 次世代ファイアウォールの構築
クライアント (コンピューター、タブレット、電話など) とサーバー間で移動するデータは、主に Secure Sockets Layer (SSL) またはより新しく、より安全な Transport Layer Security (TLS) を使用して暗号化されます。 (参考までに、F5 Labs の2019 TLS テレメトリ レポートの概要を参照してください)。 今日の広範囲にわたる暗号化では、トラフィックが復号化されない限り、脅威は隠され、セキュリティ検査では検出されません。
Palo Alto Networks Next-Gen Firewall (NGFW) などのさまざまなセキュリティ デバイスによるデータの復号化と暗号化により、オーバーヘッドと遅延が増加する可能性があります。 SSL/TLS の可視性の課題とセキュリティ スタックの断片化された性質に加えて、企業は長期的な包括的なセキュリティ戦略を設計することが困難になっていることに気づいています。
このシステム リファレンス アーキテクチャでは、ネットワーク トポロジ全体にわたって F5® SSL Orchestrator® と Palo Alto Networks Next-Gen Firewall (NGFW) を構成するさまざまな方法をカバーし、可視性、プライバシー、規制コンプライアンスの課題にも対処します。
F5 SSL Orchestrator は IT インフラストラクチャとインターネットの間に配置され、検査に使用できる復号化ゾーンを作成します。 復号化ゾーン内では、Palo Alto Networks NGFW などのセキュリティ デバイスがデータにアクセスし、マルウェアなどの隠れた脅威を検出して軽減できます。
F5 の高度な SSL/TLS 復号化テクノロジー、強力な暗号サポート、柔軟なアーキテクチャにより、リソースの使用を最適化し、遅延を排除し、セキュリティ検査インフラストラクチャの復元力を高めることができます。 すべての通信は SSL Orchestrator を介して行われるため、運用上のリスク (パフォーマンス、可用性、セキュリティ) に対処するポリシーが適用される戦略的な制御ポイントとしても機能します。
SSL Orchestrator は、受信 (インターネット ユーザーから Web アプリケーションへ) と送信 (企業ユーザーからインターネットへ) の両方の SSL/TLS トラフィックの高性能な復号化を提供します。 図 1 に示すように、送信トラフィックは復号化され、検査と検出のために Palo Alto Networks NGFW に送信されます。
図1: 送信トラフィックは復号化され、Cisco WSA に送信されます。
環境が異なれば、必要なアーキテクチャも異なります。 SSL Orchestrator は、多様なアーキテクチャ要件に対応するために、さまざまなフォーム ファクターとサイズで提供されます。
フォームファクター |
容量オプション |
F5 SSL Orchestrator iSeries プラットフォーム |
高性能 SSL Orchestrator iSeries ハードウェアは、1 GB、5 GB、10 GB、20 GB の復号化スループットを提供するように最適化されており、地域および中央のエンタープライズ サイトに最適です。 |
F5® BIG-IP® 仮想エディション |
高性能 SSL Orchestrator 仮想エディションを使用すると、SSL 復号化アーキテクチャを拡張して、小規模なオフィス サイトを含めることができます。 |
F5® VIPRION® プラットフォーム (シャーシ) |
ハイエンドのVIPRION プラットフォームは、 100 GB を超える復号化スループットを実現し、増え続けるネットワーク トラフィックを集約して管理する機能を提供します。 モジュール設計とクラスタリング機能により、VIPRION はネットワーク ニーズの変化に応じて簡単に拡張できます。 |
一般的なセキュリティ スタックは、NGFW、侵入検知または防止システム (IDS/IPS)、データ損失防止、マルウェア分析ツールなどの複数のシステムで構成されることがよくあります。 これらのシステムはすべて、検査のために復号化されたデータにアクセスする必要があります。 SSL Orchestrator は、既存のセキュリティ アーキテクチャと簡単に統合し、セキュリティ スタック内の複数の検査デバイス間で SSL/TLS 復号化を一元化します。 この「一度復号化して多数の検査デバイスに送る」設計は、すべてのセキュリティ デバイスが復号化を実行する場合に発生する可能性のある遅延、複雑さ、およびリスクの問題に対処します。 コンテキスト エンジンを使用して、さまざまなトラフィック フローに対して複数のサービス チェーンを作成することもできます。
