F5 最新事例のご紹介 - F5 Networks · F5 Silverline WAF(BIG-IP ASM) vs Akamai Kona Site Defender(ModSecurity) No 項目内容 Akamai Kona (Mod Security) F5 Silverline WAF

2015年9月

F5ネットワークスジャパン株式会社

シニアソリューションマーケティングマネージャ

帆士敏博

F5 最新事例のご紹介

© F5 Networks, Inc 2

本セッションのゴール

1. 最新事例の内容を理解

2. 提案時の”勘所”をつかむ-マーケット・トレンド-誰がターゲットなのか？-顧客の課題は何で、どう解決するのか？- F5の優位性は？


本日紹介する事例 4つ

No ユーザプロファイルソリューションタイプ

F5プロダクト/サービス内容/ポイント

1 金融サービス(シンガポール)

パブリッククラウド型DDoS/WAFサービス

F5 Silverline

DDoSへの対策意識の高まりから案件化。Cレベルへのソリューションインプット。

2 大手コーヒーチェーン(米国)Akamaiサービスからのリプレイス。コスト/ハイブリッド/可視化に優位性あり。

3 人材サービス業クラウドフェデレーション

+SSL VPNBIG-IP APM on AWS

SSL VPN、SAMLフェデレーションSPとしてアプリケーションのアクセスコントロールできる唯一の製品

4 大手通信事業者 (米国)社内インフラサービス

の自動化BIG-IP LTM with

OpenStack Neutron

OpenStackベースのクラウドサービスの可用性確保(LBaaS)、HA ProxyではなくBIG-IP LTMを選択


テクノロジーの変化(環境の変化)・クラウドの浸透によりアプリケーションの分散化・使った分だけ課金、スケール、迅速性の要件の高まり

F5の戦略・オンプレミス上でもクラウド上でも、全てのアプリへ可用性/セキュリティ/パフォーマンスを提供ハイブリッドで、L4-7の価値を展開する・パブリッククラウドでも合理的なL4-7サービスはクラウドへ例.DDoS/WAF/DNS/フェデレーション等

収益モデルの変更が必然・HW/SWアプライアンス販売とサポートのみのビジネスと決別・箱売りモデル以外の収益源の確保

Silverline=F5パブリッククラウドサービス。戦略はハイブリッド

なぜ、F5がパブリッククラウドサービスなのか？

インテグレーションビジネスの視点では・従来のインテグレーションビジネス以外の収益元の確保・従来の案件に加え、パブリッククラウド案件まで広げられる

プライベート

パブリックパブリック

Silverline

DDoS/WAF


1. 脅威の増大

実際に攻撃が発生し、関連業界が攻撃されている

グローバルの売上分析。立ち上がりが早く、好調。実績の分析：Silverline DDoS Protectionの案件クローズパターンとは？

50%

25%

20%

5%

2.競合サービスからのリプレイス(主にアカマイ)

3.今ちょうど攻撃されている!

4.事前の予防対策どんな状況で案件クローズできるのか？

・話題性のある攻撃と被害が発生し、役職者が自社も対策しなければ責任を問われるのではないかという不安を抱えるケースは案件化しやすい

・既存のDDoSプロテクションへの不満アカマイからのリプレイス案件が多い。アカマイの価格面と分析の可視化に不満を抱えてるユーザF5へ乗り換えるケースが多い

・事前の予防対策程度では、案件化しない。喫緊の課題意識がないとクローズはできないので見極めた方が良い。

なぜ、F5 Silverline DDoS Protectionを契約したのか？


ユーザの声: F5 Silverline DDoS/WAFサービス

グローバルコーヒーチェーンIT担当者*BIG-IP LTM既存ユーザ

アカマイから、F5 Silverlineへ移行しました。アカマイで課題だったのは、可視性とベンダー間の調整の手間です。現在どのように、どうブロックしているのか？

結果はどうなのかという可視性が低かった事です。社内への投資効果の説明をしづらいケースがありました。

また、クラウド側とオンプレミス側での原因分析の切分けやベンダー間の調整が手間になっていました。すでにプライベートクラウドでBIG-IP LTMを利用しており、Silverlineを採用する事でF5に窓口が統一できるので、大変ありがたいです。

