事例セキュリティネットワーク
F5 BIG-IPの設計/構築は東京エレクトロンデバイスにお任せ!
~負荷分散もセキュリティもDNSもスペシャリストが揃っております~
【はじめに】
ブログをご覧いただきありがとうございます。
東京エレクトロンデバイスのtsanoと申します。
私は東京エレクトロンデバイスでF5製品の設計・構築グループのグループリーダーをしております。どうぞよろしくお願いいたします。
今回のブログは、「F5 BIG‑IP 設計・構築サービス」のご紹介をさせていただく記事となっております。
ぜひこちらのブログをご覧いただき、当社からのF5社製品のご購入および設計・構築サービスのご利用をいただけると幸いでございます。
なお、本ブログは以下の構成となっております。
構築サービスのお話の前に、ザックリとF5製品のおさらいをしたいと思います。
まずF5製品というと、「あー。サーバー負荷分散装置のBIG-IPですよね」という方が多いかと思います。
確かにF5製品の代表はサーバー負荷分散装置である「BIG-IP LTM」であり、以下のような「F5」の赤いランプが付いている機械を思い出す方も多いのではないでしょうか。
※画像はBIG-IPr4000シリーズです
でも実は現在のBIG-IPではサーバー負荷分散だけでなく以下のような多彩な機能を利用できます!
|
機能
|
モジュール名
|
簡単な説明
|
|
サーバー負荷分散
|
BIG-IP LTM
|
仮想サーバーのIPアドレスをBIG-IPに持たせて、そこへお客様がアクセスしてBIG-IPが複数台のサーバーに対していい感じに通信を負荷分散してくれるお馴染みの機能。SSL(HTTPS)の復号化なども得意分野
|
|
広域負荷分散
|
BIG-IP DNS
|
FQDN(www.sub.example.comなど)の名前解決をサーバーの死活監視を活用して災害時だけバックアップデータセンターへアクセスさせるなどDNSのレコードを意のままに操れる機能
|
|
Webサーバー保護
|
BIG-IP AWAF
|
Webサーバーの保護に特化した機能。SQLインジェクションなどお馴染みの防御だけでなく、悪意のあるIPアドレスを識別・ブロックする「IP Intelligence」というオプション機能と組み合わせることも出来るという優れモノ
|
|
SSL-VPN
|
BIG-IP APM
|
コロナ渦以降、SASEの台頭でSSL-VPNという社内ネットワークへのアクセス方法はシェアを減らしましたが、SSL-VPNは古いアプリの通信などでも自由に通せるということで再評価の動きも見られます。BIG-IP APMはSAML認証はワンタイムパスワードなど、幅広い認証をSSL-VPN接続時のアクセスに使用出来ます
|
|
Webサーバー認証
+負荷分散 |
BIG-IP APM
(+LTM) |
APMの多彩な認証を行いながらサーバーの負荷分散も出来ます。認証+リバースプロキシという構成でこちらも事例は数多く有ります。(※APM単体でも実現可能です。ただし、APM単体だと負荷分散機能に別途制限事項もございますのでAPM+LTMという複数使用することでより柔軟な構成が可能です)
|
- ポイント:基本的にBIG-IP機能ごとに製品名が分かれておりますが、インストールされているソフトウェアは同じですので
ライセンスの追加によって上述の機能を1つの筐体で複数有効化していくことも可能となっております。(※通信量などで機種のサイジングは必要となります)
-
結論:どこでも使えます
「BIG-IPの機能の多彩さはわかったけれども、ハードウェアを管理するのはちょっと・・」と思われる方もいらっしゃるかと思います。
しかしながら上述の写真のようなハードウェア版だけでなく、VMware vSphereなどオンプレの仮想基盤上や、AWS/Azure/GCPなどクラウド基盤上でも動作可能な「BIG-IP VE(Virtual Edition)」も有ります。
つまり、「好きな場所でBIG-IPの多彩な機能を組み合わせてお客様のご要望を満たすことが出来る」ことがBIG-IPをご利用いただく上での最大のメリットとなります!
