F5 VELOS で安全なマルチテナント アーキテクチャを構築する

企業は、コンテンツ配信に対する需要の増加に対応しながら、エンタープライズ データ センターのコストを抑えることに重点を置いています。 これらの組織は既存のインフラストラクチャの利用率を最大化することを目指しており、データのセキュリティとコンプライアンスの確保が最優先事項となっています。 多くの組織では、オンプレミス、コロケーション、マルチクラウドの展開にわたってワークロードが分散されているため、すべての展開にわたって一貫したデータ セキュリティ戦略が必要です。 F5 の新しい最新アーキテクチャにより、組織は既存のハードウェア アクセラレーション機能を維持しながら、プライベート クラウドとパブリック クラウドの両方に F5 ソフトウェアをモジュール形式で導入し、デジタル変革計画を加速できます。 F5 のマイクロサービス ベースのインフラストラクチャは、テナントを分離する包括的なセキュリティを備えたアプリケーション配信とマルチテナント機能をサポートします。これらはすべて、 F5 の Adaptive Appsビジョンの基礎です。

データ セキュリティの問題は、サービス プロバイダーの 3 分の 1 に影響を及ぼします。 規制やコンプライアンスの問題によるデータ侵害や罰金の増加を受けて、マネージド サービス プロバイダーは、下流の顧客に対して、同じ物理デバイスでホストされている他の顧客がネットワーク トラフィックを見たり操作したりできないことを保証したいと考えています。

F5 の最新アーキテクチャは、最高情報責任者 (CIO) が必要とする高性能特性と、最高 (情報) セキュリティ責任者 (CSO/CISO) が求める堅牢で高度なセキュリティ体制を兼ね備えています。

VIPRION などの前世代のシステムでは、vCMP テクノロジーを通じて仮想化ソリューションが提供されていました。vCMP には、マルチテナント機能を提供する 2 つのコンポーネント (vCMP ホスト レイヤーと vCMP ゲスト レイヤー) がありました。 vCMP ホスト機能は、本質的には、F5 プラットフォームがゲストと呼ばれる BIG-IP の仮想インスタンスを実行できるようにするカスタム ハイパーバイザーでした。

VELOS は、構成と展開の観点からは vCMP に似たモデルを提供しますが、テクノロジーは異なります。 VELOS では、シャーシ内の仮想化機能を説明するために「テナント」または「テナンシー」という用語を使用します。 VELOS の F5OS プラットフォーム レイヤーはハイパーバイザーではなく、管理用の基盤となる Kubernetes フレームワークを備えた実際のマイクロサービス レイヤーです。 F5OS は、KubeVirt テクノロジーを使用してマルチテナントを実装し、BIG-IP インスタンスをマイクロサービス レイヤー上で仮想マシン (VM) として実行できるようにします。 これにより、顧客はテナントの管理方法を変更することなく、既存の BIG-IP インスタンスまたはゲストを VELOS テナントに移行できるようになります。

VELOS アーキテクチャは、次世代の BIG-IP ソフトウェアである BIG-IP Next もサポートします。 BIG-IP インスタンスをコンテナ化された環境上の VM として実行する代わりに、BIG-IP Next はネイティブ コンテナ環境内のコンテナのコレクションとして実行されます。  VELOS シャーシでサポートされるテナントは、F5OS 上のコンテナー内の TMOS および BIG-IP Next を備えた BIG-IP であり、同じプラットフォーム上でシームレスなテストとバージョン移行が可能です。

VELOS でのテナント構成は、vCMP ゲストのプロビジョニングとほぼ同じです。 管理者はテナントに名前を割り当て、実行するソフトウェア バージョンを選択し、vCPU とメモリ リソースを割り当てます。 VELOS テナントは、vCMP ゲストと同様に、専用の CPU およびメモリ リソースを使用します。

VELOS は、シャーシ パーティショニング機能を通じて追加の分離レイヤーを提供し、管理者がブレードをグループ化して相互に分離できるようにします。 各ブレードは、独自の独立したシャーシ パーティションにすることも、他のブレードとグループ化して、シャーシ内のブレードの最大数まで、より大きなシャーシ パーティションを形成することもできます。 シャーシのパーティション分割により、物理ネットワークを含む追加の分離レイヤーが提供されます。 vCMP では、VLAN メンバーシップによって制限される可能性はあるものの、ホスト層の物理ネットワークにはすべてのゲストがアクセスできました。 VELOS マルチテナンシーとシャーシ パーティションを使用すると、シャーシ パーティション内のテナントは、ホストされているシャーシ パーティション内の物理ネットワークにのみアクセスできます。 他のシャーシ パーティション内のネットワークにアクセスすることはできません。 これらは、vCMP と同様に VLAN によって制限されますが、シャーシ パーティションによって下位層でさらに分離が行われます。  VELOS は、管理者アクセスを分離することでシャーシ パーティションをさらに分離し、各シャーシ パーティションが独自のユーザー アクセスと認証を管理できるようにします。

シャーシ管理者は、システム コントローラの帯域外管理インターフェイスにアクセスできます。 また、シャーシ パーティションを構成し、これらのパーティションにアクセスするためのユーザー権限を割り当てることもできます。

シャーシ パーティション管理者は、パーティション内のブレードのインバンド ネットワーク インフラストラクチャ (インターフェイス、リンク アグリゲーション グループ、VLAN など) を構成します。 また、割り当てられたシャーシ パーティション内でテナント ライフサイクルを展開および管理することもできます。 シャーシ パーティション管理者はシステム内の他のシャーシ パーティションにアクセスできないため、テナント レイヤーだけでなく下位のネットワーク レイヤーでも安全な分離が実現します。

テナント管理者は、テナント内のサービスの構成を担当します。 テナント マネージャーは、BIG-IP テナントによって公開されるすべての管理機能にアクセスできます。 これは、vCMP ゲストへのアクセスに似ています。 これは下位プラットフォーム層のアクセスとは独立しており、TMOS インスタンス (またはテナント) 内で制御されます。

マイクロサービス ベースの最新アーキテクチャは、データ センターをデジタル変革したい組織に役立ちます。 革新と迅速な対応能力こそが、デジタル変革とデータセンターの近代化の目標です。 拡大するアプリ配信要件を満たすためにオンプレミス、コロケーション、マルチクラウド モデルにワークロードを展開するサービス プロバイダーやエンタープライズ データ センター オペレーターが増えるにつれ、利用率とデータ セキュリティの向上がますます重要になっています。 F5 のマイクロサービス ベースのアーキテクチャは、データ セキュリティ標準への準拠を確保しながら、企業に優れた設備投資利用を提供します。

導入時間の遅延、容量拡張の制約、データ セキュリティ侵害は、企業が直面する最大の問題です。 人的エラーを減らすために、自動化とリモート監視技術への投資が着実に行われています。

サービスプロバイダーにとって、5G への対応と加入者およびネットワークのパフォーマンスの向上は最優先事項です。 さらに、アプリケーションとリソースの分離を確保しながら、現在および 3G または 4G LTE から 5G エッジへの移行中に増加する負荷に対応するために、リソースのスケーラビリティも必要になります。

F5 は、企業がアプリケーション パフォーマンス、フォールト トレランス、API 管理機能を向上できるように、VELOS シャーシ システムを開発しました。

F5OS は、VELOS プラットフォームと組み合わせることで、より優れたリソース使用率、自動化機能、多層防御セキュリティを実現します。 リソースの使用率を高めるために、VELOS は単一のデバイス上で複数のテナント クラスターをサポートします。 新しいシャーシ パーティショニング方法論と細かいリソース割り当てにより、よりシンプルな運用モデルが実現します。 API ファースト アーキテクチャにより、お客様は BIG-IP システムの導入を自動化し、アプリケーション管理と自動化のアクティビティを容易に行うことができます。 VELOS は、悪用の範囲を制限するために、複数層のアプリケーション セキュリティをサポートします。 VELOS は、プロセスを保護し、アクセス制御を保護し、ネットワークを分離するために、物理ベースとソフトウェアベースの多層防御セキュリティ メカニズムの組み合わせもサポートします。

