Silverline マネージド サービス プラットフォームを使用した Amazon CloudFront の導入

グローバル IT ソリューション企業である当社のお客様は、自社の要件を満たす可能性のあるさまざまなサービスとソリューションを評価する中で、コンテンツ配信ネットワーク (CDN)、Web アプリケーション ファイアウォール (WAF)、詐欺/ボットおよび分散型サービス拒否 (DDoS) 攻撃に対する保護を組み合わせたソリューションの導入と運用に関わる変数について、広範囲にわたるレビューを実施しました。 徹底的な分析と複数のチームによる社内討論を経て、お客様は F5 Silverline と Amazon CloudFront コンテンツ配信ネットワークの組み合わせが最適なソリューションであると判断しました。

お客様がこのソリューションを選択したのは、マネージド セキュリティ サービス、迅速な導入、プロビジョニング、保守、運用にかかるコストの削減が実現したためです。 社内の顧客チームは、Web サイトの進化の計画を定義し、進行中の業務に大きな影響を与えることなく、計画の各フェーズを迅速に完了することに重点を置きました。

実装の容易さとアーキテクチャの複合的な利点により、継続的なパフォーマンスの向上、追加のセキュリティ制御、SIEM やその他のログ分析プラットフォームへのデータ エクスポート機能を備えた広範なレポートとログ記録が実現しました。 これにより、お客様のチームは、シームレスで魅力的な顧客体験を提供するという、最も得意とする業務に集中できるようになりました。

お客様が計画の第 4 フェーズの実装に F5 と AWS ソリューションを選択したのは、主に各サービスが構成で提供する柔軟性、運用コストの低さ、複数回の反復を通じてシステムを徐々に拡張できる能力によるものです (図 1)。 もう 1 つの重要な要素は、Silverline プラットフォームを継続的に監視する F5 Silverline セキュリティ オペレーション センター (SOC) アナリストと連携できることでした。 (Silverline は、F5 のクラウドベースのマネージド セキュリティ サービス プラットフォームです。) SOC アナリストは、お客様のセキュリティ体制の定義とシステムの使いやすさの最大化を支援しました。 これにより、お客様は詐欺や不正使用と徹底的に戦いながら、スムーズな体験を提供できるようになりました。

ウェブアプリケーションの進化に伴う運用コストとパフォーマンスの向上のバランスを取りながら、高速で安全かつスムーズな顧客体験を提供します。

企業は、Web アプリケーションを設計および構築する際に、さまざまな課題と制約に直面します。 主な考慮事項は、アプリケーションのライフサイクル全体にわたって継続的なパフォーマンス向上を可能にするために、テクノロジと人員の取得、展開、管理にかかるコストを効果的にバランスさせることです。 以下の図は、Web アプリケーションを進化させるために必要なコストとパフォーマンスのバランスに関してお客様が実行した分析を示しています。

図1: F5 Silverline 顧客 Web アプリケーション パフォーマンス ライフサイクル

初期段階では、お客様はアプリケーションの導入と顧客の獲得に注力していました。 彼らが目標を達成するために実行した手順は次のとおりです。

第 2 フェーズでは、顧客は顧客基盤を獲得し、さらなる拡大に備えるために機能強化と改善に重点を置きました。

第 3 フェーズでは、お客様は当社の F5 Silverline アカウント チームと連携してマネージド セキュリティ コンポーネントを導入し、Amazon CloudFront を構成して、アプリケーションが拡張され、生成されるすべてのトラフィックに対応できるようにしました。

フェーズ 4 では、当社の顧客が顧客の出所リクエストを分析し、顧客の多くが米国以外の国から取引を行っていることを突き止めました。 この観察結果と、米国での需要増加に関する追加分析が相まって、Amazon CloudFront を実装してリーチを拡大し、グローバルなパフォーマンスを向上させる動機が生まれました。

最終段階では、顧客チームは、運用能力と急速に変化するグローバル市場環境への適応力を強化するために、混合コロケーション サービスと SaaS/IaaS/PaaS プラットフォームの両方のハイブリッド環境の導入に重点を置きました。

このドキュメントでは、Amazon CloudFront と F5 Silverline マネージド セキュリティ サービス プラットフォームの統合フェーズ 4 を完了するためにお客様が実行した技術的な手順に焦点を当てます。

サービスの展開とシステム統合を成功させるための基本要件

Amazon CloudFront を F5 Silverline プラットフォームに統合する準備として、お客様は Silverline チームの支援を受けて次の項目をプロビジョニングしました。

顧客が世界で最高のパフォーマンスとエンゲージメント体験を得られる、安全でスケーラブルなネットワークを構築する

マルチホーム リンクと複数のサービスを備えた安全で高速なグローバル ネットワークを展開することは、どの組織にとっても簡単なことではありません。 幸いなことに、お客様は F5 と AWS が提供できるインフラストラクチャとサービスへの投資の組み合わせから利益を得ることができます。 これにより、顧客は、最大限の効率でオンボードアプリケーションに迅速に導入できるソリューションを構築し、即座に投資収益を実現できます。

