Comments
Description
Transcript
TMOS によるセキュアな開発とセキュリティの実装
TMOS によるセキュアな開発とセキュリティの実装 概要 TMOS(F5製品のアプリケーション・デリバリ・コントローラの基盤として、BIG-IPプラットフォームで動 作するOS)は、既存のアプリケーション配信ネットワークに多様なセキュリティ機能を提供します。た とえば、TCPおよびアプリケーション・フルプロキシ、最適化されたIPスタック、仮想ネットワーク・セグ メントといった設計や運用上の機能は、TMOSベースのすべてのアプライアンスで利用できるセキュ リティ機能のほんの一部に過ぎません。しかし、TMOSによるセキュアな実装について論じる前に、 「TMOSそのもののセキュリティはどのように確保されているのか」というよくあるご質問にお答えしま す。 課題 セキュリティに対応したネットワークデバイスを製造する際には、デバイスそのもののセキュリティを問う 必要があります。自動車がやすやすと通り抜けられるほど柵の隙間が広い門は、家のセキュリティ 対策にはなりません。極めて巧妙なコードによる攻撃の多くは、まさにそのような脆弱性を防ぐ ように設計されたソフトウェアやハードウェアを狙ったものであることが分かっています。アンチウイルス・ ソフトウェアに対する攻撃は、もっとも一般的な例です。見張り番を攻撃できれば、見つかることを 心配する必要はないからです。 F5 は、TMOS によって、セキュアで堅牢なアプリケーション配信を可能にするプラットフォームを構 築・維持することを強く意識し、TMOS が設計どおりのセキュアなネットワーク環境を提供できるよ うに、さまざまなチェックや防御を実装しています。お客様のアプリケーション配信ネットワークに対す るセキュリティの提供から、スタックソースコードの必須チェックや定期チェックによる内部セキュリティの 確保まで、アプリケーション配信のセキュリティは、セキュアなアプリケーション・デリバリ・コントローラか ら始まります。 ソリューション ハードウェアとソフトウェア:バランスのとれた外部のセキュリティ BIG-IPとTMOSは、ハードウェアとソフトウェアが連携して最高レベルのセキュリティを実現できるよう に、設計されています。アプリケーション・トラフィック管理製品であるBIG-IPのハードウェアおよびソフ トウェア・アーキテクチャは、次のとおりです。 Jun-07 - 1- アプリケーションの全トラフィックが出入りするスイッチモジュールは、PVA(Packet Velocity ASIC) に接続されています。PVAは、F5独自のL4ロードバランシング用ASICベースのスイッチング・ファブ リックです。PVA内で処理可能なトラフィックは、一旦そこで終端されます。この段階で、すべてのパ ケット接続とトラフィックの管理が、スイッチモジュール経由のPVAによってハードウェアレベルで行わ れます。トラフィックはスイッチを通過してPVAに入り、ここで適切なロジックや変換が行われてから、 再びスイッチモジュールを通って送り返されます。これは一般にfastL4プロファイルと呼ばれていま す。 PVAで処理されないトラフィックは、PVAを通過して次のレイヤに進みます。次のレイヤは、TMM (Traffic Management Microkernel)と呼ばれる、F5の主要なトラフィック管理処理システムで す。TMMでは、インテリジェントなロードバランシング、圧縮、SSL、iRules、パケットフィルタなど、 BIG-IPのLocal Traffic Manager(LTM)の機能すべてが処理されます(ただし、L4専用ロードバ ランシングは例外です。これはPVAとTMMのどちらでも処理できます)。BIG-IPがSSL、FIPS、圧 縮などの専用ハードウェアを搭載していることで、TMMは、それらSSL、FIPS、圧縮などのオプショ ンのハードウェア・アクセラレーションを使用してトラフィックを管理できます。また、TMMはBIG-IP Global Traffic Manager(GTM)などの製品からの要求に応じて、ホスト管理サブシステムにトラ フィックを送信する役割も担っています。 トラフィック管理サブシステム TMMに加えて、BIG-IPには各種のトラフィック管理タスク用に複数のサブシステムが組み込まれて おり、各サブシステムは個別の専門分野を担当しています。これらサブシステムのうち2つが、ホスト 管理サブシステムとSCCPサブシステムです。 