ここまででBIG-IPの出来ることの多彩さ、場所を選ばない柔軟さはご理解いただけたと思いますが、ここで誰もが感じる疑問が有ると思います。それは、
「果たして自分達でこれらの最適な組み合わせ/設定で導入できるのか?」
という点が有るかと思います。
そこで! 東京エレクトロンデバイスでは様々な導入サポートを行っておりますのでそのご紹介をいたします。
東京エレクトロンデバイスのBIG-IP導入サポート
東京エレクトロンデバイスではBIG-IPの導入サポートにおいて以下の3フェーズでそれぞれのエンジニアが対応をしております。
|
フェーズ
|
対応者
|
説明
|
費用
|
|
機器購入前
|
プリセールス
エンジニア |
機器ご購入前のサポートとして、環境に応じた機器選定から、ご要件に基づく必要機能の検討まで、ご購入決定に至るまでのプロセスを丁寧にご支援いたします。 |
ご購入前に向けたプリセールスの費用は基本的には不要です
(※ご購入前の事前検証(PoC)に関しては別途当社営業にご相談ください) |
|
機器購入時の
導入作業 |
設計・構築担当
エンジニア |
機器ご購入後は、詳細設計・事前検証・設置・動作確認・切り替え立ち会いなど、導入に関わる一連の作業を幅広くサポートいたします。 |
有償サービスになります。こちらが今回のご説明のメインです。
|
|
初期導入後
(保守期間) |
保守担当 (ヘルプデスク) エンジニア |
初期導入後の保守フェーズにおいては、当社保守サービスにご加入いただくことで、当社ヘルプデスクへのお問い合わせが可能となります。さらに、アップグレード手順などを日本語でまとめた当社オリジナルのマニュアルも多数ご活用いただけます。 |
保守費用以外の追加費用は基本不要ですが、定例会サービス、アップグレードサービスなど追加のオプションサービスも充実しております。
|
前述の通り機器購入時の有償サービスとなります。機器ご購入後にお客様ご自身で設定は可能ですが、当社にお任せいただければ毎年約100件にもなる様々な設計/構築を実施している圧倒的な経験/ナレッジを元に設定いたしますので、初回ご購入時などは特にお勧めとなっております。
様々なメニューをご用意しておりますが、代表的なサービスとしては以下のようなメニューが有ります。
|
メニュー
|
説明
|
補足
|
|
新規導入サービス
|
BIG-IPの新規導入時に当社がお客様からヒアリングを実施し、詳細設計・設定・事前検証・設置・お客様サービス確認の立ち会い、パラメータシートの作成まで全てセットになっております。
|
機器の操作手順書作成など、ご要望に応じたカスタマイズも承っております。ご要件によってはiRule(BIG-IP独自のスクリプトによる柔軟な制御)の作成も可能となっております。
|
|
リプレースサービス
|
BIG-IPをご使用中のお客様が新しい機器へリプレースされる際に、当社が作業を実施するサービスです。新規導入と同様に、設定・事前検証・設置・お客様によるサービス確認の立ち会いに加え、パラメータシートの作成までを一括でご提供いたします。 |
更に当社ナレッジにより機種やバージョン差異による注意点をまとめたまとめた資料を元に考慮点をお伝えし設定反映まで実施いたします。オプションで既存iRuleが有る場合の動作確認も可能です。
|
|
アップグレードサービス
|
BIG-IPのアップグレードは当社独自の日本語マニュアルでお客様自身で実施も可能ですが、当社ナレッジを活かして運用中でもスムーズなアップグレードが可能です。
|
ミッションクリティカルなサービスをご提供されているお客様などには、お客様環境に応じた考慮を当社ナレッジを元に実施するため、実に当社対応案件の3割はアップグレードサービスをご利用いただくなど、大変ご好評をいただいております。
|
|
QA対応サービス
|
「ご自身でアップグレードやリプレースをしてみたいが、少し不安がある…」というお客様におすすめの、チケット制QA対応サービスです。 |
メールベースでQA管理表元にご不明点に回答する仕組みとなっております。
|
|
AWAF リアルタイム
チューニングサービス |
WAFは危険な通信をブロックしますが、誤検知により正常な通信まで遮断してしまうケースも少なくありません。本サービスでは、当社エンジニアが正常通信のブロックをリアルタイムで無効化し、安心してご利用いただける環境を提供します。 |