“2015年5月、DD4BCグループから攻撃するとの脅迫を受け、標的となりました。。CISOの要望により、DDoSとWAFのクラウドサービス利用の検討開始。大規模なボリューム型DDoS攻撃に耐えうるサービスとアプリケーションレイヤーの攻撃対策を要件としました”※日本でも2015年5～6月頃、セブン銀行やFXプライム、

SMBC日興証券が、脅迫されDDoS攻撃を受けたとされている

シンガポール金融サービスセキュリティアーキテクト

件名：DDOS ATTACK !差出人：DD4BC Team本文：Your site is going under attack unless

you pay 25 Bitcoin.

XXXPlease note that is will not be easy to mitigate our attack, becauseour current UDP flood power is 400-500 Gbps,so don't even bother. Atleast, don't expect cheap services like CloudFlare or Incapsulatohelp...but you can try. :)Right now we are running small demonstrative attack.Don't worry, it will not be that hard (it shouldn't crash your site)and it will stop in 1 hour.It‘s just to prove that we are serious.Check UDP

traffic. :) We are aware that you probably don't have 25 BTC at the moment, so weare giving you 24 hours.

サンプル：脅迫メール

脅威の増大案件

アカマイからのリプレイス案件


シンガポール金融サービス

課題やポイント

顧客プロファイル

シンガポールの金融サービス事業者。従業員：約 700名。アプリケーションは、為替、株式などのミッションクリティカルなアプリケーション。50%以上の顧客が、シンガポール以外のアジア諸国。

背景/課題

DDB4CグループからのメールでのDDoS脅迫文が届く。金融業界全体がターゲットになっており、業界レベルで対策が求められていた。CISOの指示により、ハイボリュームなDDoS攻撃やWebアプリケーションへの攻撃をブロックできるクラウドサービスを検討開始

採用サービス F5 Silverline DDoS Protection と WAF サービス

競合優位性

アカマイのDDoS(Prolexic)とKona(WAF)と比較検討を実施したが、下記のポイントでF5を選定①アカマイから提案されたCDNが不要②アカマイのWAFエンジン(Modecurity)がプアだと判断③アカマイは、DDoS(旧Prolexic)とWAFサービス(KONA)が分断され、ルートし直す必要があった。

④見積もりがF5の方が安価

プライベートDC

Silverline

DDoS/WAF

スクラビングセンター

証券アプリ為替取引アプリ

ボリューム型DDoSアタックWebアプリケーションアタック


WAFエンジン比較F5 Silverline WAF(BIG-IP ASM) vs Akamai Kona Site Defender(ModSecurity)

No 項目内容 Akamai Kona (Mod Security) F5 Silverline WAF (BIG-IP ASM)

1 ポジティブセキュリティ固有アプリに合わせた柔軟な対策ができるか？

×シグネチャのみ

○シグネチャ＋ホワイトリストの柔軟な設定

2セキュリティポリシーの設定反映時間

セキュリティポリシーがWAFのエンジンに反映される時間

×一時間程度かかるケースがあり、その時

間は脆弱な状態が続く

○即時反映

3 設定のしやすさ簡単に設定できるか？×

シグネチャ対象のURLをマニュアル入力する必要がある

○ラーニングして、URLをリストアップ

4ブラックリスト/ホワイトリストIPのエントリ数

IPアドレスベースのフィルタをいくつまでエントリできるか？

△最大 32個なで、不足するケースが多い

○設定次第だが、数百は余裕

5 アプリのセッション管理セッションに関する攻撃をブロックできるか？

×セッション管理の機能無し

○WAFでセッション管理するので

セッションハイジャックなどの攻撃をブロック

6データ流出機能(データガード)

クレジットカード情報などフォーマット化されたデータの流出をブロックできるか？

×データ流出のリスクが高い

○規定のデータの流出をブロック可能

なので、リスクを低減


米国大手コーヒーチェーン:アカマイからF5 Silverlineへの移行


アカマイ Kona

DDoS Defender

ブランドサイト Eコマース

ロードバランシングWAF

アカマイ

F5

IT担当者

何をどうブロックしているのか詳細がわからない

?