ホスト管理サブシステムは、BIG-IPの管理プロセスを担当します。これには、セキュアなコマンドライ ン・アクセスを提供するSSH、セキュアなGUIアクセスを提供するHTTPS Webサーバ、SNMP、 NTP、およびその他の各種管理サービスが含まれます。ホスト管理サブシステムで処理されるその 他の機能は、ヘルスチェック、構成管理、およびロギング機能です。GTMなどの一部のソフトウェ ア・モジュールも、ホスト管理システム上で動作します。これらのモジュールはTMMと緊密に統合さ れてパフォーマンスの向上と補完的な機能を実現しますが、注意すべき重要な点は、TMMとホス ト管理サブシステムのトラフィック管理は2つのまったく異なるシステムであり、それぞれに独自のカー ネル、ユーザ環境、およびネットワーク・プロトコルスタックが実装されているという点です。 管理プロセッサ(SCCP - Switch Card Control Processor)は、ホスト管理サブシステムに接続 されています。これはもう1つの専用の「システム内システム」で、「自動」管理のほか、L2スイッチの 管理やネットワーク経由の再インストールなど、TMMをサポートするその他の機能を提供します。 BIG-IPでは、ネットワーク接続のために2種類のエントリ・ポイントが使用されています。1つはスイッ チ・モジュール(アプリケーション配信用ユニットの前面にあるイーサネットポート)で、もう1つは管理プ ロセッサに接続されるLANインターフェイスです。これらのエントリ・ポイントはいずれも、ホスト管理サ ブシステムの管理サービスへのアクセスに使用されることがあります。上記のように、TMMはスイッチ モジュールとホスト管理サブシステム間のパス上にあるので、TMMはネットワークやアプリケーションか らのホスト管理サブシステムへのアクセスを制限できるポイントとなります。たとえば、TMMは、ホスト 管理サブシステムにおける実際のポートの開閉状態に関係なく、それぞれの管理用IPアドレスごと に「オープン」に見えるポートを制限できます(セルフIP)。さらに、TMMには、ホスト管理サブシステ ムへのアクセスを極めてきめ細かく制限できるフル機能のパケットフィルタ・エンジンが装備されていま す。BIG-IPのデフォルト設定では、スイッチモジュールの内部VLANおよび管理インターフェイスに対 してはSSHやHTTPSなどのデフォルトサービスを許可し、外部VLAN経由のアクセスは許可しない ように設定されています。 BIG-IPのポートにアクセスするための主要なエントリ・ポイントはスイッチモジュールであり、スイッチ経 Jun-07 - 2- 由のアクセスは、TMMできめ細かく制御できます。管理ポート経由のアクセスは信頼できると見な され、アクセス制御は適用しないという点に注意してください。これはBIG-IPのネットワーク設計時 に重要な検討事項となります。信頼できるセキュアな管理専用ネットワークがある場合、管理ポー トはそのセキュアなネットワークに接続してください。信頼できるセキュアな管理ネットワークがない場 合は、管理ポートを使用せず、TMMやローカルのシリアルコンソールによって管理されるスイッチポー トからのアクセスだけを許可することをお勧めします。 複数のプロトコルスタック ハードウェアであるASICとソフトウェアで管理されるTMMのコネクションを介して、TMOSでは、複 数の機能に複数のプロトコルスタックを使用する「マルチスタック」アプローチを採用しています。前述 のように、fastL4はASICによって実装される特定タイプのプロトコルスタックで、極めて高速なハード ウェア・アクセラレーションとトラフィック配信を提供します。さらに、fastL4スタックは、ソフトウェアでも 扱えるソフトウェア・プロトコルスタックの1つとして、TMMによるレイヤ4管理を高速化します。 BIG-IPでは、このマルチスタック・アーキテクチャによって、管理者が構成オプションを設定することに より、特定の目的に合った適切なスタックを選択できます。たとえば、SSLアクセラレーションと圧縮 のためにTCP Expressやフルプロキシを使用したり、HTTP専用の配信を最適化するためにFast HTTPを使用したり、純粋なTCP/UDPアクセラレーションのためにハードウェア/ソフトウェアによる fastL4を使用できます。 