Comments
Description
Transcript
PDFをダウンロードする
Case Study ¦ 大学共同利用機関法人 情報・システム研究機構 国立情報学研究所 「内製で得た知見をもとに、同等以上の機能を持ちかつ実績のある製 品を採用したことで、マルチクラウドに展開したサービスを保護可能 な、十分に信頼できるアプリケーション・セキュリティゲートウェイを実 現できました」 大学共同利用機 関 法 人 情 報・システム研 究 機 構 国 立 情 報 学 研 究 所 学 術 基 盤 推 進 部 学 術 基 盤 課 特任技術専門員 三 浦 竜 哉 氏 BIG-IP:国立情報学研究所 サービスをマルチクラウドで安全に提供するため クラウドのセキュリティ機能に依存しない アプリケーション・セキュリティゲートウェイを構築 「研 究」と「事 業」を活 動 の 両 輪とし、事 業 面では日本 全 国 の 大 学や 研 究 機 関 等 の 学 術 情 報 基 盤 で あ るSINET5に 加 え、学 術 情 報 ナ ビ ゲ ー タ『CiNii』や 目 録 所 在 情 報 サ ー ビ ス 『NACSIS-CAT/ILL』、共 用リポジトリ『JAIRO Cloud』等 の 各 種 サ ービ スを 提 供して い る 国 立 情 報 学 研 究 所(NII)。ここではこれらのサ ービスをマルチクラウド化するための 布 石とし て、特定のクラウド事業者に依存することなく高度なセキュリティを一元的に実現する、アプリ ケーション・セキュリティゲ ートウェイを、IP Anycast構 成 で 実 現している。ここで 重 要 な 役 割を果 たしているの が、異 なるデ ータセンタに導 入された4台 のBIG-IPだ。統 合 的 な 運 用を 視 野にBIG-IQも 導 入 されており、これらのBIG-IPの 集 中 管 理 も 実 施。今 後 の 多 様 なコンテ ンツサービスの実現に向けた活用も検討している。 Overview 業種 研究機関 課題 ・NII所管施設内で各種サービスを提供して いるが、大震災時の計画停電等によるサー ビス停止の回避や運用コスト削減のため、 これらをクラウド化することになった。 ・クラウドを採用した場合、その時々の調達 の 結 果でクラウド事 業 者 が 変 更され、セ キュリティ機能や質も変わる可能性があ る。クラウド事業者に依存しないセキュリ ティを確保する必要がある。 ・マルチクラウドでDRを実現した場合、DNS 浸透期間(プロパゲーション期間)によって 不整合が生じる危険性がある。 ・これらの課題を解決するために、クラウド等 システム基盤からネットワークトラフィック 制御とセキュリティ機能を切り離し独立さ サービス提供上の課題 せた、全サービスで共通に使えるアプリ 日本 全 国 の 学 術 情 報 基 盤として、重 要な役 割 ありました」と語るのは、NII 特任技術専門員の を 担って いるSINET。全 国 で800以 上 の 大 学・ 三 浦 竜 哉 氏。これらの サ ービスはNII所 管 施 設 研究機関等で、300万人以上の研究者や学生等 内のプライベートクラウドで運用されているが、 が こ れ を 活 用 し て い る。2016 年 4 月 に は 年1回 行われる法 定 点 検 時 の 全 館 停 電によって SINET5 の 運 用 が ス タ ー ト。全 都 道 府 県 を 1 ∼ 2日 サ ービ スが 停 止 する、災 害 対 策(DR) 100Gbpsの超高速ネットワークでつなぎ、欧州 が 十 分 では な い、システム 運 用にコストが かか との直通回線や米国西海岸との100Gbps接続 る、といった問 題を抱えていたのである。NIIは も 実 現した。このSINETの 構 築・運 用 を 行って これらの問題を解決するため、2014年よりクラ いるのが、大学共同利用機関法人 情報・システ ウド化 の 検 討に着 手、一 部 のシステムを先 行 で ケーション・セキュリティゲートウェイを構 築することになった。 ソリューション ・BIG-IP Local Traffic Manager(LTM) ・BIG-IP DNS ・BIG-IP Application Security Manager (ASM) ・Advanced Routing Module ・BIG-IQ ム研 究 機 構 国 立 情 報 学 研 究 所(NII)だ。NIIで 2014年11月にクラウドへ移行した。しかしここ メリット はSINET5へ の 接 続 サ ービ スに加 え、学 術 情 報 でも複数の課題が浮上したと言う。 ・BIG-IP DNS と Advanced Routing ナ ビ ゲ ー タ『CiNii』や 目 録 所 在 情 報 サ ー ビ ス 『NACSIS-CAT/ILL』、共 用リポ ジトリ『JAIRO Cloud』等、様々なサー ビ ス をSINET 上 で 提 供。こ れら も 研 究 や 教 育を支える基 盤として、 重 要 な 役 割 を 果 たして いる。 大学共同利用機関法人 情報・システム研究機構 国立情報学研究所 学術基盤推進部 学術基盤課 特任技術専門員 三浦 竜哉 氏 「クラウドを採 用した場 合には、そ の 時々の 調 達 の 結 果クラウド事 業 者 が 変 更されることが あ り、提 供されるセキュリティの 機 能や質も変わっ てしまう可能性があります。またクラウド活用で DRを実現したとしても、DNSで接続先を切り替 えるの であ ればDNSの 浸 透 期 間によって、切り 替え前 後でシステム間に不 整 合 が 発 生すること も危 惧されます。さらにJavaのDNS永 続キャッ し か し「こ れ ま で の シュ問題もあり、適切な対応を行っていないクラ サ ービ ス 提 供 システム イアントソフトを使用しているユーザのサポート には いくつ か の 課 題 が にも工数がかかってしまいます」 (三浦氏)。 