Comments
Transcript
BIG-IP® Application Security Manager モジュール
Datasheet BIG-IP ® Application Security Manager モジュール F5 ネットワークスのアプリケーション・トラフィック管理製品に統合された Webアプリケーション・セキュリティ BIG-IP に Web アプリケーション・セキュリティの機能が追加され、 「プラグ・アンド・プロテクト (導入後、即防御)」が可能になりました。 BIG-IP Application Security Manager モジュール(以下、BIG-IP ASM)は、BIG-IP アプリケー ション・トラフィック管理プラットフォーム上で動作し、堅牢なアプリケーション・セキュリティと トラフィック管理機能を 1 つのシステムで提供します。ハードウェアの追加導入や面倒な設定、 インストールは必要ありません。 BIG-IP ASM は特定の Web アプリケーションを狙い撃ちにした攻撃と、一般的な無差別攻撃のど 主な特長とメリット 確実なアプリケーション配信 I C S A 認 定 の B I G - I P ASM は、正 当 な アプリケー ション・トランザクションに影響を与えず、高度な手法 の攻撃を識別し、隔離・ブロックが可能 ちらに対してもアプリケーション層を保護し、サービスの安定性と最適なパフォーマンスを確保し ます。 BIG-IP ASM は運用の煩雑さを軽減し、保守管理コストを低減します。アプリケーションをプロア クティブに保護しながら、優れたアプリケーション・パフォーマンスを確保する、完璧で堅牢なソ リューションです。 パフォーマンスの最適化 有効なアプリケーション・トランザクションだけを許可 し、残りすべてをブロック。効率的なポジティブ・セ キュリティモデルの採用により、セッション情報、アク セス権限、ユーザの入力、アプリケーション応答タイム に基づくアプリケーション・レベルにおいて、各ユーザ のトランザクションを検証 ゼロデイアタック攻撃防御 シグネチャを使ったマッチング方式ではなくポジティ ブ・セキュリティモデルの採用により、シグネチャに登 録されている限られた数の既知の攻撃のみを防御する のではなく、既知、未知を含むすべての HTTP/HTTPS ベースの攻撃からアプリケーションを保護。シグネチャ に登録されていないために検出、保護できない新種の 攻撃も、ポジティブ・セキュリティモデルであれば容易 にブロックが可能 帯域を無駄なく活用し、ROI を最大化 Webトラフィックで利用可能なシステムが増えるほど、より多くの重要な顧客データが最新のセキュリ ティシステムでも防げない新たな脅威にさらされることになります。BIG-IP ASM は、 データや知的財産、 Web アプリケーションの損失・破損のリスクを大幅に軽減し、企業ブランドの価値と評判を守ると同時に 次の利点を提供します。 なりすましに対するプロアクティブな保護 BIG-IP ASM は、HTTP の要求や応答に含まれる個人情報(クレジットカード番号、銀行口座など)へのア クセスを制御し、業界で最も広範囲な個人情報の保護を提供します。 法規制への準拠(コンプライアンス) Web アプリケーションは今やハッカーの主な侵入口となっており、その攻撃による損失は年間数千億円 きめ細かな制御 シグネチャおよびパターンマッチングに基づく防御機 能を必要に応じて利用可能。ファイアウォールと IPS システムが提供する保護機能を補完し、こうしたセ キュリティシステムを越えたネットワーク・プロトコル 攻撃からも、システムを保護 に上るといわれています。それに加えバーゼル協定、HIPPA、SB 1386、個人情報保護法などの各国の 新しい法規制では 、顧客の個人データのセキュリティ確保が企業の重要な責務としています。BIG-IP ASM は顧客の個人情報を取り扱い、こうした法規制に準拠しなければならない企業にとって必要不可欠 な製品です。 アプリケーション開発コストの低減 リスク管理 / 変更管理の改善 アプリケーションに対する無差別攻撃および狙い撃ち にされる攻撃に対し、即時に適応可能なリアルタイム の防御機能を提供。これにより、アプリケーション開 発時に行われる脆弱性検査のようなセキュリティ対策 を補完。新しい問題は、セキュリティポリシーを変更す ることで直ちに処理 アプリケーションの周辺が完全に保護されていないと、開発者はアプリケーションのセキュリティホール を徹底的に洗い出し、セキュリティ機能を個々にコード記述しなければなりません。