このマルチスタック・アーキテクチャは、ジョブに対して適切なツールを提供するだけでなく、TMOSに よって管理されるすべてのパケットやコネクションに対しても、マルチレイヤのセキュリティを提供しま す。ほとんどのネットワーク・アプライアンスやネットワーク・オペレーティング・システムでは、すべてのコ ネクションに対して1つのプロトコルスタックが使用されています。このアプローチでは、トラフィック最適 化のための選択肢が制限されるだけでなく、アプライアンスのすべての部分が、単一障害点 (Single Point of Failure)への攻撃、つまり、プロトコルスタックに存在するセキュリティ・ホールを狙 った攻撃やアプライアンス全体へのDoS攻撃にさらされることになります。BIG-IPでは、複数の独立 した、独自のプロトコルスタック(各スタックはそれぞれ独自の方法で個別のセキュリティ対策を実 装)を使用することによって、複数のレイヤが相互に依存・保護し合う極めて堅牢なセキュリティ・シ ステムが構築されています。仮に外部から、BIG-IPのある1部のスタックに存在するセキュリティ・ホ ールを攻撃する場合、悪意のあるコードはその攻撃に免疫のある他のスタックを通過しなければな らないため、それらがBIG-IPのトラフィック管理システム全体に影響を及ぼす可能性を最小限に抑 えられます。 循環スタックからの取り出し このような業界をリードする極めて高度なテクノロジが採用されたトラフィック管理OS、TMOSのも とで1台のアプライアンスに統合されることによって、完全なセキュリティ・ソリューションが生み出されま す。つまり、TMOSへのコネクション1つで、上記のすべてのテクノロジを利用できるようになるので す。次の例を考えてみましょう。 スミス社では、BIG-IP LTMの仮想サーバ(VIP)の背後に2台のSMTPメールサーバが設置され、 両方のSMTPサーバが1つのプールとして構成されています。このSMTP VIPに関する管理者の主 な関心事は、メールサーバの最適化と安定性です。そこで管理者は、メールネットワークへの着信 接続用に高速で冗長性のあるアクセスを実現したいと考え、VIPにfastL4プロファイルを適用して います。また、このVIPでは、インバウンドのSMTP接続要求に対して、極めて基本的なソースIPに よる識別が行われ、不明なソースからの特定の接続に対しては、SMTPプロキシのロジック(たとえ ば、SMTP接続がRFCの要件に合致しているかを確認する基本的な正常性チェックなど)が適用 されています。言い換えれば、VIPは新しい接続を既知の「有効な」IPアドレスのリストと照合し、リ ストにあるアドレスからの接続でない場合は、そのSMTP接続を無害化(サニタイズ)します。さら に、最後のセキュリティ対策として、管理者は一連のパケットフィルタを適用し、内部ネットワークから SMTP VIPにアクセスできる内部ホストとVLANを制限しています。 Jun-07 - 3- この例は一見、極めて一般的に見えます。これは、F5の多くのお客様が現在、既存のメール配信 ネットワークでロードバランシング、基本的な配信ロジック、および配信セキュリティを実現するために 使用している、標準的なSMTP接続システムです。しかし、その中には多くの歯車があり、その歯 車はスミス社のメールネットワークがもっともセキュアで安定した配信を実現できるように、極めて具 体的な独自の方法で連動しています。管理者はfastL4プロファイルを適用しながら、VIPにアプリ ケーション固有のタスクも実行させており、これによってTCP Expressのフルプロキシ・プロファイルが 呼び出されます。これらの一見シンプルな構成の1つ1つがお客様、ネットワーク、あるいは実装ごと に変化するのに伴って、これらの歯車の1つ1つも、同様に高レベルのセキュアで安定した配信を実 現できるように、それぞれ独自の方法で連動することになります。 自己を監視する:内部のセキュリティ セキュリティの世界では、「システム全体(鎖)のセキュリティ強度はもっとも弱い輪と同じ程度」と言 われています。また前に述べたように、大きな穴のあいた門は役には立ちません。TMOSは、セキュ リティを念頭に置いてまったく個別に設計されたものです。TMOSでは、たとえば、BIG-IP LTMとそ の背後のデバイスに対するユーザレベルのアクセスや、外部接続とサブシステム通信に対するパケッ トフィルタなど、内部と外部のコンポーネントに対するセキュアな実装に重点を置くことによって、プラ ットフォーム全体を通して同じレベルの緊急度でセキュリティに対処します。 