お客様が導入を選択したアーキテクチャを次の図に示します。

図2: シームレスなシステム統合により、スムーズな顧客体験を実現

迅速な統合のための導入の容易さ

組織は、競争上の優位性やコスト削減を実現するために、市場の課題に迅速に対応するアプリケーションを導入するよう求められています。 短期間で実行できる展開は、膨大なリソースと追加コストを必要とする展開に比べて大きな利点があります。 F5 と AWS を使用すると、これらの構成の展開は簡単です。顧客が構成するすべてのコンポーネントとデータを準備していれば、数分で完了します。

フェーズ 3 が完了すると、お客様はフェーズ 4 に移行し、Amazon CloudFront と F5 Silverline プラットフォームを統合し、次の手順を実行しました。

Silverline SOC チームがポータル アカウントを展開すると、顧客はログインして、プロキシ表示名、FQDN (完全修飾ドメイン名)、オリジン サーバーの IP アドレスまたは ELB CNAME (正規レコード)、脅威インテリジェンス プロファイル、WAF ポリシー、SSL 証明書、および不正行為/ボット保護エンドポイントの必要な設定を使用してプロキシ ルート オブジェクトを構成できます。 お客様は、オンボーディング フェーズ中に Silverline SOC アナリストとともにこれらの手順を確認します。 お客様は、プロキシの展開を支援するために SOC アナリストを雇うこともできます。

図3: プロキシオブジェクトを追加して構成する

プロキシが保存され、Silverline プラットフォームにデプロイされると、顧客は Amazon CloudFront ネットワークのオリジンとして使用される一意の CNAME を受け取ります。 顧客は、展開後にメイン構成パネルでこのプロキシ CNAME を見つけることができます。

図4: シルバーラインプロキシCNAME

プロキシを有効にすると、すぐにトラフィックを受信できるようになり、そのサービスが設定されるとすぐに CloudFront からのユーザーリクエストをルーティングするために使用できるようになります。

Amazon CloudFront - サービス構成

スムーズな統合を確実に行うために、お客様は CloudFront 統合を実行する前に次の情報を用意しておく必要があります。

これらのコンポーネントが配置されプロビジョニングされると、顧客は AWS マネジメントコンソールに移動して CloudFront 構成を開始できます。 コンソール メニューで、サブカテゴリ「ネットワークとコンテンツ配信」/ CloudFront を見つけて選択します。 「配布」リンクを見つけて選択し、初期配布の作成に進みます。

図5: AWS マネジメントコンソールと CloudFront ナビゲーション

図6: CloudFront ディストリビューション パネル

オブジェクト構成を開始するには、「配布の作成」コントロールを選択します。 「特定の配信方法」を作成するように求められる場合があります。 お客様は「Web」配信方法を選択しました。

「開始する」コントロールを選択します。 以下のパネルがブラウザに表示されます。 次のように Origin 設定を構成します。

図7: CloudFront ディストリビューション設定パネル - オリジン設定

変更が必要な場合を除き、オリジン接続試行、オリジンタイムアウト、オリジン応答タイムアウト、オリジンキープアライブタイムアウト、HTTP および HTTPS ポートはデフォルトのままにしておきます。

Origin 顧客ヘッダー: カスタム ヘッダー キーと値は、オリジンへのすべてのリクエストに含まれます。 これらの設定は、CloudFront から発信されていないリクエストを Silverline プロキシでフィルタリングするためにも使用できます。

デフォルトのキャッシュ動作設定は、アプリケーション開発者、情報技術、DevOps、セキュリティ チーム、その他の関係者によって定義された内部ポリシーに従ってプログラムできます。 値の変更がアプリケーションの全体的な動作にどの程度影響を与えるかを理解することの重要性を強調することが重要です。 F5 Silverline では、各設定によってコスト、セキュリティの露出、パフォーマンスへの影響、Silverline WAF またはボット/詐欺防止との相互作用に差異が生じる可能性があるため、進化的なアプローチを推奨しています。 AWS は、管理コンソールから優れたドキュメントを提供しており、組織が各コントロールを適用する方法と、それが既存の運用にどのような影響を与えるかを理解するのに役立ちます。 当社の Silverline SOC アナリストは、これらの設定が Silverline プロキシ、WAF、またはボット/詐欺防止にどのように影響するかについての情報も提供します。

図8: CloudFront ディストリビューション設定パネル - デフォルトのキャッシュ動作設定

配信設定も運用に大きな影響を与える可能性があります。 追加で検討する価値のある設定は次のとおりです。

図9: CloudFront ディストリビューション設定パネル - ディストリビューション設定

最後のステップはディストリビューションを作成することです。

これには数分かかるはずですが、完了すると顧客に CNAME が送信されます。

図10: CloudFront ディストリビューション - ディストリビューションコントロールの作成

Amazon CloudFront によって発行された CNAME は、アプリケーション宛てのあらゆるトラフィックの解決の信頼できるレコードとして、AWS Route 53 で使用できるようになりました。

お客様の社内セキュリティ、情報技術、運用、開発の各チームは、顧客エンゲージメントとマーケティング戦略の目標に最適なソリューションを評価するために多くの時間を費やしました。 お客様がソリューションを選択すると、実装は問題なく進み、数分以内にサービスとアプリケーションが世界中で稼働し、世界中の顧客に、よりスムーズで迅速なエンゲージメント エクスペリエンスを提供できるようになりました。