マネージド サービス プロバイダーは、テナントのセキュリティによって、下流の顧客が自社のサービスの分離されたセグメントを独立して管理できることも発見しました。 たとえば、あるダウンストリーム顧客は、同じパーティションで実行されている別のテナント インスタンスから F5 Advanced Web Application FirewallTM (WAF) または BIG-IP® Advanced Firewall ManagerTM (AFM) を実行してアプリケーションを保護し、別の顧客は F5 BIG-IP Access Policy Manager (APM) を実行してネットワーク サービスへのアクセス制御と認証を提供することができます。

VELOS のあらゆる側面にセキュリティが組み込まれています。 VELOS の設計と開発中、F5 の製品開発チームとセキュリティ チームは、すべての攻撃対象領域における脅威モデリングを調査して実行しました。これは、F5 史上最も包括的なセキュリティ評価です。

シャーシ パーティショニングは、F5 が提供するマルチテナント ソリューションの 1 つです。 シャーシのパーティショニングにより、顧客は個々のブレード レベルでパーティションを作成し、ブレードをグループ化して単一の管理対象エンティティを提供できます。 各シャーシ パーティションには独自の管理スタックとデータ ネットワーク接続があり、これらの異なるパーティションごとにホストされるテナントが分離されます。

F5OS プラットフォーム レイヤーは、セキュリティ コンテキスト制約 (SCC) プロファイルとセキュア コンピューティング (seccomp) モードを活用して、シャーシ パーティション内で実行されているアプリケーションと基盤となるハードウェア間の分離を実現します。 さらに、デフォルトの Security-Enhanced Linux (SELinux) 設定により、テナント サービスによるホスト リソースへのアクセスが制限されます。 認証とユーザー管理では、シャーシ管理者、パーティション管理者、テナント管理者のロールを個別に作成して、アプリケーション アクセスを制限します。 読み取り専用ファイル システム上に構築されたホスト レイヤーにより、テナントのブレイクアウトがさらに防止されます。

トラステッド プラットフォーム モジュール (TPM) (ISO/IEC 11889) は、統合された暗号化キーを通じてハードウェアを保護するように設計された専用マイクロコントローラである、安全な暗号化プロセッサの国際標準です。 F5 は、TPM 2.0 チップセット、Linux Trusted Boot (tboot)、および Intel TXT テクノロジーを使用して、TPM の保管および証明チェーンを実装します。 TPM チップは、システムが起動するたびに特定の測定を実行します。 これらの測定には、BIOS コード、BIOS 設定、TPM 設定、tboot、Linux 初期 RAM ディスク (initrd)、Linux カーネル (初期 VELOS リリースでは BIOS のみが検証されます) のほとんどのハッシュの取得が含まれます。これにより、測定対象モジュールの代替バージョンを簡単に作成できず、ハッシュによって同一の測定結果が得られます。 これらの測定値を使用して、既知の適切な値に対して検証できます。

両方のシステム コントローラとすべてのブレード (BX110) には、TPM 2.0 チップセットが搭載されています。 初期の VELOS リリースでは、ローカル認証は起動時に自動的に行われ、コマンドライン インターフェイス (CLI) に表示できます。 将来的には、F5 はリモート認証と Linux カーネルおよび initrd の認証を追加する予定です。

管理者はアプライアンス モードを有効にすることで、VELOS システムをさらにロックダウンできます。 アプライアンス モードは、連邦政府および金融のセキュリティ要件に合わせて特別に設計されたセキュリティ モデルです。 アプライアンス モードでは、基盤となるシステム シェルへのアクセスが削除されるため、スクリプトの実行が非常に困難になります。 基盤となるシステムのルート アカウントへのアクセスも削除され、すべてのユーザーが認証システムを経由することが強制されます。  VELOS では、F5OS プラットフォーム レイヤーに対して、またプロビジョニングされた各テナント内でアプライアンス モードを有効にすることができます。  管理者は、システム コントローラ レベル、シャーシ パーティションごと、およびテナントごとにアプライアンス モードを有効にできます。 このモードは、一部の VIPRION 環境の場合のように、ライセンスではなく各レベルの構成オプションによって制御されます。

まとめると、最も重要なプラットフォーム セキュリティ機能は次のとおりです。

• シャーシパーティションを使用したシャーシ内の分離と隔離
• シャーシパーティションの分離、特定のユーザーグループへのアクセスの制限
• トラステッド プラットフォーム モジュール (TPM) によるハードウェア セキュリティ
• スクリプトの実行とルート権限の侵害を防ぐアプライアンスモード
• 署名検証、F5署名付きソフトウェアイメージのみを許可

これらの機能により、プラットフォーム層が外部の脅威ベクトルから保護されます。 テナント自体には独自のセキュリティ サブシステムがあります。

マルチテナント機能では、テナント間の分離を実現することが最優先事項になります。 同じデバイス上で複数のテナントをホストするサービス プロバイダーと企業顧客は、異なるテナントが所有するリソース間の分離を必要とします。 F5 は、複数層のセキュリティ構成を提供することで、テナント間のセキュリティを確保します。

BIG-IP Local Traffic ManagerTM (LTM)、BIG-IP DNS (GTM)、BIG-IP Advanced WAF などの F5 の信頼できるテナント サービスのみを導入できるため、脅威の対象範囲が最小限に抑えられます。 署名の検証は、F5 サービス イメージのダウンロードとインストールを承認するのに役立ちます。 署名の検証に失敗した場合、ソフトウェアのインストールは終了し、リソースを誤って構成しようとする悪意のあるアクティビティのリスクが排除されます。

SCC プロファイルや seccomp モードなどのさまざまなセキュリティ メカニズムを活用することで、テナントとプロセス、ネットワーク、ファイル システムなどのホスト層リソース間の分離が実現します。 テナントには、トラフィックを分離するための一意のテナント ID があります。 テナントのアドレス指定、IP テーブル構成、およびブロードキャスト ドメインの分離が連携して、テナントの分離を強制します。

各テナントは、キー、アプリケーション、セキュリティ ポリシー、監査ログ、ファイアウォール ルールなどへのユーザー アクセスを制御するためのロールベースのアクセス制御 (RBAC) システムを提供します。 つまり、特定のテナントを、資格情報も別々に保持された個別の下流顧客またはビジネス ユニットに割り当てることができます。 テナントがこのように展開されると、侵害されたユーザー アカウントは単一の特定のテナントに分離されたままになります。 各テナントはコンテナ化された環境上で TMOS オペレーティング システムのインスタンスを実行するため、セキュリティの面では vCMP ゲストよりも優れています。 主なポイントは次のとおりです。

• 署名検証では、F5 署名付きソフトウェア イメージのみが許可されます。
• MACVLANインターフェースはブレードテナント間のトラフィックをカプセル化し、同じブレード上の異なるテナント間のトラフィックの可視性を制限します。
• テナントを分離するプラットフォーム層を介して、パーティション管理者とテナント管理者に個別にアクセス
• Seccomp コンテナ セキュリティ
• すべてのアプリケーションサービスへのSELinuxポリシーの適用

これらのセキュリティ制御を組み合わせることで、複数層のテナント セキュリティが提供されます。

新しい F5OS プラットフォーム レイヤーは、インバンド トラフィック ネットワーキングおよび VLAN から完全に分離されています。 アウトオブバンド管理ネットワーク経由でのみアクセスできるように意図的に分離されています。 実際、システム コントローラにもシャーシ パーティションにもインバンド IP アドレスは割り当てられておらず、テナントのみがインバンド管理 IP アドレスとアクセス権を持ちます。

