ブログ

F5 金曜日: 標準化によりアプリごとのカスタマイズ可能な(マイクロサービス)アプリセキュリティアプローチを実現する方法

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2016 年 2 月 12 日公開
f5金曜日

私はこれまで何度も、保護、拡張、最適化するアプリケーションを統合するためのアプリケーション親和性の高いサービスの必要性が高まっていることについて語ってきましたアプリ開発者が、モノリスをより焦点を絞った細かいマイクロサービスに分割する方が、大規模環境ではより効率的で俊敏であることに気づいているのと同様に、インフラストラクチャもこの動きを反映して、大規模環境で同じレベルと品質のサービスを提供し続ける必要があります。

しかし、このアプローチはマイクロサービス アーキテクチャにのみ適用されるわけではありません。 また、大規模かつ迅速にアプリごとのポリシーを提供する必要がある組織にも適しています。 「企業の 85% が 1 ~ 20 個のアプリケーションのモバイル バックログを抱えており、大多数 (50%) が 10 ~ 20 個のアプリケーションのバックログを抱えている」という調査結果があります。 これに加えて、更新を展開する必要がある既存のアプリが多数あります (当社の調査によると、組織のほぼ半数が 1 ~ 200 個のアプリを所有しており、残りの半数は 200 個をはるかに超えるアプリを所有しており、その中には 3,000 個を超えるアプリを所有しているという、少々驚くべき 10% も含まれています)。

そのほとんどでは、規模、セキュリティ、パフォーマンスを確保するために非常に具体的なポリシーが必要です。 規模を拡大する必要がありますが、すべてを管理するには迅速に拡大する必要があります。  

もちろん、アプリごとのサービス アプローチの欠点の 1 つは、配信するアプリの固有の要件を満たすように各サービスを調整する必要があることです。 もちろん、それがポイントですが、その需要を満たすためにポリシーの作成と展開の背後にある操作を拡張するための戦略的なアプローチがなければ、そのようなアプローチは展開時間を短縮するのではなく、遅くすることにつながる可能性があります。

組織ごとのアプリ数 soad16

このため、DevOps とそのコードとしてのインフラストラクチャの哲学と自動化への配慮を組み合わせることは、セキュリティ運用にとって適切であるだけでなく、望ましいものと見なされるべきです。 なぜなら、 Web セキュリティを左にシフトすることによってのみ、アプリとアプリ サービスの両方にわたる総合的なマイクロサービス アプローチを成功させることができるからです。 実際、今日の IT がサポートする顧客にサービスを提供するために期待されている速度にセキュリティが対応できるかどうかは非常に重要です。

これが、南オーストラリア州全域に広がる 98 校以上の学校に IT サービスを提供するCatholic Education South Australia (CESA) が F5 プラットフォームを採用した理由です。 CESA は、需要に対応するために必要な水平スケーリングが提供できない従来のプロビジョニングおよび展開方法から生じる課題に苦労していました。 彼らが必要としていたのは、アプリケーションを展開し、関連するタスクを自動化するためのカスタマイズ可能なフレームワークでした。 そして、最終的には Web セキュリティも含まれるようになりました。

CESA のシニア ネットワーク エンジニアである Simon Sigre 氏は、変更が必要だった理由を次のように説明しています。「各 Web アプリを手袋のように包み込むレイヤー 7 (L7) セキュリティ ポリシーの構築を開始する必要がありました。」

CESA はアプリごとのポリシーを提供する必要がありましたが、それを迅速かつ大規模に実行する必要がありました。 つまり、この偉業を達成するには自動化が必要だったということです。 しかし、彼らが必要としていたのはそれだけではありませんでした。 ポリシーの調整、特に保護対象のアプリと密接に結びついたポリシーの調整には時間がかかります。 しかし、アプリケーションのすべてが独自のものであるわけではありません。 多くのアプリケーションで同じままである共通要素、特にプロトコル (TCP や HTTP など) やプラットフォーム (Web またはアプリケーション サーバー ソフトウェアなど) に関連する要素があります。 これらの側面を保護するためのポリシーの構成にも時間がかかり、その時間は複数のアプリケーション間で重複します。 

ここで標準化が役に立ちます。 標準化の特徴の 1 つは、API、テンプレート、コマンドおよび制御システム、スクリプトの共通性を活用して効率性を向上させ、運用コストの削減と市場投入までの時間の短縮を実現することです。 CESA が F5 のプログラマビリティを活用してスケーラビリティを自動化するだけでなく、使用されている一般的なテクノロジの高レベルテンプレートを作成し、新しいサービスごとに違いに対応するようにカスタマイズすることでセキュリティ ポリシーを標準化した際に行ったことはまさにこれでした。 インフラストラクチャ (Web セキュリティ) をコード (テンプレート) として扱うことで、カスタマイズに通常伴うコストをかけずに、必要なアプリごとのセキュリティ ポリシーを構築することができ、新しいサービスを展開する必要があるたびに基本ポリシーを再作成するコストを効果的に排除できました。

CESA の F5 とそのテクノロジーに関する経験の詳細については、こちらの顧客ストーリーをご覧ください。