脆弱性スキャナによ り一部のセキュリティホールは検出できますが、厳密なコードの見直しと書き直しが必須になります。 BIG-IP ASM を利用すると、コードがパワフルなセキュリティ防衛線に守られているため、開発者は新し いアプリケーションや機能の迅速な開発に専念できます。 復旧コストの削減 詳細な統計とフォレンジック(法廷証拠の確保) 豊富なアプリケーション・トランザクションおよびイ ベント情報をログに記録。アプリケーション動作の分 析とユーザの不正な挙動の検出/防止に有効 悪意を持った攻撃によって、企業は直接的な金銭被害だけでなく、攻撃への対応と損害の復旧に対しても 莫大なコストを負担することになります。これらの対応は、企業の IT 部門だけに求められることではあ りません。広報、ブランドイメージ、訴訟などでも必要になることがあります。BIG-IP ASM は、これら の被害を未然に防ぎます。 プラグ・アンド・プロテクト BIG-IP の TMOS 上で動作する BIG-IP ASM は、企業 の Web インフラに容易に統合が可能。インストールす るとすぐに、モジュールの自動学習機能により保護対 象であるアプリケーション固有の要件に応じたセキュ リティポリシーを迅速かつ正確に作成し、ポリシー管理 と手動構成の手間を大幅に軽減 BIG-IP の GUI を用いて、どの Web ア プリケーションへのアクセスを許可す るかを簡単に設定できます。セキュリ ティポリシーは複数のアプリケー ション、アプリケーション全体、個別ア プリケーションのセクションごとに作 成できます。 バーチャルサーバ上のすべてのトラ フィックに対し、完全なポジティブ・セ キュリティポリシーを定義・適用でき ます。 容易に数量化できる ROI 外的脅威に対する包括的な保護 Web アプリケーション・セキュリティと BIG-IP アプリケーション・トラフィッ BIG-IP ASM は、セキュアなアプリケーション層フィルタリングによって ク管理システムの統合は開発期間を短縮し、インフラストラクチャ設計を単 BIG-IP の堅牢なアプリケーション・トラフィック管理機能を強化することで、 純化します。セキュリティの強化、攻撃による損害、損害への対応の総合的 パワフルなトラフィック管理製品上で最高のセキュリティ機能を提供します。 なコストを削減する強力なツールとなります。 結果として、柔軟性が高く、管理しやすい Web アプリケーション・セキュリ ティ・ソリューションを実現します。 BIG-IP ASM は、以下の機能を提供します。 狙い撃ちにされる攻撃に対するポジティブ・セキュリティ機能: - OS および Web サーバのフィンガー・プリンティングの防止 - アクセス制御破り(強制ブラウズ) - HTTP エラーメッセージを隠匿 - バッファー・オーバーフロー - ユーザに送信されるページからアプリケーション・エラーメッセージを削除 - クロスサイト・スクリプティング - サーバコードの漏えいの防止 - SQL/OS インジェクション - Cookie の改ざん - HTTP リクエスト・スマグリング 選択可能なシグネチャ検知攻撃フィルタは、以下の広範囲な防御が可能: その他のネットワーク・セキュリティ機能: - SSL アクセラレータ - IP/ポートフィルタリング - リバースプロキシ - 自動化された DoS 攻撃 - キー管理とフェールオーバ処理 - 既知のワームと脆弱性 - SSL の終端と Webサーバへの再暗号化 - 制限されたオブジェクトやファイルタイプに対するリクエスト - その他、既知の脆弱性の悪用 2 クローキング: - 不正な入力 TMOSのパフォーマンスと柔軟性 BIG-IP ASM の中心には、将来のビジネス課題に迅速に対応し、管理業務を合理 アクセス制御の突破 / 強制ブラウズの防御 化するための、インテリジェントでモジュール式の拡張性に優れた基盤である 一般にアドレスの指定によりアクセス可能であっても、Web アプリケーション TMOS と呼ばれる画期的なアーキテクチャがあります。TMOS はトラフィック のすべてがユーザからのアクセスを前提としているわけではありません。URL の内部検査や柔軟な制御など、さまざまなメリットを BIG-IP ASM 上のあらゆ る機能にもたらし、Web アプリケーションをインテリジェントに保護します。 のパスやディレクトリ名の改変、非公開部分にクローラによってアクセスする (Google ハッキング)といった強制ブラウズ攻撃は、アプリケーションのアーキ テクチャに対する非常に一般的な攻撃といえます。あるアプリケーションを熟知 - 運用の効率性とセキュリティ全体のトレードオフを排除 しているユーザは、ブラウザに強制的に指示すべき場所を推測したり検出でき、 - 煩雑さを軽減 さらには Cookie 内のアクセス権を書き換え、保護された非公開部分へのアクセ - 強力でありながら、採算性の高いセキュリティ対策を可能 スを許可させたりします。 - 変化し続ける脅威に適応できるプロアクティブな集中セキュリティモデルを BIG-IP ASM は、Web アプリケーションとユーザの相互作用を包括的に理解し、 提供 ブラウズセッション中のユーザのコンテキストと状態を確実に理解して、非公開 - 現在と将来のためのシームレスなアップグレードパスを提供 部分への不正なアクセスを防止できます。 TMOS 高速アプリケーション・プロキシ TMOS により、BIG-IP はデータセンターのサーバとの間で受け渡されるトラ フィックを処理するアプリケーション・フルプロキシとして機能します。BIGIP はアプリケーションの内容を理解し、特定のアプリケーションに関する複雑 なルールに基づいた決定を下すことができます。また、必要に応じて内容をイン テリジェントに修正、セキュリティを強化し、アプリケーションそのものを変更 ゼロデイアタック防御 BIG-IP ASM はポジティブ・セキュリティモデルを利用しており、既知の攻撃 シグネチャを分析してブロックするだけではなく、既知の受け入れ可能なトラ フィックだけを許可できます。既知の攻撃に対するシグネチャに依存するセ キュリティ・ソリューションでは、特定のアプリケーションに固有の脆弱性を 狙った攻撃を防ぐことはできません。専用ハードウェアおよび特許申請中のソ する機能を実現します。 フトウェアである BIG-IP ASM は、ファイアウォールと IDS デバイスが効果的 に対処できない既存の HTTP/HTTPS に伴う脅威に適切に対処し、パターンの ユニバーサル・インスペクション・エンジン ない攻撃をリアルタイムで検出して緩和します。 TMOS には、F5 ネットワークス(以下、F5)のユニバーサル・インスペクション・ エンジン(UIE)の新しいバージョンが組み込まれているため、アプリケーション・ トランザクションまたはフロー単位でアプリケーションを処理し、これまでに例 のない高度な制御を実現します。BIG-IP は、企業で使われるさまざまなアプリ ケーションの配信に関わる問題にネットワーク速度で対処し、解決します。 クローキング/リバースプロキシ BIG-IP ASM は Web インフラストラクチャの詳細をユーザから隠ぺいし、ハッ カーがネットワーク上で動作しているサーバを特定できないようにします。メッ セージヘッダから OS や Web サーバ識別情報(バージョン文字列、メッセージ、 シグネチャ、フィンガープリント等)を削除することで、HTTP エラーメッセー 不正入力/パラメータ改ざんからの保護 ジをユーザから隠したり、ユーザに送信されるページからアプリケーション・エ 現在は、ユーザが Web アプリケーションへのリクエストを入力し、その入力内 ラーメッセージを取り除きます。さらに、サーバコードやプライベートな HTML 容に基づいて処理が決定されます。入力内容はユーザのマシンから送信される コメントが公開 Web ページに漏出しないことを保証します。BIG-IP ASM は まで、ユーザまたはクライアント上の悪意あるコードにより不正に操作される疑 リバースプロキシとして SSL アクセラレーション、終端、Web サーバへの再暗 いがあります。入力内容をアプリケーションに反映される前に検証しないと、 号化、SSL キー管理、ロードバランシング、フェールオーバ処理を行ないます。 アプリケーションは処理を決定するどの段階でも無防備になるおそれがありま す。BIG-IP ASM はアクセス可能な Hiddenパラメータのデータを含むすべて を既知のユーザ状態、およびアプリケーション・フロー情報と照合することに よってこの種の攻撃から保護します。 BIG-IP Application Security Manager モジュール (ASM) Employees Hackers Customers ● アプリケーションとデータの保護 ● 法規制への準拠 ● 管理負荷の軽減 これらすべての機能を管理しやすいデバイスに組み合わせ、完全な Web アプリケーション・セキュリティを 提供できるは、F5 の TMOS 上で動作する BIG-IP ASM だけです。 3 オーダー情報 BIG-IP ASM は、BIG-IP Local Traffic Manager 6400、6800、8400 プラットフォームで利用できます。