A10 Networks Thunder

ThunderシリーズはA10 Networks社が負荷分散装置（ロードバランサー）として開発したハードウェア・アプライアンスですが、現在では多くのセキュリティ機能を統合したゲートウェイ製品に成長しています。
クラウド利用を制御しSSLインターセプトも可能な次世代プロキシとして、またDDoS防御やアプリケーション可視化も備えたファイアウォールとして活用されています。
仮想環境用のvThunderなど派生製品も充実。価格を抑えながら、ASICを多用した高性能なハードウェアと、柔軟で多機能なソフトウェアを兼ね備えた製品です。

クラウド時代とは、企業の情報システムにMicrosoft Office 365 やGoogle Workspace 、Amazon Web Service（AWS）などのクラウドサービスが活発に利用される時代です。
企業内システムとクラウドを連携するためには、かつてとは次元の違う柔軟な通信制御やセキュリティが必要とされます。
A10 Thunderは、負荷分散（高度な通信制御）と次世代プロキシ（高度なセキュリティゲートウェイ）の機能をあわせ持ち、クラウド時代の要求に応えます。

サーバー側に設置するサーバー負荷分散装置として、万全の機能とコストパフォーマンスを提供します。

• L2構成／L3構成／ワンアーム構成、L4LB／L7LB、セッション維持
• 自身の8台までの冗長構成と並列アクティブ稼働
• aFlexスクリプトによるトラフィック制御のカスタマイズ
• 複数のクラウドサービス上やオンプレで連携稼働（vThunder、Harmony Controller）
• 通信キャリアやサービスプロバイダで多くの実績を持つ高性能と信頼性

クライアント側のセキュリティゲートウェイとして、クラウド時代に必要な機能と性能を提供します。

• SSL復号化プロキシ

  SSL/TLS暗号を復号・再暗号化します。復号した通信をほかのセキュリティ製品と連携して検査し（L2/L3/ICAP接続）、ログを取得します。

• 高度な通信制御（クラウドアクセスプロキシ）

  IPアドレスやURLによって、上位プロキシ、一般インターネット、各種クラウドサービスなどへ通信を振り分けます（クラウドサービス向け通信のブレークアウト）。

• ゲートウェイとしてのセキュリティ機能

  マルウェアチェック、情報漏洩防止（DLP）、ファイル無害化、URLカテゴリーフィルタリング、IPレピュテーションフィルタリング、など、セキュリティゲートウェイとして求められるセキュリティ機能を提供します。

• テナント制御

  クラウドサービス利用時、自社アカウント以外への接続を禁止し、情報漏洩を防止します。

• 次世代SSLプロキシに必要とされる性能とセキュリティ

  多量の同時セッション処理能力や、全SSLの暗号化・復号化を処理するパフォーマンスを備えます。
  L4FWを標準装備し、オプションでURLカテゴリーフィルタ、L7FW（アプリケーションファイアウォール）機能なども装備可能です。

• ※本ページではTLS暗号も含め「SSL」と簡略化して記述しています。

A10 Networks社の中核製品です。ロードバランサとしての機能と次世代SSLプロキシとしての機能を一台で提供します。

• エントリモデルから、スループット300Gbpsを超える大規模システム向けモデルまで幅広いラインアップ
• SSL専用チップやネットワーク専用チップなどASICやFPGAを多用した高パフォーマンス
• ほとんどのモデルが1Uの薄型サイズでありながら、高いポート密度を実現

提供する機能を負荷分散とCGNなどに限定し、優れたコストパフォーマンスを実現するハードウェア・アプライアンスです。

• ロードバランシング機能により、アプリケーションの配信を最適化
• シングルサインオンやDDoS攻撃対策、SSL/TLSオフロード、WAFなどのセキュリティ機能も搭載
• スクリプトによるトラフィック制御やカスタマイズ可能なサーバーヘルスチェック、多様なパーシステムも使用可能

Thunder CFWのDDoS防御機能を専用製品として高度化。パケットアノマリチェック、ブラック&ホワイトリスト、認証チャレンジ、レートリミット、プロトコルアプリケーションチェック、などの技術によってDDoS攻撃を防御します。一般企業向けの廉価なモデルから、300Gbpsをカバーし8台までクラスタ可能なハイエンド機まで豊富なラインアップを揃えます。中～上位モデルでは、独自のFTA（Flexible Traffic Accelerator） FPGAによりDDoSを高速にドロップするほか、SPE（Security and Policy Engine）、L2/L3 ASICなどハードウェアチップを多用して高速化を実現しています。