コードスキャンとクリーニング 現在セキュアなシステムが数多く存在する中で、もっとも重要な2つの要素は、設計とコーディング です。実際、完全にセキュアなソースコードはアプリケーションおよびネットワーク・セキュリティの至高 の目標であるという見解が、ほぼ一般的となっています。すべてのアプリケーションが最初からセキュ アであるなら、アプリケーション・ファイアウォールなどの高度なセキュリティデバイスは恐らく必要ありま せん。F5は、多くのソフトウェア開発会社と同様に、セキュアコードの開発に特に重点を置き、社内 の開発スタッフにセキュアコードの開発方法をトレーニングするために多くの投資を行っています。し かし、ソフトウェアやネットワークにおけるセキュリティの脆弱性の世界では、ほんの小さなミスが極め て大きな問題を引き起こす可能性があります。 このようなことから、F5はセキュアコード開発への取り組みを強化し、TMOSのソースコードのセキュ リティにさらなるレイヤを追加するために、重大な欠陥について夜間にソースコードを分析する、高 度なサードパーティ製スキャン・アプリケーションを実装しています。このコードスキャン・アプリケーショ ンは、コンパイル時に、セキュリティ上のバグや不具合などの欠陥、「ビルドを中断」するようなバグ、 メモリリークやメモリ破壊といった深刻なバグ、新しいコードによって引き起こされる予測不能な動作 を探し出します。ソースコードスキャンでは、重大なバグや欠陥のほかに、データの完全性の問題や パフォーマンスのボトルネックといった致命的でない欠陥も見つけることができます。 セキュアなソースコードのスキャンと評価を、セキュアな設計と実装に伴うツールとして使用すれば、 潜在的な欠陥が大惨事を引き起こす前に、そして欠陥の修正コストが比較的少なくて済むうち に、重大な欠陥を発見することができます。セキュアコードの開発とコードの評価は相互に補完し 合うものであり、TMOSの設計および開発段階にとって不可欠な要素です。 ソーススキャンのあと:ブラックボックス・テスト ソースコードの評価のほかに、アプリケーションのブラックボックス・テストも、市場への一般出荷に先 立って、TMOSのセキュリティ確保のために使用されるツールの1つです。ブラックボックス・テストは、 アプリケーションやプラットフォームのテストを実施する手法で、(ソースコードスキャンとは異なり)シス テムにアクセスするために、標準的な攻撃者が入手できる程度の知識しか必要ありません。ブラッ クボックス・テストと分析は、リリースまでのソフトウェア開発ライフサイクルのどこにでも適用できます。 Jun-07 - 4- このタイプのセキュリティ評価は、ソースコードスキャンで洗い出せる範囲を超えたセキュリティ影響テ ストを継続することによって、防御のレイヤを追加するものです。現在の自動車には、それと同じ理 由でエアバッグとシートベルトの両方が装備されています。つまり、それぞれが異なる形の防御を提 供するのです。どちらも重要であり、併用すれば、単独で使用した場合よりも安全な環境が実現 されます。 F5は、自社開発のツールに加えて、特定のアプリケーション・プラットフォームおよびプロトコルに関す る極めて具体的な欠陥やセキュリティの脆弱性を検出・除去することに重点を置いた、外部のサー ドパーティ製ツールを実装しています。これは、ソースコードスキャンと併用して、TMOSがすべての 開発リリースを通じて受ける堅牢なセキュリティ評価を強化するものです。 ローカル・アプリケーション・レベルのセキュリティ セキュリティ・アプライアンスは、開発段階のセキュリティと同様に、F5のセキュア・プラットフォーム戦 略における重要な要素です。TMOSは3つの独立したオペレーティング・システム・プラットフォームを またがって動作します。そのプラットフォームとは、WebベースのGUIやSSHといった運用アプリケーシ ョンの必須機能を提供するホスト管理サブシステム(HMS)、管理アプリケーションおよびインターフ ェイスのためのSCCP、アプリケーション配信ネットワークにおいて、トラフィックを管理するTMMの3つ です。これらの各環境には、BIG-IPによって管理されるアプリケーションとデータをセキュアな状態に 保つために、それぞれ固有のセキュリティシステムが必要となります。前に取り上げたTMMのセキュリ ティだけでなく、HMSとSCCP管理システムにも、それぞれ独自のセキュリティ・サブシステムが組み 込まれています。