F5を利用したSSL/TLS通信の可視化と制御

 

ビジネス推進本部

応用技術部 セキュリティチーム

田中 勝也

本コラムでは、SSL/TLS通信(以降はSSL通信として記載)の増加による課題とその解決方法についてご紹介します。

SSL 通信の増加による課題

昔はログインページなど一部のページのみSSL通信を行うWebサービスが一般的でした。近年は安全な通信環境を作るため、Webサービスを提供する大手サイトはすべてのページでSSL通信を行う常時SSL化を採用しています。それ以外にも下記の理由で、SSL通信は増加しています。


・Googleの検索アルゴリズム変更でHTTPSサイトを優遇する

・HTTP/2で通信する場合は、SSL通信が実質必須になる

・AppleのApp Transport SecurityでiOSのアプリケーションはSSL通信が必須になる

・SSLサーバ証明書を無償で取得可能な認証局が登場した


2017年には企業トラフィックの50%はSSL通信になると言われており、今後もSSL通信は増加していきます。


SSL通信は、クライアントとサーバ間で「暗号化」・「認証」・「改ざん検知」を提供することができ、安全にその通信は行うことができます。その代りに、企業やデータセンターの出口など途中経路に設置したセキュリティデバイスでは、暗号化によりSSL通信の中身を見ることができません。業務で重要な通信も、業務に関係ない通信も、マルウェアなどの悪意がある通信もすべてSSL通信で行われるため、下記のような課題があります。


・FirewallやIDS/IPS などのセキュリティデバイスでSSL通信の可視化や制御ができない

・マルウェアもSSL通信を利用している場合がある

・次世代FirewallなどSSL復号できる製品もあるが、機能を有効にするとパフォーマンスが大幅に低下する場合がある

キャプチャ

解決方法

これらの課題は、F5 BIG-IPによるSSL通信の可視化と制御で解決できます。F5 BIG-IPはWebサーバの手前に設置して、Webサーバの代わりにSSLの暗号化/復号と負荷分散を行う構成が一般的に知られていますが、F5 BIG-IPを企業やデータセンターの出口にセキュリティ対策として使用する構成も可能です。


F5 BIG-IPを企業やデータセンターの出口で使用すると、クライアントから送信されたSSL通信をF5 BIG-IPが復号して、既存のセキュリティデバイスに送ります。既存のセキュリティデバイスは暗号化されてない通信を受け取るため、可視化と制御が可能になります。セキュリティデバイスを通過した後は、F5 BIG-IPが暗号化してSSL通信でインターネット上のWebサービスにアクセスします。

F5 BIG-IPはSSL暗号化/復号をハードウェア処理するため、大量に流れるSSL通信を処理することができます。

BIG-IP

※この図は2台のBIG-IPで記載していますが、1台のBIG-IPでSSL暗号化/復号の両方を実施する構成もできます。


大量に流れるSSL通信の可視化と制御でSSL通信の課題を解決して、企業やデータセンターのセキュリティを高めることができます。

まとめ

SSL通信の課題についてF5 BIG-IPで解決する方法をご紹介しました。

F5 BIG-IPは、セキュリティデバイスとしてFirewall機能やDoS/DDoS対策機能を提供、条件に応じて通過するセキュリティデバイスを変更、アクセスログの出力など、SSL通信の課題解決と一緒にさまざまな機能を使用できることがF5 BIG-IPのメリットの1つになります。

解決方法の詳細や、今回ご紹介できなかったさまざまな機能についてご興味がある方は、ぜひ弊社担当者までご連絡いただければと思います。

イベント/レポート

pagetop