企業におけるマルチクラウドセキュリティとアプリケーションパフォーマンス管理への対応

アプリケーションにマルチクラウド アーキテクチャを選択したのは、それが最も理にかなっているからです。 あなただけではありません。10 社中 9 社がマルチクラウド アーキテクチャを採用し、標準化された環境、プロセス、ツールよりもアプリケーションの自由度と柔軟性を優先しています。 しかし、その自由には代償が伴います。

アプリのポートフォリオが拡大するにつれて、セキュリティの脅威とパフォーマンスのリスクも拡大します。 アプリケーションが企業の IT 環境に広がるほど、クラウド間で一貫したポリシーを管理するためにリソースの負担が大きくなり、複雑になり、組織はセキュリティとパフォーマンスの脆弱性にさらされることになります。

重要なのは、セキュリティ チームと NetOps チームによって構築された、使いやすく、一貫性があり、検証済みのセキュリティ、コンプライアンス、パフォーマンス ポリシーの幅広いカタログをアプリケーション開発チームに提供することです。

クラウド間の一貫性を確保するには、マルチクラウド環境全体で自動化、優れたアプリケーション パフォーマンス、セキュリティの最適化、可用性を実現するソリューションが必要です。 また、トラフィック管理やアプリケーション セキュリティなど、コア アプリ サービスを管理するポリシーを標準化する必要もあります。 これは、ほとんどのパブリック クラウドで利用可能なネイティブ アプリ サービスを意図的に採用しないことを選択することを意味する場合があります。

一貫したクロスクラウド ポリシーの利点は次のとおりです。

• 簡素化された監査
• セキュリティ脅威のより迅速な軽減
• アプリの階層全体、クラウド全体にわたる迅速なCI/CD開発により、時間と労力を節約し、リスクを軽減します。

F5 の幅広い高度なアプリケーション サービスを使用すると、チームは、コードを介して保存し、完全に自動化された CI/CD パイプラインまたは半自動化されたサービス カタログ ソリューションの一部に統合できる、一貫したセキュリティ、可用性、パフォーマンス ポリシーのセットを作成できます。

F5 は、ボットなどの高度な脅威から保護し、トラフィックと攻撃パターンに対する一貫した実用的な可視性を提供することで複雑さを軽減します。 さらに、F5 アプリ サービスはほとんどの自動化された CI/CD パイプライン ツールと統合されるため、開発チームと DevOps チームの両方にとって作業が容易になります。

ポリシーをコードとして

DevOps チームは、F5 自動化ツールチェーンと、あらゆる F5 ソリューションへの API インターフェイスを使用して、コード経由でポリシーを定義および管理できます。 ポリシーは JSON ファイルとして定義および管理され、単一の API 呼び出しで呼び出されます。

F5 による自動化とオーケストレーションについて詳しく見る ›

サービスカタログとF5ソリューション

DevOps チームは、ポリシーを iApp テンプレートとして定義し、F5 BIG-IQ または別のオーケストレーション ツールによって管理されるサービス カタログを通じて公開することもできます。 これにより、アプリ チームは、ポリシーの展開を自動化する事前構成済みのセルフサービス オプションにアクセスできるようになります。NetOps または SecOps のサポート チケットは必要ありません。

BIG-IQ について詳しく見る ›

上記のアーキテクチャでは、BIG-IP と BIG-IQ を使用して、あらゆる環境のアプリに一貫したセキュリティとパフォーマンスのポリシーを展開する方法について説明します。 これは、アプリ チームが複数のクラウドにわたって一貫したアプリケーション サービスを展開する必要があるものの、セキュリティとネットワークの専門家をすべてのステップに関与させたい場合に最適なソリューションです。 適切なチームによって設計されたテンプレートは、自動化によって展開され、オンプレミスとクラウド内のアプリケーションを保護および高速化できます。

チャレンジ

ほとんどの組織は、共通の環境、プロセス、ツールによる組織的なメリットよりも、クラウドの柔軟性を優先し、アプリケーション チームが各アプリケーションに最適な環境を選択できるようにしています。

アプリケーションが急増する中、企業のセキュリティ、コンプライアンス、パフォーマンス、操作性の要件を簡単かつ一貫して継承しながら、アプリケーション開発チームの自由度と柔軟性の間で適切なバランスをとるにはどうすればよいでしょうか。 一言で言えば、標準化です。

コンポーネント

クラウド環境全体でコア アプリケーション サービスを標準化するために、組織はいくつかの F5 コンポーネントを活用できます。

• Big-IP 仮想エディション
  BIG-IP Virtual Editions は、市場をリードする F5 アプリケーション サービスのパワー、保護、比類のない柔軟性を、さまざまなプライベート クラウドとパブリック クラウドにもたらします。
  
  BIG-IP VE は、完全なトラフィック制御、検査、テレメトリを提供し、増加する一連の脅威や望ましくないボット活動から仮想アプリケーションを防御しながら、信頼性の高いアプリケーション パフォーマンス管理を実現するために必要な保護と最適化を仮想化アプリケーションに提供します。
  
  BIG-IP 仮想エディションの詳細はこちら ›
  
  
• BIG-IQ集中管理
  BIG-IQ 集中管理プラットフォームは、複数のパブリック クラウド環境とプライベート クラウド環境にわたる数百の仮想および物理 BIG-IP プラットフォーム、およびオンプレミス データ センターに展開された BIG-IP をすべて 1 つの画面から管理できます。

  BIG-IQ は、専門家によって保守され、アプリケーション チームがオンデマンドで簡単に利用できるアプリケーション配信およびマルチクラウド セキュリティ サービスのサービス カタログも提供します。 さらに、BIG-IQ は、パーソナライズされたロールベースのアプリごとのダッシュボードにより、デバイス、ネットワーク、セキュリティ、アプリケーション レベルの可視性と洞察を提供します。 最後に、BIG-IQ は回復可能で再利用可能なライセンスのプールを管理できるため、必要に応じて複数のクラウド間で容量を柔軟に調整できます。
  
  導入ガイドで仕組みを確認する ›
  BIG-IQ集中管理について詳しくはこちら ›

チーム

クラウドで安全かつ高速でありながら急速に進化するアプリケーションを提供する現実として、マルチクラウド環境全体で一貫したサービスを提供するには、セキュリティ、運用、開発が効率的に連携して通信する必要があります。

• ネットオプス
  ネットワーク運用チームは、ネットワーク インフラストラクチャを担当します。 クラウド環境では、負荷分散などの単純なサービスはアプリケーション所有者の領域である可能性がありますが、大規模なアプリケーション トラフィックを管理し、高品質のアプリケーション パフォーマンスとセキュリティ サービスを提供するネットワーク チームの専門知識は、データ センターと同様にクラウドでも重要です。
• セコップス
  セキュリティ チームには、増大するさまざまな脅威からアプリ、顧客、データを保護する責任があります。 アプリケーション チームが果たすべき役割は大きいですが、セキュリティ チーム (およびそのネットワーク チーム) と、それらが提供するアプリケーション セキュリティ サービスは、脆弱性を悪用してビジネスに損害を与える大量のボットや悪意のある行為者に対する最初の (そして多くの場合最後の) 防御線となります。
• 開発/デブオプス
  これらは、NetOps および SecOps によって作成されたアプリケーション パフォーマンスおよびセキュリティ サービスの消費者です。 クラウドがアプリケーション開発の最新の CI/CD デプロイメント モデルの作成に役立ったのか、方法論の変更がクラウドの作成に役立ったのかは、議論の余地があるかもしれません。 この質問の答えがどちらであっても、CI/CD やその他の DevOps 方法論は今後も存在し続けることは明らかであり、インフラストラクチャの残りの部分もこのアプリケーション開発およびデプロイメント方法論に適応させる必要があります。

プロセス

複数のクラウドの Web アプリケーションに同じベースライン ポリシーを提供することで、アプリケーションが保護され、高いパフォーマンスを発揮することが保証されます。

• セキュリティポリシーライブラリ
  オンデマンドで展開できる標準セキュリティ ポリシーのライブラリを構築することで、展開場所に関係なく、最も一般的なエクスプロイトからアプリを保護します。

  たとえば、開発環境とテスト環境で Advanced WAF ベースライン ポリシーを作成し、それを BIG-IQ 管理プラットフォームにエクスポートすると、アプリケーション テンプレートで参照したり、残りの構成とともに複数のクラウドに展開したりできるようになります。 さらに優れているのは、ポリシーが展開されているすべてのデバイスの学習機能を使用し、データを組み合わせてポリシーを改善し、それをクラウドで実行されている BIG-IP イメージにプッシュバックできることです。 
   

• アプリケーション サービス ライブラリ
  NetOps は、セキュリティ ポリシー、アプリケーション配信ポリシー、およびログ記録構成を組み合わせたサービスのカタログを作成し、それらをロールなどのさまざまな基準に基づいて割り当てることができます。
  
  アプリケーション テンプレートは手動で作成することも、既存の構成から複製することもできます。 テンプレートはソース コード管理システムに保存し、API で展開することもできます。F5 は、BIG-IP デバイスとアプリケーション サービスの構成にプログラム的かつ自動化された宣言型モデルを提供する新しい Application Services 3 (AS3) テンプレートにより、アプリケーション サービス内で革新を続けています。

インフラストラクチャー

マルチクラウドの世界には、マルチフットプリント ソリューションが必要です。 BIG-IP プラットフォームは、パブリック クラウドまたはプライベート クラウドにソフトウェアとして導入することも、企業のデータ センターなどのプライベート クラウド環境にハードウェアとして導入することもできます。

最も優れている点は、BIG-IP デバイスとそれらが提供するアプリケーションがパブリック クラウド、プライベート クラウド、またはベアメタルのどこに展開されているかに関係なく、F5 ポートフォリオ全体を 1 つのコンソールから管理できることです。

• BIG-IP クラウドエディション
  アプリケーションごとに専用のアーキテクチャが必要な場合、BIG-IP Cloud Edition は、集中管理、トラブルシューティングを容易にする詳細なアプリケーション中心の分析、インテリジェントな自動スケーリング、柔軟な消費モデルを組み合わせた、アプリケーションごとに個別の BIG-IP インスタンスを提供するように設計された適切なサイズのプラットフォームを提供します。
  
  BIG-IP クラウドエディション ›
  
  
• クラウド ソリューション テンプレート
  新しいインスタンスを動的にデプロイしてオンボーディングする必要がある場合、API 駆動型のプラットフォーム デプロイを可能にするすべての主要クラウド用のクラウド テンプレートと、初期構成を実行するための再利用可能な宣言型オンボーディング システムがあります。
  
  クラウド ソリューション テンプレート ›

監視

BIG-IQ は適切な洞察を適切なユーザーに提供し、アプリケーションの最適化を支援します。 BIG-IQ は、BIG-IP インスタンスからの豊富なテレメトリ フィードを設定し、そのデータを集約してインタラクティブなドリルダウン GUI に表示することで、各チームに業務をより効率的に行うために必要な情報を提供します。 

詳細についてはソリューションガイドをダウンロードしてください ›

• ネットオプス
  NetOps チームは、ネットワークとプラットフォームのパフォーマンスに関する情報や、主要なアプリケーションの洞察を取得し、組織にとってより価値のある存在になることができます。
• セコップス
  セキュリティ チームは、マルチクラウド セキュリティ ポリシーを作成して厳重に管理し、攻撃率と攻撃ベクトルを監視し、アプリケーションとそれらが実行されるインフラストラクチャを悪意のある行為者や内部者のエラーから安全に保つために役立つその他の重要な洞察を得ることができます。
• 開発/デブオプス
  アプリケーション チームは、あらゆる仮想化環境で担当するアプリケーションを監視し、レイテンシ、ラウンドトリップ時間、ページ読み込み時間などの重要なメトリックを取得できます。 これらの洞察は、問題を早期に発見し、根本原因を正確かつ迅速に特定し、SecOps および NetOps とより効果的に連携するのに役立ちます。