BIG-IP AWAFをご購入のお客様には大変お勧めのサービスとなっております。
|
■ BIG-IP LTM/BIG-IP DNS の大規模リプレース案件 ■
<背景>
BIG-IP DNSはBIG-IP LTMの仮想サーバーの状態を監視して状態に応じたDNSレコードを応答することが可能ですが、こちらのお客様は東西のデータセンターでBIG-IP DNSとBIG-IP LTM(複数環境)と連携している状態で、尚且つBIG-IP DNSとBIG-IP LTMのバージョンがバラバラになっておりました。
特にBIG-IP DNSはかなり古いバージョンだったため、どのような順番でリプレースをしていけば良いか、という点で当社にご相談をいただきました。
[イメージ図]
<ソリューション>
当社ラボでは多数のBIG-IPの検証機を保有しておりますので、 お客様の疑似環境を構築し、リプレースによる影響を丁寧に調べて事前に問題点を洗い出し、お客様と切り替えの順番/当日の手順を綿密に打ち合わせを行い、リプレースを完了いたしました。
当社のナレッジによりBIG-IP製品同士が複雑に絡み合った状態でも全ての状態を紐解いて確実にリプレースを実施出来た事例となります。
■ BIG-IP APMによるVMware Horizon Proxyの構築 ■
<背景>
お客様はVMwareのHorizonによるVDI(仮想デスクトップPC基盤)をご使用中でしたが、BIG-IP APMの多彩な認証を使用してセキュアなHorizonへのアクセス(Horizon Proxy)を実現したいというご要望をいただきました。
[イメージ図]
<ソリューション>
当社検証環境にはVMware Horizonも保有しているため、F5のドキュメントやVMwareドキュメントだけでは気付けない、様々な考慮点をまとめたナレッジがございます。そちらを活用し、更にパケットのフローまで全てご説明をした上で導入をいただきました。
事前にHorizon側の設定の注意点もお伝えできていたため、スムーズに導入が出来たという案件になります
■ BIG-IP マルチテナント環境へのAWAF導入案件 ■
<背景>
BIG-IPを経由して複数のエンドユーザー様(マルチテナント)に対してサービスを提供する業務を行っているお客様から、WAFの導入を検討している相談がありました。エンドユーザー様毎にセキュリティ要件が異なっていたため、エンドユーザー様毎にWAFの導入が必要で、効率的な導入方法を模索していました。またWAFの経験も少なかったため、導入後の運用にも不安を持たれていました。
<ソリューション>
BIG-IPではAWAFライセンスを追加することで、既存システムを変更することなくWAF機能を使用することができ、またAWAFでは各テナント毎にセキュリティポリシーを適用することが可能なため、バラバラだったセキュリティ要件に対し各テナント専用のセキュリティポリシーを適用することができました。また導入作業だけではなく、運用者向けに当社AWAFエンジニアによるハンズオントレーニングを実施し、導入後の運用に関する不安を解消できたとお言葉をいただきました。当社として、サイジングによる新機器提案から、セキュリティポリシー設計、運用トレーニング、保守サポートまで一括したサポートができた案件となります。
[AWAF導入イメージ]
いかがでしょうか。当社構築サービスにご興味をもっていただけましたでしょうか。
当社のBIG-IP構築サービスは、20年の実績から裏打ちされたナレッジに基づいた構築サービスとなりますので、ぜひご利用いただければ幸いでございます。
また、近年F5はクラウドサービスにも力を入れておりまして、F5 Distributed Cloud Services(F5XC)という独自のクラウド基盤上で動作する、BIG-IPとは全く異なるサービスも提供しておりまして、クラウドWAFである「F5XC WAAP」、クラウド上でBIG-IP DNSのように広域負荷分散が可能な「F5XC DNS」など、様々なクラウドサービスを提供しておりますので、ご興味を持たれたお客様ぜひ以下のリンクよりお問合せください。
この記事の投稿者tsano
東京エレクトロンデバイスにてF5社製品構築グループのグループリーダーをしております。
ネットワークが専門で特にF5 BIG-IPは設計構築の経験豊富です。
この記事をシェア
