【レポート】数分で構築!セキュアなF5クラウドサービスやAWS TGWを用いたセキュリティ実装方法 #AWSSummit

ご機嫌いかがでしょうか、豊崎です。

本日は2019年6月12日から14日まで開催しているAWS Summit Tokyo 2019参加のため幕張メッセに来ております。

本記事で取りあげるセッションは、「数分で構築!セキュアなF5クラウドサービスやAWS TGWを用いたセキュリティ実装方法」です。

スピーカー情報

スピーカー:F5ネットワークジャパン合同会社 セールスエンジニアリング本部 ソリューションアーキテクト 伊藤悠紀夫様

レポート

F5が目指す方向性

  • いつでも・どこでも・全アプリケーションに対して
    • パフォーマンス、セキュリティ、可用性を担保する
  • 今年、Nginxを買収
    • Nginxの強みとF5の強みを生かして幅広いレイヤでセキュリティを担保する
  • クラウドに対してF5は何ができるのか
    • F5独自のクラウドを提供している
      • DNSサービスを提供
      • 2019年内に負荷分散、ボット対策、WAFなど提供
    • GUIとAPIのインターフェイスを用意

F5 DNS Cloud Service

  • 一言で言うとセカンダリの権威DNSサーバ
  • 簡単で高速
    • AWS Market Placeから数十分で利用ができる
    • アクティベートから数分以内にDNSクエリ応答可能
    • 大規模のクエリが来ても自動的にスケール
  • 柔軟
    • 管理ゾーンとクエリ数による課金
    • GUI/APIによる管理サービス
    • IP Anycastによる高可用性および地理情報に応じた高速レスポンス
  • セキュリティ
    • アプリケーション保護
      • 自動フェイルオーバー
      • DDoS対策
      • TSIG認証
  • 構成例1
    • オンプレミスのプライマリDNSとクラウド上のセカンダリDNS(F5)
    • プライマリDNSの負荷軽減
    • レスポンスの向上
    • DDoS防御機能が含まれている

  • 構成例2
    • 構成例1の場合プライマリにも処理が発生する
    • オンプレミスのプライマリDNSはZoneの管理のみにする
    • クラウドのセカンダリDNS(F5)で全ての処理を実施

AWS Transit Gateway with F5

  • AWS VPC間通信やセキュリティ分散管理を効率化したい
  • これまで
    • オンプレミスからVPNやDirectConnectをそれぞれのVPCに接続を行う必要があった
    • 課題
      • コネクションや帯域の管理
      • ファイアウォールなどのセキュリティ面

  • これから
    • AWS Transit Gateway
      • オンプレミスとVPCの間にAWS Transit Gatewayを配置、中継することで管理がシンプルに
    • 課題
      • AWS Transit Gatewayを通ることで全てのVPCにアクセスすることができる
      • セキュリティ的に心配
    • 対策例
      • セキュリティVPCをAWS Transit Gatewayの前に配置する

  • パブリックなシステムについて
    • CloudFront+WAF+F5のマネージドルール
    • セキュリティVPCをAWS Transit Gatewayの前に配置する

AWS Security Hubとの連携も可能

 

感想

BIG-IPの印象と同様にセキュリティ製の印象が強いF5様。F5クラウドサービスや、AWS Transit Gatewayに対してのセキュリティ対策の話非常に興味深かったです!

謝辞

資料のご連携をいただきました、F5ネットワークジャパン合同会社 伊藤様ありがとうございました!!