ベンダー間の調整が大変

解析しづらい、時間がかかる


Silveline DDoS

Protection

ブランドサイト Eコマース

ロードバランシングWAF

F5IT担当者

!

自社開発のトラフィックアナライザーとリッチなユーザポータルGUIどんな攻撃をどうブロックしているか。現在はこうなっている。

窓口一本化による調整負荷の軽減。パブリックとクラウドの解析を同時にできるので解析がスムーズ

高コスト

約20%のコストダウン

オンプレの情報をベースにSilverlineの設定を実施することがスムーズなので、攻撃を適切にブロックできる。


アカマイ/国内サービスとの比較概要 – DDoS防御

比較項目 F5 Silverline Akamai (Prolexic)国内キャリア/クラウドサービス設備投資に依存が前提

グローバルでの、1 Tbps以上のスクラビングキャパシティ

キャパシティ不足数百GbpのDDoSに耐えうる設備

が無いケースが多い

各リージョンでの200 Gbps以上のスクラビングキャパシティ

キャパシティ不足数百GbpのDDoSに耐えうる設備

が無いケースが多い

サービスコストパフォーマンス

アカマイの60-80%程度のケースが多くある

ー

24 x 7 SOCサービスと専用分析レポートー

Netflowによるモニタリングー

サポート解析のエスカレーションに関するSLA ー

アドバンストレイヤー 7防御ー

オンプレミスでの防御ー

シングルベンダーによるハイブリッド防御ー

“Always On”防御ー

防御内容の可視化、ポータル、リアルタイム性ー

GRE トンネルの選択の柔軟性L2VPN, Equinix Cloud

Exchange, IP RefectionL2VPN ー

PCI DSS v3.0準拠ー


Silverline提案ポイントNo 項目ポイント

1 ターゲット・オンプレミスのBIG-IPユーザと同じ顧客セグメントのミッションクリティカルな公開アプリケーション。・日本の顧客(感触) ：金融やコンシューマーで著名なブランドを持っている企業でも

DDoS対策をしていないケースが多く見受けられる、危機感は高まっている。

2ターゲットとなる役職、アプローチ

・CIO/CISO(セキュリティについて最も責任のある人 =攻撃うけたら、最も非難される人)へのアプローチが効果的。・現場レベルからアプローチするとセキュリティは面倒なのでつぶされるリスクがあるので注意。・リプレイス案件の場合は、現場レベルからのアプローチも効果的。

3 アプリケーション・インターネットへの公開アプリケーション、でかつミッションクリティカル金融サービス、Eコマースサイト、ブランドサイト、中央省庁などの公共

4 競合/F5の強み

最大の競合はアカマイとなる。F5の強みとは？

1.ハイブリッドでの提案（オンプレとの連携での精度の高いブロック、窓口一本化）2. コスト優位性3. トラフィック状況の可視化レポート

5 F5 Japanからの支援

・日本のセキュリティ専任チームによる支援-エンドユーザ同行支援-エンドユーザへの提案資料作成-パートナー様主催のセミナーでの講演


通常アプローチ時・DDoS攻撃をうけたときにどのような被害が想定されますか？

・DDoS攻撃をうけた場合の対策責任者は誰ですか？

・XXXX(例.SYN Flood、NTPベースDDoS、DD4BC)という攻撃を聞いたことありますか?

・現在、どれぐらいのDDoS攻撃が発生しているかご存知ですか？Google社 Digital Attack Map (http://www.digitalattackmap.com/ )Norse社 IPViking (http://map.norsecorp.com )

・DDoS攻撃対策を効果的に実施するために、クラウドとオンプレミスを利用できることを知っていますか？

リプレイス提案時• 現在のDDoSプロテクションサービスは満足ですか?