BIG-IP上のすべてのシステムは、同じスタックレベルの防御に依存してネットワーク レベルのセキュリティを確保していますが、運用管理システムには更なる防御が必要です。 オペレーティング・システムのセキュリティにとって重要な2つ分野は、ユーザ管理とプロセス管理で す。これらの重要分野はローカルとリモートの両方のユーザおよびプロセスに適用されます。同様 に、両方のBIG-IP管理システム用に配備されたセキュリティ・メカニズムが、それぞれにセキュリティ を提供します。BIG-IPは、ローカルおよびネットワークアプリケーション・レベルのセキュリティを採用し ています。これは、一般にホスト型侵入防御(HIP)と呼ばれるもので、アクセス制御やコンテインメ ント(封じ込め)による制限を実施することによって、標準的なシステムレベルのアクセス制限をバイ パスしてユーザやシステムを攻撃するエクスプロイト・コードを防御します。BIG-IPにインストールされ たすべてのアプリケーションに対するエクスプロイト・コードは、カーネルレベルの脆弱性を含めて常に 重大な問題として扱われ、可能な限り早急に、ソフトウェアのメジャーリリースのサイクルを外れてパ ッチがリリースされます。これらの公開された脆弱性とパッチの間で、BIG-IPのアプリケーション・セキ ュリティを担うHIPサブシステムは、ユーザとアプリケーションの両方にとってセキュアな作業環境を維 持します。すべてのアプリケーションは制限された環境で稼動し、動作の制限が守られているかどう か常に監視されます。アプリケーションの違反は、iControlをはじめとするBIG-IPの多くの通知シス テムによって、BIG-IPの管理者に直ちに通知されます。 結論 F5 は、アプリケーション配信ネットワークのセキュリティを実現することによって、もっとも貴重なアプリケ ーション資産を保護します。F5 は企業アプリケーションへの信頼できるセキュアなアクセスを提供する ために、セキュアなアプリケーションの枠組みを BIG-IP の中核的な要素にまで持ち込まなければなり ません。アプリケーション配信にセキュリティを提供するだけでは十分ではなく、配信するアプライアンス にもセキュアな環境を提供することが必要です。前に述べたように、アプリケーション配信ネットワーク のセキュリティ強度は、「もっとも弱い輪」と同じ程度でしかありません。F5 は、BIG-IP のアプリケーショ ン・デリバリ・コントローラがアプリケーション・デリバリ・ネットワーキングの鎖の中で極めてセキュアな輪と なるように、さまざまな手段を講じています。 Jun-07 - 5- F5について 米国ワシントン州シアトルに本拠を置く F5 Networks, Inc.は、アプリケーション・デリバリ・ネットワー キングのグローバル・リーダーです。アプリケーションの安全性・高速化・安定感を図り、企業が行っ たアプリケーション投資を最大限活用するソリューションを提供します。ネットワークにインテリジェンス や管理性を持たせ、アプリケーションの負荷を下げることでリソース消費量を抑えながら、アプリケー ションの高速化を実現します。F5 の拡張性に富んだアーキテクチャは、アプリケーションおよびネット ワークの保護、アプリケーションの最適化や高い信頼性、そのすべてを 1 台の共有プラットフォーム 上に統合します。世界 10,000 社以上の企業やサービスプロバイダが、アプリケーションのアベイラビ リティを高める F5 に信頼を寄せています。F5 Networks, Inc.に関する詳細は、www.f5.com をご覧 ください。 F5 ネットワークスジャパン株式会社は、2000 年の設立以来、日本市場での販売、サポート、コン サル ティングおよびトレーニングなどのサービスを、ビジネスパートナー様を通じ展開しています。国 内 3,000 社を超えるお客様が、F5 の提供するアプリケーション・デリバリ・ネットワーキング・ソリューシ ョンを活用されています。F5 ネットワークスジャパン株式会社に関する詳細は、 www.f5networks.co.jp をご覧ください。 ※本文中に記載の社名、製品名はすべて各社の商標または登録商標です。 F5 ネットワークスジャパン株式会社 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19F http://www.f5networks.co.jp/fc/ Jun-07 - 6-