Comments
Description
Transcript
IPsec VPN - A10ネットワークス
ソリューションブリーフ THUNDER ADC IPSEC VPN クラウド上の大量トラフィックの暗号化 課題: 通信を保護するため、 高速にデータを暗号 化し、 オンデマンドでVPNトンネルのキャパ シティを拡張することが組織にとって必要。 データプライバシーの課題 盗聴やデータ盗用の防止、 そしてコンプライアンスへの対応のために、あらゆる規模の企業がIPsec VPN を使用しています。IPsecは、IPネットワークを介してデータを転送する、 コスト効率に優れた安全な方法を 提供します。 IPsecは成熟した広く普及しているテクノロジーですが、 クラウドコンピューティングなどの新しいネット 解決策: A10ネットワークス製品に統合されたハイ パフォーマンスなIPsec VPNおよび負荷分 ワークパラダイムや増大する帯域幅の要件によって、大企業と大手サービスプロバイダーはVPN戦略の 見直しを余儀なくされています。結果として、次のことが可能なVPNアーキテクチャーを開発する必要性に 直面しています。 散機能により、 データセンターのスペース • これまでにない高いレベルのIPsecスループットをサポートする を削減するとともに、 データプライバシーを • 高可用性と高速な拡張のためにBGPルーティングを活用する 確保可能。 • クラウド環境で新しいIPsecトンネルとゲートウェイをオンデマンドで確立する • データセンター効率化のために電力消費とラックスペースの要件を最小限に抑える メリット: • IPsec VPN、 サーバー負荷分散、 ステート フルファイアウォール機能を統合 • 卓越したスピードでデータを暗号化 • ラックスペースと電力の要件を低減 • 新しいVPNゲートウェイをオンデマンドで 開始し、 キャパシティを拡張 組織には、確実なIPsec接続を提供可能な信頼性の高いソリューション、 そして既存のルーターやIPsec VPNゲートウェイと相互運用できるソリューションが必要です。 A10が実現する高速IPsec暗号化 アプリケーションデリバリーコントローラー(ADC)A10 Networks® Thunder®ADC製品ラインに搭載され ているIPsec暗号化機能により、企業とサービスプロバイダーは大規模なVPN環境を構築することが可能 になります。Thunder ADCプラットフォーム1台当たり最大20,000のVPNトンネルに対応し、幅広い暗号化 アルゴリズムとデータ整合化手法がサポートされているため、組織では既存のVPN機器とThunder ADC を併用することも、Thunder ADCアプライアンスを利用して新しいVPNネットワークを構築することも できます。 Thunder ADCはIPsec VPNだけでなく、高度なサーバー負荷分散、 ネットワークアドレス変換(NAT)、IPv4 およびIPv6ルーティング、 アクセス制御リストなどの包括的な機能をサポートしています。幅広いネット ワーク機能が利用可能なので、多数のアプライアンスの導入と管理を伴わずに、複雑なネットワーク設計 をサポートし、 リモートのリソースへのアクセスをきめ細かく制御できます。IPsecだけでなく、 これらの機 能もすべて、 A10のオールインワンライセンスの一部としてThunder ADCに標準装備されています。 高可用性と高速な拡張 VPNは、 データ移行、災害復旧、 リモートユーザーアクセス、 データセンターとクラウドネットワークの接続 などのビジネス上の重要な機能を多くの組織で果たしています。用途を問わず、VPNはビジネスに欠かす ことができないため、 常時使用可能でなければなりません。 1 Customer Driven Innovation Thunder ADCは、 クラスタリング、 高可用性、 動的なルーティング機能を通じて、 IPsec VPNルートのアップタイムを最大限に高めるだけでなく、 サーバーとアプ リケーションへの接続性も保証します。次のような高可用性および拡張機能 を提供します。 クラウドおよびオンデマンドのプロビジョニング コンピューティング効率の最適化と資本/運用コストの削減のために、 多くの 組織がインフラストラクチャーをクラウドに移行しています。 クラウドへの移行 では、 VPNインフラストラクチャーも同時に移行する必要があります。 しかしク ラウドアーキテクチャーは、 物理データセンターネットワークには存在しない新 • ルートの監視とフェイルオーバー – A10によって強化された仮想ルーター冗長化プロトコル実装 (VRRP-a) しい要件をもたらします。 を使用するThunder ADCは、 ルートとVPNゲートウェイの障害を監視し、 クラウドコンピューティングのメリットを実現するために、 クラウドアーキテク パッシブのThunder ADCアプライアンスにすばやくトラフィックをフェイル チャーは自動化、 俊敏性、 オンデマンドの拡張をサポートしなければなりませ オーバーできます。 