Module の 機能によって IP Anycast 構 成が可能になり、複数拠点で冗長化され た堅牢なアプリケーション・セキュリティ ゲートウェイを実現できた。 ・BIG-IP の 高 い 処 理 能 力による DDoS 対 策 や、BIG-IP ASM を 活 用 し た ア プ リ ケ ーション攻 撃 へ の 防 御 も 実 現 可 能に なった。 ・BIG-IQ も導入することで、異なるデータ センタに設 置された BIG-IP の 集 中 管 理 も実現できた。 CASE STUDY 大学共同利用機関法人 情報・システム研究機構 国立情報学研究所 これらに加え、近年増加傾向にあるDDoS対策 れたゲートウェイを構築。ここで重要な役割を果た さらに三浦氏は「内製で得た知見をもとに、 も難しいと指 摘する。このクラウド化 構 想は、複 しているのが、BIG-IPなのである。 同等以上の機能を持ちかつ実績のある製品を 数のクラウドサービスとデータセンタの利用を前 採用したことで安心感も向上しています」と指 メリット 提としていたが、それぞれの環境でDDoS対策を 摘。マルチクラウドに展開したサ ービスを保護 行うだけのリソースを確保しようとすると、膨大な ■IP Anycast構成によって高い可用性を確保 コストがかかることが予測されたのだ。 BIG-IPは 全 国4か 所 の デ ー タセンタに設 置 さ する上で、十分に信頼できるゲートウェイを実 現できたと語る。 「現在は Web サ ービスをゲー トウェイの主な対象としていますが、BIG-IP れ、BIG-IP DNSとAdvanced Routing Module ソリューション は様々なアプリケーションに対応しているた の機能によって、全てがアクティブかつ同一グロー このような 問 題を解 決 するための 手 段として め、HTTP 以外のプロトコルへの適用も検討 バルIPを持つIP Anycast構成となっている。エン NIIが採用したのが、ユーザからのリクエストを一 しています。また充実したログ機能でトラフィッ ドユーザからの接続は、ネットワーク経路的に最も 手に引き受け、リクエスト内容を解析した上で各 近いBIG-IPが担当。これがダウンした場合には、 種サービスに引き渡す「アプリケーション・セキュ 残りのデータセンタのBIG-IPが自動的に接続を受 リティゲートウェイ(以下、ゲートウェイ)」の実装 けるため、全データセンタがダウンしない限り可用 である。NIIではこれまでにも一部のサービスで、 性 が 確 保 さ れ る。ま た 統 合 的 な 運 用 を 視 野 に 内製のゲートウェイを利用した経験があり、適切 BIG-IQも導入されており、現在4台のBIG-IPの集 なアプローチであることは検証済み。そこでこれ 中管理を実施。今後の多様なコンテンツサービス を全サービスに展開するため、マルチクラウドに 環境の実現に向け、さらなる活用を検討している。 対応できるゲートウェイを立ち上げ、ハイブリッド ■DDoS攻撃やWebアプリケーションへの攻撃を 構成でセキュリティを確保することが目指された 防御 のである。 サイバー攻撃の不正トラフィックもまずBIG-IP NIIが そ のために提 示した要 件は主に4点 あっ で受け、ゲートウェイの持つセキュリティ機能で対 た。L7プロトコルの解析とフォワーディングが行 処される。BIG-IPはDDoS対策機能を装備してお えること、ファイアウォールだけではなくDDoS対 り、大規模な攻撃にも耐えられる処理能力を持っ 策やWAF等のセキュリティ機能を実装できるこ ていると評価されている。またWAF機能を持つ と、ゲートウェイ自体を複数データセンタで冗長 BIG-IP Application Security Manager 構成にすることで堅牢性を確保すること、そして (ASM)も導入されており、アプリケーションへの SINET5の100Gbpsフ ル メッシ ュ ア ー キ テ ク チャを活かせる性能を持つことだ。 この要件に基づき2015年10月に入札を実施 す」。 2017 年度には NII 提供の全サ ービスが、 このゲートウェイに接続される予 定になってい ると言う。 Customer Profile 大学共同利用機関法人 情報・システム研究機構 国立情報 学 研 究 所 情報学という新しい学問分野での「未来価値創成」を使 命とする国内唯一の学術総合研究所である。研究分野は 幅 広く、情 報 学 にお ける基 礎 論 から人 工 知 能 やビッグ データ、IoT、情報セキュリティといった最先端のテーマ まで、総合的に研究開発を推進。また大学共同利用機関 として、学術コミュニティ全体の研究・教育活動に不可欠 な最先端の学術情報基盤の構築・運用を推進するととも 攻撃にも対応可能だ。 に、全国の大学や研究機関のみならず民間企業や社会活 ■実績のある製品ならではの 独創的・国際的な学術研究の推進や先導的学問分野の 動との連携・協力を重視した運営を行っている。さらに、 開拓を目指す大学院教育にも取り組んでいる。 安心感も大きなメリット し、2016年4月に4つのデータセンタで冗長化さ クを分析し、対策に活用することも考えていま (NII) アプリケーション・セキュリティゲートウェイ 大学・研究機関 LTM データセンタ データセンタ DNS LTM ASM BIG-IP Platform クラウド ASM BIG-IP Platform クラウド 一般利用者 図書館等 DNS SGW利用 アプリケーション群 SINET5網 LTM データセンタ データセンタ DNS LTM ASM DNS ASM クラウド BIG-IP Platform BIG-IP Platform 不正アクセス ネットワークスジャパン合同会社 http://f5.com/jp 2016 2016 年 11月