図2: 一度復号化すれば、動的なサービス チェーンを使用して、多数の検査デバイス設計に誘導できます。
SSL Orchestrator のコンテキスト エンジンは、分類基準、URL カテゴリ、IP レピュテーション、フロー情報を使用して行われたポリシー決定に基づいて、トラフィックをインテリジェントに誘導する機能を提供します。 また、コンテキスト エンジンを使用して、法的またはプライバシー上の目的で、金融、政府サービス、医療などのアプリケーションや Web サイトへの復号化をバイパスすることもできます。
図3: サービス チェーニングとポリシー ベースのトラフィック ステアリングを提供するコンテキスト エンジン。
SSL Orchestrator はアクティブ/スタンバイ HA アーキテクチャをサポートしています。つまり、1 つのシステムがトラフィックをアクティブに処理し、もう 1 つのシステムは必要になるまでスタンバイ モードのままになります。 目標は、ダウンタイムを減らし、単一障害点を排除することです。 構成とユーザー接続情報はシステム間で自動的に同期されます。
SSL Orchestrator は、L2 モードまたは L3 モードのいずれかでインラインで展開され、明示的なフォワード プロキシ、透過的なフォワード プロキシ、またはリバース プロキシとして構成できます。 Palo Alto Network NGFW と統合すると、SSL Orchestrator はインライン L2、インライン L3、または受信専用 TAP モードを介して接続され、図 4 に示すように復号化されたトラフィックを誘導できます。
図4: F5 SSL Orchestrator でサポートされている Cisco WSA 展開トポロジ。
図 5 は、SSL Orchestrator がエンタープライズ アーキテクチャに統合され、検査インフラストラクチャ全体の受信トラフィックと送信トラフィックの両方の復号化を一元化する方法を示しています。
図5: F5 SSL オーケストレーションをエンタープライズ ネットワーク アーキテクチャに統合します。
下の図 6 に示すように、SSL Orchestrator は IEEE 802.1q VLAN タグ付けプロトコルを使用したリンク アグリゲーションをサポートし、リンクの冗長性を提供してフォールト トレランスを向上させます。
図 6: ポート冗長性のためのリンク アグリゲーション。
SSL とその後継である TLS は、インターネット上の IP 通信のセキュリティを確保するためにますます普及しつつあります。 これは良いことかもしれないし、悪いことかもしれない。 いいですね。すべての通信が詮索好きな目から暗号化されるからです。 しかし、攻撃者は暗号化されたトラフィック内にマルウェアを隠すことができるため、潜在的に危険です。 暗号化されたトラフィックが単純に通過する場合、セキュリティ システムはそれを傍受できません。 そして、それはセキュリティ機能を階層化する多層防御戦略全体を無効にします。
SSL Orchestrator を Palo Alto Networks NGFW などの高度な脅威保護システムと組み合わせると、企業境界内での復号化を集中化することで、これらの SSL/TLS の課題を解決できます。 復号化されたトラフィックをセキュリティ スタック全体に調整して検査し、ゼロデイ攻撃を特定してブロックすることができます。 その結果、このソリューションにより、マルウェア対策と次世代ファイアウォールに対する既存のセキュリティ サービスへの投資を最大限に活用できるようになります。
F5(NASDAQ: FFIV は、世界最大の企業、サービス プロバイダー、政府、消費者ブランドに、あらゆるアプリをどこでも安全に、自信を持って配信する自由を提供します。 F5 は、組織が速度と制御を犠牲にすることなく、選択したインフラストラクチャを採用できるようにするクラウドおよびセキュリティ アプリケーション サービスを提供します。 詳細については、f5.com をご覧ください。 F5、そのパートナー、テクノロジーに関する詳細については、Twitter で@f5networks をフォローするか、 LinkedInおよびFacebookにアクセスしてください。