VRRP-aは1クラスターあたり最大8台のアプライアン ん。 一方組織は、 自社のVPNサービスがこの新しいクラウドネットワークパラ スをサポートしており、 応答しないサービス、 サーバー、 アプリケーション ダイムをサポートすることを保証する必要があります。 VPNサービスは、 アプリ を検知し、インフラストラクチャー障害を特定できます。A10の仮想 ケーションネットワークサービス、 SDNテクノロジー、 その他のデータセンター シャーシシステム (aVCS®)によって、複数のA10デバイスが単一の仮想 インフラストラクチャとシームレスに統合する必要があります。 また組織は、 ク シャーシとして機能するため、1つの場所からの制御と一元的な統計 ラウドアプリケーションの管理に使用するクラウドオーケストレーションシス 情報の入手が可能になります。 テムにVPNインスタンスをプロビジョニングできる必要があります。 • インテリジェンスなルーティングによりVPNのキャパシティを拡張 Thunder ADCは、 組織がハイキャパシティなVPNサービスをクラウドへ実装 – Thunder ADCは、BGP(Border Gateway Protocol)ルーティングを することを可能にします。 ハイパフォーマンスな仮想アプライアンスやハイブ サポートしています。 したがってBGPルーターがIPsec VPNトンネルを リッド仮想アプライアンスを含むさまざまなフォームファクターをサポートする 介して通信できるだけでなく、組織はThunder ADCアプライアンスを A10は、 クラウドネットワーク独自の要件に対応するVPNアーキテクチャーを 追加するだけでIPsecのキャパシティを強化できます。BGPを使用する 構築する柔軟性をもたらします。 Thunder ADC環境は、複雑なネットワーク設計やハードウェアのアッ プグレードを必要とせずに、 テラバイト級の帯域幅の要件に対応でき るように拡張できます。 また、Thunder ADCアプライアンスを追加する ことによってIPsecのスループットを高められます。 VRRP-aはBGPとの統 合によって、 ルートをインジェクトし、 スムーズなルートのフェイルオー バーを行います。Thunder ADCは、高速なパス障害検知とルート統合 のためにBFD(Bidirectional Forwarding Detection) もサポートしてい ます。 Thunder ADCは、VXLAN(Virtual Extensible LAN) とNVGRE( Network Virtualization using Generic Routing Encapsulation) を使用してSDN (Software Defined Networking) と統合し、 自動ネットワーク構成とサービスチェイニングを サポートします。 またSCVMM (Microsoft System Center Virtual Machine Manager) やOpenStackなどのクラウドオーケストレーションプラットフォームとの統合に より、 VPNサービスの一元的なプロビジョニングに対応します。 ユーティリティ 課金モデルとレンタル課金モデルを提供する従量制ライセンスが採用されて いるため、 組織ではVPNライセンスと他のクラウドベースサービスのライセン • 複数のパスを介した負荷分散による帯域幅の統合 スモデルを同時に利用できます。 さらにaCloudサービスアーキテクチャーを通 – Thunder ADC は、EMCP(Equal-Cost Multipath)ルーティングを活 じて、 クラウドデータセンターオペレーターは高度なアプリケーションデリバ 用して総合的なIPsec VPN帯域幅を拡張します。ECMPとBGPを組み合 リーおよびIPsec VPNサービスを提供しながら、 俊敏性を高めることができます。 わせることで、 ルーターは複数のネットワークルートを同時にサポート できるため、Thunder ADCは複数のパス間でトラフィックを負荷分散 し、 総合的なVPNキャパシティを拡張できます。 物理ネットワークでサポートされている動的なルーティングと冗長性などの 高可用性、 拡張性、 セキュリティ機能は、 クラウド環境でもサポートされています。 つまり、BGPルーティングとVRRP-aを活用してVPNネットワークをスケールア ウトし、 アップタイムを最大限に高めることができます。 