ハードウェアアプライアンスであるThunder製品をソフトウェアの仮想アプライアンスとして提供するものです。負荷分散やSSLゲートウェイとして完成度の高いThunderの機能を Amazon Web Services（AWS）や Microsoft Azure などのクラウドサービス上で活用できます。もちろんVMware、KVM、Xen、Hyper-Vなどの独立した環境やプライベートクラウドでも利用可能です。

快適で安全なクラウドサービス活用、リモートアクセスを実現するSaaS型のクラウドサービスとして提供されるA10の新製品です。オンプレミスのThunderシリーズで実績のあるADC機能はもちろん、フォワードプロキシやリバースプロキシなどの機能をクラウドサービスとして提供。
通信量に依存せず、最大接続端末数に応じたライセンスが適用されるため、簡単かつ低コストで豊富な機能をご利用いただけるソリューションとなっています。

• フォワードプロキシ
• リバースプロキシ
• 認証基盤連携
• クラウドサービスのテナント制御
• アプリケーション可視化／制御
• アンチマルウェア、コンテンツ無害化などのセキュリティ機能

• Thunder SSLi

  Thunder CFWの一部の機能を省略し、SSLインターセプト（SSLプロキシ／SSL可視化）の機能に絞った製品です。

• Harmony Controller

  複数のA10製品を統合管理し、通信やアプリケーションの可視化や分析・制御を行います。A10 Networks社がクラウド上のSaaSとして提供するほか、アプライアンスやソフトウェアなどさまざまな形態で提供されます。

アプリケーション・デリバリ・コントローラとして、さまざまな負荷分散やトラフィックのコントロールを行います。サーバー負荷分散、回線負荷分散、グローバル負荷分散、ファイアウォール負荷分散、利用者自身のスクリプティングによる柔軟な負荷分散（aFlex）、アプリケーション高速化、マルチテナント、高度なヘルスチェック、SSLアクセラレーション、ユーザー認証、クラスタリング、など万全な機能を備えています。

製品:Thunder ADC、Thunder CFW

Thunder CFWは従来のプロキシ、ファイアウォールやUTMのポジションに導入し、高度なセキュリティとトラフィック制御を実現します。L4/L7ファイアウォール、IPSecVPN、DDoS防御、WAF、プロキシ、URLカテゴリーフィルタ、IPレピュテーションフィルタ、マルウェアチェック、情報漏洩防止（DLP）、ファイル無害化、などのセキュリティ機能を提供。また、ICAP（Internet Content Adaptation Protocol）やネットワーク接続によるほかのセキュリティ製品との連携、SSLインターセプト（SSLプロキシ／SSL可視化、詳しくは次項参照）、ファイアウォールやプロキシ・各種サーバー・回線の負荷分散などクライアントサイドのセキュリティと通信制御の中核として稼働します。

製品:Thunder CFW

• URLカテゴリーフィルタ

  アクセス先URLを金融サイト、アダルトサイトなどにカテゴリー分けしてアクセス制御できます。

• IPレピュテーション

  アクセス先IPアドレスを、フィッシングサイトなど危険度で点数評価し、アクセス制御できます。

• マルウェアチェック

  複数のマルウェア検知エンジンを並列稼働して高精度にマルウェアを検出しブロックします。

• 情報漏洩防止（DLP）

  アップロードされるコンテンツに含まれるキーワードを見てアクセス制御したり、IPアドレスやクレジットカード番号などの情報のマスキングなどが可能です。

• ファイル無害化

  ダウンロードされるファイルのユーザビリティは維持したまま、マクロなどのリスク要素を高精度で除去します。

Webサーバーの前段に設置し、サーバーのSSL負荷を軽減します。サーバー負荷分散と統合して動作、SSL通信に対し、復号後の平文を参照し、高度なレイヤー7負荷分散を実現します。最新のECC（Elliptic Curve Cryptography、楕円曲線暗号）やPFS（Perfect Forward Secrecy、将来に亘る秘匿性）暗号を高速に処理し、全SSL時代のWebシステムを支えます。

製品:Thunder ADC、Thunder CFW

今、企業の通信はほぼ100% SSL暗号化されており、多くのマルウェアや攻撃がそのSSL暗号を隠れ蓑にしています。にもかかわらず既存のプロキシなどの多くのセキュリティ機器は暗号化された通信のセキュリティを十分検査できません。
A10 Thunderはプロキシとして動作しながらSSLを復号化し、平文をセキュリティ機器に送ることで暗号通信へのセキュリティ施行を実現します。

• 柔軟な構成

  A10 Thunderは透過プロキシとしても明示プロキシとしても動作できます。セキュリティ機器とはL2、L3、ICAP、などで接続。柔軟な構成が可能です。

• システムコストの削減

  強力なA10のSSLエンジンによって複数機器に平文を送ることで、トータルのシステムコストを削減できます。

製品:Thunder SSLi、Thunder CFW

クラウドサービス向けのトラフィックを既存プロキシからブレークアウトします。

• 既存プロキシのセッション負荷低減

  これにより、システムの応答性向上、トータルコストの低減を実現します。A10 Thunderは、クラウドサービスに適合した大容量の同時セッション処理能力を備えています。