ライセンスは、フェールオーバ付き単一アプリ ケーション・ライセンスと、フェールオーバ付き無制限アプリケーション・ライセンスの 2 種類があります。価格その他の詳細は、F5 の代理店までお問い合わせ ください。 ハードウェア仕様 BIG-IP 8400 BIG-IP 6400 / 6800 プロセッサ: デュアル CPU プロセッサ: デュアル CPU コンパクトフラッシュディスク搭載 コンパクトフラッシュディスク搭載 :12 ギガビット CU ポート/ギガビット・ファイバーポート(SFP-GBIC Mini) (CU もしくはファイバーあわせて最大 12 ポートまで利用可能。12 × CU、 6 × SFP 標準、6 × SFP オプション) ギガビット CU ポート:16 ギガビット・ファイバーポート(SFP-GBIC Mini) :4(2 ×標準、2 ×オプション) ASIC(PVA2)搭載 ASIC(PVA10)搭載 最大スループット(負荷分散時):〈6800〉4Gbps、〈6400〉2Gbps 最大スループット(負荷分散時):10Gbps 外形寸法:H8.9, W44.5, D63.5 外形寸法:H8.9, W44.5, D63.5 重量: 18.1kg(シングル電源)、19.5kg(デュアル電源) 重量: 18.1kg(シングル電源)、19.5kg(デュアル電源) 定格入力電力(A): AC 90-240V +/− 10%(自動切換)、 定格入力電力(A): AC 90-240V +/− 10%(自動切換)、 AC 90-132V 時 9A / AC 180-264V 時 4A AC 90-132V 時 9A / AC 180-264V 時 4A 最大消費電力: 400 W(冗長オプションあり) 最大消費電力: 460 W(冗長オプションあり) 最大発熱量: 1365 BTUs 最大発熱量: 1962 BTUs 動作時温度/動作時湿度:5 ∼ 40 ℃(Telcordia GR-63-CORE 5.1.1 & 5.1.2 において)/10 ∼ 90% @ 40 ℃,(Telcordia 動作時温度/動作時湿度:5 ∼ 40 ℃(Telcordia GR-63-CORE 5.1.1 & 5.1.2 において)/10 ∼ 90% @ 40 ℃,(Telcordia GR-63-CORE 5.1.1 & 5.1.2 において) 適合規格:UL 60950-1-2002 CSA-C22.2 No. 60950-1-03 CB TEST CERTIFICATION TO IEC 950 EN 60950 電磁波認定:EN55022: 1998: +A1: 2000+A2: 2003 EN6100-3-2: 2000 and EN6100-3-3:195+A1: 2000 FCC part 15B Class A EN55024: 1998+A1: 2001+A2: 2003 Class A VCCI Class A GR-63-CORE 5.1.1 & 5.1.2 において) 適合規格:UL 60950(UL1950-3) CSA-C22.2 No. 60950-00 (Bi-national standard with UL 60950) CB TEST CERTIFICATION TO IEC 950 EN 60950 電磁波認定:EN55022: 1998: +A1: 2000+A2: 2003 EN6100-3-2: 2000 and EN6100-3-3:195+A1: 2000 FCC part 15B Class A EN55024: 1998+A1: 2001+A2: 2003 EN55024 1998 Class A VCCI Class A ● お問い合わせ先 [ 東京本社 ] 〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ19 階 TEL :03-5114-3210 FAX:03-5114-3201 [ 西日本支社 ] 〒530-0001 大阪市北区梅田 2-2-2 ヒルトンプラザウエスト オフィスタワー19 階 TEL :06-6225-1250 FAX:06-6225-1111 お問い合わせは F5 First Contact まで:www.f5networks.co.jp/fc/ ©2007 F5 Networks, Inc. All rights reserved. F5、F5 Networks、F5のロゴ、 および本文中に記載されている製品名は、米国および 他の国におけるF5 Networks, Inc.の商標または登録商標です。 ● 本文中に記載されている製品名、 および社名はそれぞれ各社の商標、 または登録商標です。 ● 2007年05月B