マルチサイトVPN データセンター Thunder ADC 1 Thunder ADC 2 インターネット BGPクラウド Thunder ADC n • IPsec VPN • アクセスコントロールリスト • BGP • BFD 暗号化 VPNトンネル VPNサイト1 VPNサイト2 VPNサイト3 Thunder ADC Thunder ADC Thunder ADC • IPsec VPN • アクセスコントロールリスト • BGP • BFD 図1:Thunder ADCはBGPクラウドを介して複数のVPNサイトと接続 2 Customer Driven Innovation ルーター ファイアウォール ファイアウォール ルーター インターネット ユーザー ユーザー Thunder ADC Thunder ADC Thunder ADC • IPsec VPN • BGP • ECMP Thunder ADC Thunder ADC Thunder ADC • IPsec VPN • BGP • ECMP 図2:ユーザーはThunder ADCアプライアンスを介してリモートVPNサイト宛のトラフィックを転送し、 他のすべてのトラフィックを直接インターネットに送信 ハイパフォーマンスアーキテクチャー チコアアーキテクチャーのパフォーマンスを最大限に高めます。 Thunder ADC Thunder ADCは、 独自のソフトウェア/ハードウェア設計のメリットを駆使して、 ハードウェアとA10のvThunder® ADC仮想アプライアンス製品ラインは、 マルチ 卓越したIPsecパフォーマンスを実現します。Thunder ADCアプライアンスは コアアーキテクチャー向けに最適化された非常に拡張性の高い64ビット A10のAdvanced Core Operating System(ACOS®)によって強化されます。 オペレーティングシステムを通じて、 比類のないIPsec VPNパフォーマンスを マルチコアCPUアーキテクチャーのパフォーマンスを最大限に高めるために 実現しています。 一から構築されたACOSは、 CPUコアが追加されるとコンピューティング処理 をリニアに拡張することができ、 コンパクトなフォームファクターで卓越した パフォーマンスを提供します。 一部のThunder ADCハードウェアモデルには、 IPsec暗号化速度を高速化す る専用セキュリティプロセッサーが搭載されています。 ラックマウント可能な Thunder ADCアプライアンスは1台で最大4つのクアッドチップセキュリティプ ACOSは、 スケーラブルな対称型マルチプロセッシング (SSMP) を使用すること ロセッサーをサポートし、煩雑で非効率なシャーシベースシステムの導入を によって、 スーパーコンピューターの並列処理技法を取り入れるとともにマル 伴わずに、 高速なIPsec暗号化を実現します。 IPsec VPNの仕様 • OSPF、BGP、BFD(Bidirectional Forwarding Detection)over IPsec 鍵方式 • ECMPサポート トンネル • IKEv1、 IKEv2 • サーバー負荷分散およびネットワークアドレス変換(NAT)の統合 認証方式 • UDPカプセル化 • RSA署名、 事前共有鍵、 PKI • TCP最大セグメントサイズ(MSS) クランプ • SCEP(Simple Certificate Enrollment Protocol)、OCSP(Online 鍵交換Diffie-Hellmanグループ Certificate Status Protocol)、証明書失効リスト (CRL)配布ポイント • 1、2、5、14、15、16、18 による公開鍵インフラストラクチャー(PKI)のサポート 暗号化アルゴリズム • ハードウェアで高速化されるFTA(Flexible Traffic Accelerator) アプ • DES、3DES、AES-128、AES-192、AES-256 ライアンスモデル向けの優先順位付きIKE(Internet Key Exchange) データ整合性 パケット • DES、3DES、AES-128、AES-192、AES-256 • ソフトウェアおよびハードウェアベースの暗号化、 一部のハードウェア サポートするIPsecトンネル最大数 • 20,000 i モデルには専用セキュリティプロセッサーを搭載 クラウドとの統合 サポートするRFC • Microsoft SCVMM、OpenStack、VMware vCloud Directorなどの クラウドオーケストレーションテクノロジーを統合 • RFC 6071、2407、2408、2409、3526、3706、3947、7296、4307、 IANA-IKEv2、4301、4303、4308、3602、3986、4304、4868(一部)、 • vThunder仮想アプライアンスをサポート 2560、5280、draft-nourse-scep • データ主導型およびコマンド主導型トンネルのオンデマンドプロ IPsec VPNの機能 • NATトラバーサル ビジョニング 高可用性 • デッドピアの検知 • VRRP-a(Virtual Router Redundancy Protocol) • Perfect Forward Secrecy(PFS) サポートii • セキュリティアソシエーション (SA)の同期とセッションの同期 • バイト寿命と時間による鍵更新 • アクティブ – アクティブトポロジーのサポート • Extended Sequence Number(ESN) • BFDおよびルートのヘルスチェックによる1秒未満でのフェイルオーバー • L3Vパーティション認識 • ルートベースVPN i ii サポートされる最大VPNトンネル数はアプライアンスモデルによって異なることがあります。 