セキュリティから見た「VMware Avi Load Balancer」~Intelligent WAF~

セキュリティから見た「VMware Avi Load Balancer」~Intelligent WAF~

「VMware Avi Load Balancer(以下、Avi Load Balancer)は、コンテナ、マルチクラウドなど変化し続けるアプリケーション環境の安定運用に欠かせない役割を果たす重要ソフトウエアです。(旧称:VMware NSXシリーズのVMware NSX Advanced Load Balancer)

従来のWAF(Web Application Firewall)にさまざまな機能を追加したADC(Application Delivery Controller)としての機能を果たすだけでなく、複雑化するシステム全体を集中的に管理、把握した上で、迫る脅威をいち早く発見するなど、卓越した機能を提供する製品となっています。今回は、セキュリティ面について着目し、紹介します。

目次

総合的なセキュリティスタックを備えるAvi Load Balancer

Avi Load Balancerは、企業の情報システムがサイバー攻撃から身を守る方法として、従来のWAFでは不足していたさまざまな機能を盛り込んでいます。

アプリケーションやテナントコントロールを実施するアプリケーションレートリミット、コンテンツベースセキュリティを実践するL7ファイアウォール、SSL/TLSによる暗号化/復号化、DDOS保護、IPポートベースのL3/4ファイアウォールなどの機能を盛り込み、これらを横断する形で、攻撃やSSLの監視、WAF分析、スコアリングなどの手段により、セキュリティ監視を実施しています。

こうした万全のセキュリティを使いながら、製品の最大の特徴である環境間をまたがる集中管理、自動化の仕組みを実行します。Intelligent WAFとも呼ぶソフトウェアとして、データセンター、プライベートクラウド、複数のパブリッククラウドを含むマルチクラウド環境など、複雑化する環境を手もとでコントロールし、パフォーマンスと拡張性の課題可視化の欠如ルール定義が複雑といった従来の問題を解消します。

Avi Load Balancerのセキュリティ機能
上記図版は旧称NSX-ALBのものです。

さまざまな情報を解析し、可視化できるAvi Load Balancer

ここで、Avi Load Balancerのユースケースの1つを紹介しておきましょう。スイスのあるEコマース企業は、突然のピークが発生し得るため、その時に備えて確実にロードバランシングし、WAFでシステムを保護する必要がありました。

負荷への弾力的な対応、自動化や集中管理、セキュリティを保持するWAFの機能を1つのソリューションで得たいという要望から、Avi Load BalancerをPoC(概念実証)で導入。ワンクリックでのアプリケーション展開など優れたユーザーインターフェースや、アプリケーション分析で即座にシステム全体の状況を把握できる点、API駆動型の監視が可能であることなどを評価し、導入を決めました。

採用の決定打になったのが、さまざまな情報をリアルタイムに可視化できることです。オンプレミスを含む物理環境、パブリッククラウド、コンテナ、仮想環境を1つの集中コントローラーで把握した上で、DDoSなどの攻撃をいち早く把握するネットワークセキュリティ分析、送信元IPアドレスなどのコネクションログの分析、レスポンスタイムなどを確認するアプリケーションパフォーマンスなどが行えます。

さらに、問題が出ていれば、即座にクライアント情報を閲覧できます。PCやスマホなどのデバイス、OS、ブラウザーなどさまざまな情報が一目でわかる構造になっており、いま攻撃されているかどうかも見えてきます。「米国から30%、中国から18%のアクセスが来ている。なぜかある国からのトラフィックが不自然に多い」といったように、原因の発見につながる情報も取得できます。

SSLの利用状況の可視化、セキュリティレベルの評価機能によるシステムトラブルの大きな原因になっている設定ミスや脆弱な箇所を早期発見など、わずかな変化を可視化できることが、より早くシステムを守る行動につながります。

トラフィックを観察/選別し、さまざまなリスクを早期に発見

また、トランザクションの合計時間だけでなく、クライアントへの往復時間やロードバランサーからWebサーバーまでの往復時間、Webサーバーでの処理時間など細かい時間の取得も可能で、管理コンソール経由で管理者やアプリケーション所有者が確認できます。これによって、クライアントからデータセンターまでのネットワーク遅延、データセンター内のネットワーク遅延、アプリケーションの応答時間などを把握することも可能です。

さらに、分散されたサービスエンジンから受信したアプリケーションのトラフィック情報を分析でき、その際に条件に沿った検索もできるため、特定期間におけるアプリケーションの問題や障害をピンポイントで分析することができます。

トラフィックからの検索と可視化

APIによる完全自動化をサポート

Avi Load Balancerのもう1つの特徴は、APIによる完全自動化をサポートしていることです。さまざまな環境のロードバランサーが存在していたとしても、システムを管理する集中コントローラーがAPIを備えているため、違いを意識することなくAPIの設定画面から運用管理を自動化できます。

これにより、セキュリティ面の自動化はもちろん、セルフサービス型のプロビジョニングによる迅速なアプリケーション展開なども可能になります。ソフトウェア配信プロセスのステップとして知られる、いわゆるCI/CD(継続的インテグレーション/継続的デリバリ)を実行する重要な基盤としても期待されます。

各業界のセキュリティ基準にも準拠

このほか、Avi Load Balancerはセキュリティの仕組みとして、クライアントやサーバーが利用したSSLのバージョンの割合などを健全性スコアとして表示する機能や、機械学習とフィードバック分析をベースにOWASP(Open Web Application Security Project) Core Rule Setに対応したIntelligent Web Application Firewall(iWAF)により、Webアプリケーションに対する高度なセキュリティ機能などを提供します。これにより、クレジットカード業界のセキュリティ基準であるPCI DSSや医療関連の基準のHIPAA、GDPR(EU一般データ保護規則)などに準拠し、Webアプリケーションに対する攻撃を未然に防ぐことが可能となります。

いくら便利でも、複雑化の結果としてセキュリティ面が弱体化したのでは、そのIT環境を活用できないでしょう。ここまで見てきたように、Avi Load Balancerはクラウドシフト、コンテナにアプリケーション開発の急拡大で加速度的な複雑化を遂げるIT環境をセキュリティ面からサポートする重要な役割を果たしています。

目次