• 最後に攻撃をうけた時は、どのような状況でしたか？

• 現在のサービスレベルは、どのようなものですが？

顧客に、こんな質問を投げかけましょう!

http://www.digitalattackmap.com/

http://map.norsecorp.com/

http://map.norsecorp.com







F5 Silverline








OpenStack Neutron



背景 :人材紹介ビジネス IT担当者の声

“2013年、パブリッククラウドを徹底的に活用! 「全てのITサービスをパブリッククラウドへ」それに伴い、既存システムをAWSへ移行開始。業務アプリも順次SaaSへ移行。”

執行役員

“勤怠管理やメール、ファイルサーバ、認証基盤も全てパブリッククラウドへ。アクセスゲートウェイの要件として、AWS上でPCやiPadの端末特定、L3 VPNトンネルを張れること、 SaaS認証の為のSAMLフェデレーションベースのアクセスコントロールが同時に必要だった。また、運用負荷を軽減するために、AWS上でセキュリティポリシーやアカウント管理を一元化したい。

インフラ担当者

システム担当者

“個人情報や給与などの機密情報を扱うのでセキュリティを強化したい。また、ビジネスの性質上、アカウントの追加/削除の作業が多い。管理業務ユーザがアクセスした場合の閲覧データのコントロールも必須。”

ハイブリッドクラウド環境のアプリのアクセスポリシーをBIG-IP APMで一元管理

ソリューション

背景/課題

・SSL VPN、SAMLフェデレーション SPとしてアプリケーションのアクセスコントロールできる製品がBIG-IP APMしかなかった。

・端末特定、アクセスコントロールを一元管理したい・将来的なSaaSの利用、契約解除に柔軟に対応したい・既存のAWSには、VPNトンネルで以前と変わらず利用したい

CAクラウドサービス

証明書発行

ADAD同期

証明書証明書

SAMLフェデレーション

SAML Idp SAML SP

アプリ A アプリ B アプリ C

SaaS 1将来

SaaS 2将来

管理部門ユーザTanaka

一般ユーザ（人材）Yamada

1.SSL VPN2.O3653.勤怠管理

2.O3653.勤怠管理

ポータルポータル

ID サービス

Tanaka 1/2/3

Yamada 2/3

IT管理外の端末

拒否

セキュリティポリシーを集約1.SSLクライアント認証による端末特定2.ユーザ認証3.利用できるアプリケーション4. SSL VPNトンネル

AWS


提案ポイントクラウド移行に伴いアクセスコントロール案件が増加中。統合GW(SSL VPN+SAML)の提案がオススメ

No 項目コメント

1 ターゲットは？パブリッククラウドやSaaSの利用を検討/進めている企業 = ほとんどの企業

2 ターゲットの役職、課題認証基盤担当者、セキュリティ担当者がSaaSの増加やアプリの分散化でセキュリティポリシー強化の複雑化が課題。SaaSアクセスの端末特定ニーズは高い。

3 解決SaaS利用増大によるアカウント管理の課題をSAMLフェデレーションで解決。パブリッククラウドに移行しても、従来通りのアクセスがしたいアプリが残るのでSSL VPN GWが必要とされる。

4F5の強み（BIG-IP APM）

・SSL VPN とSAMLアサーションによるサービスポータルコントロールと端末特定が同時にできる唯一の製品・ビジュアルポリシーエディターで容易にセキュリティポリシーが組める・SAMLアサーションメッセージのデバックがしやすい

5 F5からの支援

・提案資料・日本のセキュリティ専任チームによる支援-エンドユーザ同行支援-エンドユーザへの提案資料作成-パートナー様主催のセミナーでの講演







F5 Silverline








OpenStack Neutron



背景 : 米国大手通信事業者のIT担当者の声

インフラエンジニア

“インフラの迅速性とエンジニアの工数削減のため、極力自動化を進めています。LBaaSサービスのロードバランサーとしてHA Proxyを検証しました。しかし、フェールオーバー時のステートフルフェールオーバー機能が不足している事や、ロードバランサーはサービスの可用性を担保してくれるクリティカルなインフラのコンポーネントなので、オープンソースでは無くF5 BIG-IPのハードとVEを採用しました。”

“現状では、BIG-IQを利用しておらずNeutronから直接BIG-IPをRestAPIを使って設定を行っています。BIG-IQは、マルチテナント対応がまだ実現していない事が原因なのですが、将来的には、FWサービスやWAFサービスを自動プロビジョニングする計画があり、iAppsテンプレートを利用したいと考えています。”

