ネットワークトラフィックにおけるHTTPSの割合は、この数年で急激に増加している。Google ChromeやMozilla Firefoxにおいて、HTTPSがその通信量の約50%にまで達していることは、以前マイナビニュースでもお伝えした。いわゆる「常時SSL化」は確実に進んでいるということだ。企業がSSLを導入する最大の目的は、セキュリティとそれに伴う信頼性のアピールだろう。

しかし常時SSLには懸念点があることも、広く知られている。ひとつは常時SSLによる負荷の増大とスループットの低下。もうひとつは一般的なファイアウォールやIPSでは、SSLで暗号化された通信の中身を検知できない場合があるということ。これではウィルスやマルウェア感染の危険性も高まってしまう。

各セキュリティベンダーがこうした課題への対策製品を発表しているが、長年ADCやSSL-VPN製品を提供しているアレイ・ネットワークス株式会社(以下、アレイ)からも、2017年7月のリリースに向けてソリューションを開発しているとの発表があった。そのソリューションの概要について、同社プロダクトマーケティング部マネージャ 原田 雄一郎氏に聞いた。

SSL通信に潜むリスクを「見える化」で発見

アレイはADC(Application Delivery Controller)やSSL-VPN関連製品の分野で世界5,000社、国内2,000社以上の導入実績を持ち、主力製品には「Array AG」シリーズ(セキュア・アクセスゲートウェイ)、「Array APV」シリーズ(ADC)およびマルチテナントの「Array AVX」シリーズ(ネットワーク・ファンクション・プラットフォーム)などがある。現在開発が進められているのはAPVに搭載される新機能で、「SSL Interception(SSLインターセプション)」と名づけられている。 「SSL Interception は、簡単にいえばSSLトラフィックの見える化を実現する機能です」(原田氏)

冒頭で述べたとおり、SSL化された通信は、たとえウィルス感染したクライアントからであっても、ファイアウォール、IPSなどのセキュリティ・アプライアンスの検閲をすり抜けてしまう可能性がある。新機能を搭載したAPVでは、IngressモジュールでSSL暗号を復号し、平文の状態(つまり中身が“見える”状態)にしてセキュリティ・アプライアンスに渡す。そして問題がなかった(セキュリティ・アプライアンスの検閲を通過できた)通信のみが、Egressモジュールに取り込まれ再度SSL暗号化を施して送り出す。この仕組みこそがSSL Interceptionだ(図1)。セキュリティ・アプライアンスも平文での処理であれば、本来の検閲機能や性能をより発揮でき、結果的にシステムとしてのスループット維持にも繋がる。

(図1)SSL Interceptionの概要

Ingress、Egressのモジュールはセットで機能し、APVが1台あればSSL Interceptionを利用できる(図2a)。より高い性能を求められる場合には、Ingress専用、Egress専用の2台のAPVを用意し、2台の間にセキュリティ・アプライアンスを挟む構成をとったり(図2b)、APVが本来持っているロードバランシング機能を利用して、セキュリティ・アプライアンスへの負荷を分散させたりすることもできる(図2c)。

(図2)SSL Interceptionの活用手法

アプライアンス1台の中にセキュリティ・チェーンを作成

AVXを使えば、さらにコンパクトで柔軟かつ高性能な構成が実現する。AVXは本体上に複数の仮想マシンを稼動させ、各々にADC、セキュア・ゲートウェイなどの役割を与えられるマルチテナント型アプライアンスだ。AVX本体の物理リソースを、各仮想アプライアンス専用に割り当てられるようになっているのが特長で、ハードウェア・アプライアンス同様の性能保証と、仮想環境ならではの迅速なインスタンス作成、低コスト、省スペースなどのメリットを享受できる。

これまでAVXで稼働させられるアプライアンスはアレイの自社製品であるvxAG(仮想SSL-VPN)とvAPV(仮想ADC)に限られていたが、SSL Interceptionの開発に合わせ、アレイでは他社製品についてもAVX上での稼働認定を行っていくことになった。例えば認定されたサードパーティのセキュリティ・アプライアンスを起ち上げ、通信の入口と出口にIngress、Egressの役割を持たせたvAPVを置くことで、必要なセキュリティをすべてAVX1台の中で賄える状態になる(図3)。もし負荷が大きくなった際には、新たなインスタンスを起ち上げるか、必要なインスタンスのリソースを増強してパフォーマンスを上げればいい。全インスタンスの一括管理ができるGUIも搭載される予定で、運用上の利便性はいっそう高まるという。

(図3)AVXの中で複数のセキュリティ処理を実行できる

今後、認定アプライアンスの数が増えていけば、ユーザーがそれぞれの環境にベストだと思うものを選んで組み合わせられる(Best-of-breedにシステム構成できる)ようになるだろう。アレイがこのほど「ネットワーク・ファンクション・プラットフォーム」を標榜するようになった目的はここにもある。 「例えばセキュリティ・ソリューションでは他の専門ベンダーと競合するのではなく、常時SSL時代の高速化・安定稼働という共通目的の中で、補完関係を築いていけると考えています」(原田氏)

AVXでのSSL Interceptionは、サービスプロバイダの販売メニューとしての利用も視野に入れていると、原田氏は述べる。AVXは起ち上げる仮想マシンの性能を4段階から選択できるため、プロバイダは複数レンジのハードウェアを多数抱えることなく、AVXのリソースの有効活用により、需要の変動にあわせた最適なコストでサービスを展開できるというメリットがある。電源やスペース、冷却環境などの簡略化という副次的効果も期待できる。すでにAVXを採用しているサービスプロバイダもある。ここにSSL Interceptionをオプションメニューとして追加すれば、顧客に対しての強い訴求ポイントになりうるだろう。 「米国ではサービスプロバイダが、セキュリティ関連の機能をまとめたハードウェア・アプライアンスを契約企業に提供するマネージドサービスがあるようですが、AVXを利用すれば、日本でもそうした展開ができるようになるのではないかと思います」(原田氏)

Interopでは新機能の詳細も

なお今回紹介したSSL Interceptionは、2017年6月7~9日、幕張メッセで開催されるInterop 2017 アレイ・ネットワークス・ブースでも紹介される。同ブースでは、SSL Interceptionと共にAVXシリーズなどの詳細が紹介されるほか、Array AGの新製品も展示される予定だ。これに合わせ、同社CEO・Michael Zhao氏からは、次のようなメッセージが届いた。 「当社はNetwork Function Platform ~ Agility with Performance(ネットワーク機能のプラットフォーム~敏捷性とパフォーマンスの両立)を企業方針としています。日本のビジネスにも、当社製品がお役に立てると信じています。ぜひInterop 2017で、その詳細をお確かめください」

[PR]提供: