日立ソリューションズ『A10 Networks Thunder/AXシリーズ』のシステム、サービス概要・価格や、解決できる課題についてご紹介します。

ThunderシリーズはA10 Networks社が負荷分散装置（ロードバランサー）として開発したハードウェア・アプライアンスですが、現在では多くのセキュリティ機能を統合したゲートウェイ製品に成長。
クラウド利用を制御しSSLインターセプトも可能な次世代プロキシとして、またDDoS防御やアプリケーション可視化も備えたファイアウォールとして活用されています。
仮想環境用のvThunderなど派生製品も充実。価格を抑えながら、ASICを多用した高性能なハードウェアと、柔軟で多機能なソフトウェアを兼ね備えた製品です。

• L2構成/L3構成/ワンアーム構成、L4LB/L7LB、セッション維持
• 自身の8台までの冗長構成と並列アクティブ稼働
• aFlexスクリプトによるトラフィック制御のカスタマイズ
• 複数のクラウドサービス上やオンプレで連携稼働 (vThunder、Harmony Controller)
• 通信キャリアやサービスプロバイダで多くの実績を持つ高性能と信頼性

• SSL復号化プロキシ
  SSL/TLS暗号を復号/再暗号化します。復号した通信を他のセキュリティ製品と連携して検査し(L2/L3/ICAP接続)、ログを取得します。
• 高度な通信制御(クラウドアクセスプロキシ)
  IPアドレスやURLによって、上位プロキシ、一般インターネット、各種クラウドサービスなどへ通信を振り分けます(クラウドサービス向け通信のブレークアウト)。
• テナント制御
  クラウドサービス利用時、自社アカウント以外への接続を禁止し、情報漏洩を防止します。
• 次世代SSLプロキシに必要とされる性能とセキュリティ
  多量の同時セッション処理能力や、全SSLの暗号化/復号化を処理するパフォーマンスを備えます。
  L4FWを標準装備し、オプションでURLカテゴリーフィルタ、L7FW(アプリケーションファイアウォール)機能なども装備可能です。

※本ページではTLS暗号も含め「SSL」と簡略化して記述しています。

A10 Networks社の中核製品です。ロードバランサとしての機能と次世代SSLプロキシとしての機能を一台で提供します。

• エントリモデルから、スループット300Gbpsを超える大規模システム向けモデルまで幅広いラインアップ
• SSL専用チップやネットワーク専用チップなどASICやFPGAを多用した高パフォーマンス
• ほとんどのモデルが1Uの薄型サイズでありながら、高いポート密度を実現

中小規模拠点のプロキシ/セキュリティゲートウェイにフォーカスしたエントリモデルのハードウェア・アプライアンスです。

• インターネットへのゲートウェイとしての機能を装備
  クラウドアクセスプロキシ、L7FW(アプリケーションファイアウォール)、テナント制御機能を装備し、拠点のセキュリティを確保します。
• 中小規模拠点に導入しやすい経済性
  Thunderハードウェアアプライアンスの中で最も低価格です。
• 分散システムへも発展可能
  中央拠点に上位アプライアンスや統合管理ソフトのHarmony Controllerを導入し、一元管理やクラウドサービスの利用状況分析も可能。

今、企業の通信はほぼ100% SSL暗号化されており、多くのマルウェアや攻撃がそのSSL暗号を隠れ蓑にしています。にもかかわらず既存のプロキシなどの多くのセキュリティ機器は暗号化された通信のセキュリティを十分検査できません。
A10 Thunderはプロキシとして動作しながらSSLを復号化し、平文をセキュリティ機器に送ることで暗号通信へのセキュリティ施行を実現します。

• 柔軟な構成
  A10 Thunderは透過プロキシとしても明示プロキシとしても動作できます。セキュリティ機器とはL2、L3、ICAP、などで接続。柔軟な構成が可能です。
• システムコストの削減
  強力なA10のSSLエンジンによって複数機器に平文を送ることで、トータルのシステムコストを削減できます。

クラウドサービス向けのトラフィックを既存プロキシからブレークアウトします。

• 既存プロキシのセッション負荷低減
  これにより、システムの応答性向上、トータルコストの低減を実現します。A10 Thunderは、クラウドサービスに適合した大容量の同時セッション処理能力を備えています。
• 通信経路振り分け(クラウドサービス向け通信のブレークアウト)
  一般インターネット向け、クラウド―ビス向け、など通信を複数の経路に柔軟に振り分けできます。
• プロキシ機能
  認証、ログ取得、名前解決、セッション分割などプロキシとして動作しますので、既存プロキシを置き換える導入も可能です。
• URLによる制御
  URLによる宛先振り分けは、IPアドレスによるよりも柔軟性、正確性に優れます。

支社など、中央でない拠点からクラウドサービスへの通信を直接インターネットにブレークアウトします。

• 中央とWANの負荷軽減
  中央のプロキシや拠点間回線の負荷を軽減し、システム規模とコストの上昇を抑えながら、拠点端末の応答性も向上できます。
• セキュリティの確保
  ローカルブレークアウトはセキュリティとトレードオフになり勝ちですが、プロキシやFWとして働くA10により、必要なセキュリティを確保できます。
• 独立した中小規模事業者様にも
  アプリケーションファイアウォールやプロキシを一体化したエントリモデルの840CPEなら、インターネットへのゲートウェイとして低コストで高いセキュリティを実現できます。テナント制御の施行も可能です。

クラウドサービス導入時に、情報漏洩などのセキュリティリスクを抑えます。
企業がクラウドサービスを導入すると、社員が私用や他社テナントのIDを持っていれば会社からそれらのアカウントにログインできてしまう、という状況が発生し、テナント間で情報のコピーが可能になってしまいます。

これを防ぐには、ThunderによってSSL暗号通信をインターセプトし、HTTPヘッダーにアクセス制御のための文字列挿入などを行います。

Microsoft Windows 10 では大きな更新ファイルが定期的にダウンロードされ、業務通信を圧迫してしまう場合があります。 A10 のクラウドプロキシ機能を応用してWindows Update通信を識別し、通信を振り分けたり、Windows Update通信の時間帯をコントロールしたりすることが可能です。Windows Update自体でも帯域の制限や配信の最適化などの機能が提供されますが、多くのクライアントを適切に管理するなどの運用負荷が想定されます。A10によるゲートウェイ型一括制御は運用負荷やTCOを削減する有効なソリューションと考えられます。