“社内サービスのコストを削減するために、2012年から可能な限りオープンソースへシフトしています。プライベートクラウドの基盤構築ソフトとして、OpenStackを採用しました。”


事例：米国大手通信事業者自動化でインフラ構築のスピードアップ。リクエストからのリードタイム３日→６時間へ短縮を目指す

背景/課題

・「俊敏」かつ「柔軟」なインフラの実現、および「コスト削減」を目指すためオープンソース製品をベースとしたアーキテクチャを採用。

・各事業部から申請を受けて、インフラの構築に3日程度かかるのでビジネスの妨げとなっている・サーバ担当者とネットワーク担当者の調整作業が負荷・LBaaSとして、HA Proxyでは可用性の確保が弱い

ネットワーク担当者

サーバ担当者

事業部

インフラの申請

ネットワークの申請

VM起動

L2-3設定

FW設定

LB設定

作業が追い

付かない

インフラサービス

が遅い

NW担当者との

調整が負荷

ソリューション

・Openstackを使って、サーバーとネットワークの両方をプロビジョニング・LBaaSはF5のコミュニティ版プラグイン（正式サポート無し）を採用。十分なテストを実施。将来的にはBIG-IQ版プラグイン（正式サポート有り）に以降予定・ネットワーク担当者の作業負荷の軽減。運用監視に注力できるようになる。・現状のLBaaSでは設定項目が限定的ではあるが、F5デバイスを利用することにより、H/Wによる高パフォーマンスおよびクラスタリング機能によるステートフル・フェイルオーバーを実現・BIG-IQとの連携により、よりリッチな機能（FW/WAF等）も利用を期待している。

事業部

インフラ担当者

L2 – 3ポリシー

FW / LBポリシー

インフラの申請

OpenStackで構築

サーバー作成

LBaaS設定

ネットワーク担当者

すぐにサービス

利用できる♪

コンパネから

サーバーとネットワー

クを簡単構築

作業負荷の軽減。新サ

ービスのデザインに

注力できる NEUTRON


提案ポイント = クラウド基盤のLBaaS提案

No 項目コメント

1 ターゲットは？エンタープライズ、テレコム/クラウドプロバイダー、Eコマース、ゲームプラットフォームサービスの展開にスピードが求められるインフラ = 遅れるとビジネスインパクトが発生するインフラインフラの構成変更の頻発するインフラ = アプリのリリースが頻発、トラフィックの増減が激しい

2 トレンド

・エンタープライズのプライベートクラウド基盤としてOpenStackの採用が増えている。・SDDCに向かって、オーケストレータと協調できるインフラ作りが本格化している。・SDN/ネットワークの自動化/仮想化により、L2-3/L4-7のサービス自動化が求められている・連携による自動化の検証が終わっている製品から選択される

3 F5の強み・主要なSDNコントローラ、オーケストレータへの対応

OpenStack、Cisco APIC、VMware NSXとの連携対応・LBaaS < ADCaaS : iApps：各アプリケーションを考慮した自動化を開発(アプリに合わせた設定の自動化)

4 F5からの支援・OpenStack技術資料 (https://interact.f5.com/2015ALLF_OpenStack.html )

・OpenStack Neutron プラグイン、Cisco APIC Device Package、VMware NSX

→詳しくは弊社担当営業にお問合せください。

https://interact.f5.com/2015ALLF_OpenStack.html


まとめ：本セッションのゴール

今後の営業活動プランをディスカッションする場をいただければと思います。

是非、個別にF5セールスまでお声掛けください。

1. 最新事例の内容を把握

2. F5ソリューションの提案の”勘所”をつかむ-マーケットのトレンド-誰がターゲットなのか？-課題は何か？- F5の優位性

Solutions for an Application World.

F5 最新事例のご紹介 - F5 Networks · F5 Silverline WAF(BIG-IP ASM) vs Akamai Kona Site Defender(ModSecurity) No 項目 内容 Akamai Kona (Mod Security) F5 Silverline WAF

Documents

F5 最新事例のご紹介 - F5 Networks · F5 Silverline WAF(BIG-IP ASM) vs Akamai Kona Site Defender(ModSecurity) No 項目内容 Akamai Kona (Mod Security) F5 Silverline WAF