ACOS 4.0.1より提供 3 Customer Driven Innovation Thunder ADCの高度なパフォーマンスとデータセンター向けに最適化された 設計により、 プロビジョニングするアプライアンス数を削減することが可能に なり、 結果として資本/運用コストだけでなく、 データセンターのラックスペース および電気料金も削減できます。 A10 Networks / A10ネットワークス株式会社について A10 Networks(NYSE: ATEN)はアプリケーションネットワーキング分野に おけるリーダーとして、 高性能なアプリケーションネットワーキングソリューション 群を提供しています。世界中で数千社にのぼる大企業やサービスプロバイ ダー、大規模Webプロバイダーといったお客様のデータセンターに導入さ まとめ れ、 アプリケーションとネットワークを高速化し安全性を確保しています。 組織には、確実なIPsec接続性を提供可能な信頼性の高いソリューション、 A10 Networksは2004年に設立されました。 米国カリフォルニア州サンノゼに そして既存のルーターおよびIPsec VPNゲートウェイと相互運用できるソ 本拠地を置き、世界各国の拠点からお客様をサポートしています。 リューションが必要です。 Thunder ADCのIPsec VPN機能があれば、 高速での トラフィックの暗号化や、 BGPルーティングとオンデマンドのVPNプロビジョニ ングをサポートすることができます。 Thunder ADCのIPsec VPNテクノロジー によって、 以下のことが可能になります。 • A10の64ビットACOSプラットフォームと専用セキュリティプロセッサーを 活用し、 増大するIPsecスループット要件に対応 • IPsec VPN、 サーバー負荷分散、 ステートフルファイアウォール機能を A10ネットワークス株式会社はA10 Networksの日本子会社であり、お客様の 意見や要望を積極的に取り入れ、 革新的なアプリケーションネットワーキング ソリューションをご提供することを使命としています。 詳しくはホームページをご覧ください。 www.a10networks.co.jp Facebook:http://www.facebook.com/A10networksjapan 単一のデバイスに統合 • Thunder ADCのデータセンター効率化設計を活用して、 ハードウェア、 運用、 保守コストを削減 • パブリック、 プライベート、ハイブリッドクラウドのプロビジョニングと BGPネットワークの要件をサポート A10ネットワークス株式会社 海外拠点 〒105-0001 東京都港区虎ノ門 4-3-20 神谷町MTビル 16階 TEL : 03-5777-1995 FAX: 03-5777-1997 [email protected] www.a10networks.co.jp 北米(A10 Networks本社) 香港 ヨーロッパ 台湾 南米 韓国 中国 南アジア [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] オーストラリア/ニュージーランド Part Number: A10-SB-19132-JA-01 Mar 2015 [email protected] ©2015 A10 Networks, Inc. All rights reserved. A10 Networks、A10ロゴ、A10 Lightning、A10 Thunder、aCloud、ACOS、ACOS Policy Engine、ACOS Synergy、 Affinity、 aFleX、 aFlow、 aGalaxy、 aVCS、 AX、 aXAPI、 IDaccess、 IDsentrie、 IP-to-ID、 SoftAX、 SSL Insight、 Thunder、 Thunder TPS、 UASG、 VirtualN、 Virtual Chassisおよび vThunderは米国およびその他各国におけるA10 Networks, Inc. の商標または登録商標です。 その他上記の全ての商品およびサービスの名称はそれら各社の商標です。 その他の商標はそれぞれの所有者の資産です。A10 Networksは本書の誤りに関して責任を負いません。A10 Networksは、予告なく本書を変更、修正、譲渡、および 改訂する権利を留保します。製品の仕様や機能は、変更する場合がございますので、 ご注意ください。 お客様のビジネスを強化するA10のアプリケーション サービスゲートウェイ、Thunderの詳細は、A10ネット ワークスのWebサイトwww.a10networks.co.jpをご覧 になるか、A10の営業担当者にご連絡ください。