これにより、顧客はアクセスが厳しく制限された、安全でロックダウンされた帯域外管理ネットワークを実行できるようになります。 下の図は、システム コントローラを介してシャーシに入り、シャーシのパーティションとテナントへの接続を提供する帯域外管理アクセスを示しています。 その帯域外ネットワークは、管理目的でシャーシ内に拡張されます。 すべてのインバンド アドレス指定はテナント自体で行われ、F5OS プラットフォーム レイヤーでは行われないことに注意してください。

各シャーシ パーティションは、独自の (ローカル/リモート) ユーザーと認証のセットを持つ一意のエンティティです。 独自の CLI、GUI、API アクセスを備えた専用の帯域外 IP アドレスを介して管理されます。 シャーシ パーティションは特定のグループ専用にすることができ、そのグループのメンバーは自分のパーティションにのみアクセスできます。 システム内の他のシャーシ パーティションにアクセスすることはできません。 これは、VIPRION にはなかったレベルの分離です。 以下にいくつか例を挙げます。 異なるシャーシ パーティション間でサービス チェーンを設定できますが、シャーシ内では分離されているため、それらをリンクするには外部接続を提供する必要があります。

管理アクセスが完全に分離され一意であることに加えて、インバンド ネットワーキングが構成され、シャーシ パーティション内に完全に収容されます。 各シャーシ パーティションには、ポート グループ、VLAN、リンク アグリゲーション グループ (LAG)、インターフェイスなどの独自のネットワーク コンポーネント セットがあります。 つまり、1 つのシャーシ パーティション内のネットワークは、別のシャーシ パーティションからはアクセスできず、表示もできません。

ネットワーク レベルでの分離も、デュアル システム コントローラ内に存在する集中スイッチ ファブリックを介して強制されます。 VELOS システムでは、冗長性と帯域幅の追加のために、各ブレードは集中型スイッチ ファブリックに複数の接続を持っています。 各 BX110 ブレードには 2 つの 100Gb バックプレーン接続 (各システム コントローラに 1 つずつ) があり、これらは LAG で結合されています。 このスター配線トポロジーは、すべてのブレード間の高速で信頼性の高いバックプレーン接続を提供し、ネットワーク層での完全な分離も可能にします。

シャーシ パーティションが作成されると、管理者は 1 つ以上のブレードを割り当て、それらのブレードはシャーシ内の他のすべてのブレードから分離されます。 集中型スイッチ ファブリックは、ポートベースの VLAN と VLAN タグ付けを使用して自動的に構成され、シャーシ パーティション間の分離を強制します。 下の図は、これがどのように実施されるかを視覚的に示しています。

シャーシ パーティションがどのように分離されているかを説明するために、次の図は、それぞれに複数のシャーシ パーティションがある 2 つの VELOS シャーシを示しています。 インバンド ネットワーク リソースは共有されないため、各シャーシ パーティションには、インバンド ネットワークへの独自のネットワーク接続と、2 つのシャーシ間の高可用性相互接続が必要です。 シャーシ パーティション間のインターフェイス、VLAN、または LAG にアクセスする方法はありません。

組織がリソースの有効活用とエンドツーエンドの自動化およびオーケストレーションの向上のためにマイクロサービス ベースのアプリケーション展開戦略を採用する場合、それらの戦略をマルチテナント要件とどのように組み合わせるか、また総合的なセキュリティをどのように維持するかを評価する必要があります。 F5 の最新アーキテクチャは、セキュリティとマルチテナンシーの両方のニーズを満たす、独自の高性能なマイクロサービス ベースのソリューションを提供します。

F5 は、マイクロサービス ベースの環境におけるセキュリティの重要性を理解しています。 F5 のプラットフォームとネットワーク接続に関する広範な脅威モデル評価により、多層防御戦略とプロアクティブなセキュリティ体制に基づいたセキュリティ モデルが実現しました。 VELOS は、プラットフォーム レイヤーの分離、シャーシのパーティショニング、集中型スイッチ ファブリック手法を組み合わせて、マルチテナント環境におけるアプリケーション間の分離を実現します。