• 通信経路振り分け（クラウドサービス向け通信のブレークアウト）

  一般インターネット向け、クラウド―ビス向け、など通信を複数の経路に柔軟に振り分けできます。

• プロキシ機能

  認証、ログ取得、名前解決、セッション分割などプロキシとして動作しますので、既存プロキシを置き換える導入も可能です。

• URLによる制御

  URLによる宛先振り分けは、IPアドレスによるよりも柔軟性、正確性に優れます。

製品:Thunder ADC、Thunder CFW

支社など、中央でない拠点からクラウドサービスへの通信を直接インターネットにブレークアウトします。

• 中央とWANの負荷軽減

  中央のプロキシや拠点間回線の負荷を軽減し、システム規模とコストの上昇を抑えながら、拠点端末の応答性も向上できます。

• セキュリティの確保

  ローカルブレークアウトはセキュリティとトレードオフになり勝ちですが、プロキシやFWとして働くA10により、必要なセキュリティを確保できます。

• 独立した中小規模事業者様にも

  アプリケーションファイアウォールやプロキシを一体化したエントリモデルの840CPEなら、インターネットへのゲートウェイとして低コストで高いセキュリティを実現できます。テナント制御の施行も可能です。

クラウドサービス導入時に、情報漏洩などのセキュリティリスクを抑えます。
企業がクラウドサービスを導入すると、社員が私用や他社テナントのIDを持っていれば会社からそれらのアカウントにログインできてしまう、という状況が発生し、テナント間で情報のコピーが可能になってしまいます。

これを防ぐには、ThunderによってSSL暗号通信をインターセプトし、HTTPヘッダーにアクセス制御のための文字列挿入などを行います。

製品:Thunder CFW

Microsoft Windows 10 では大きな更新ファイルが定期的にダウンロードされ、業務通信を圧迫してしまう場合があります。 A10 のクラウドプロキシ機能を応用してWindows Update通信を識別し、通信を振り分けたり、Windows Update通信の時間帯をコントロールしたりすることが可能です。Windows Update自体でも帯域の制限や配信の最適化などの機能が提供されますが、多くのクライアントを適切に管理するなどの運用負荷が想定されます。A10によるゲートウェイ型一括制御は運用負荷やTCOを削減する有効なソリューションと考えられます。

製品:Thunder ADC、Thunder CFW

Microsoft Office 365 などのクラウドサービスが普及すると同時に、社外のモバイルデバイス（PC、スマホ、タブレットなど）から社内へ、また社内を経由してクラウドサービスへ、といったアクセスの必要性も増加しています。情報セキュリティの観点からは、以下を満たすことが求められます。

• 適正なモバイルデバイスからの接続だけを許す。
• 会社のデバイスを使って、他社や私用のクラウドサービスに接続することを禁じる。

A10 Thunderのテナント制御と、MobileIron社のMDM（モバイルデバイス管理）を組み合わせることで、これらを効果的に実現します。単にセキュリティ要件を満たすだけでなく、プロキシとしてのA10 Thunderがクラウドサービスや一般的なインターネットへの通信を最適に経路コントロール。またMobileIron Cloudはテナント制御時に必要となる端末への証明書の配布管理を自動化します。

MobileIron は、外部から社内への通信のゲートウェイとして働き、適正に管理されたモバイル端末からの接続だけを許します。通信はすべてVPNで守られます。通信先についても、社内サーバー、またA10を経由してのクラウドサービスなど、許可や制限が可能です。

Thunder CFW は、モバイルおよび社内の端末からクラウドサービスへの通信のゲートウェイ（プロキシ）として働きます。一般に、クラウドサービス向けの通信はすべてSSL（TLS）化されていますが、Thunder CFWは、必要に応じて通信のSSLを復号し、ヘッダに制御情報を挿入するなどしてテナント制御を行い、社員が他社や私用のクラウドサービスにアクセスすることを防御します。

MobileIron Cloud は、デバイスの管理をクラウド上で提供するサービスで、デバイスに配布する証明書を管理したり、デバイスに自動配布することが可能です。これは、クラウドでなくオンプレミスのサーバーとして稼動させることも可能です。

製品:Thunder CFW

社内システムにおいて、ID管理・認証製品であるOktaによるSSOを実現したい場合、社内システムのアプリケーションにSAML認証のService Providerとしての実装が必要となります。ただし、実装のためには、以下の課題があげられます。

• 社内システムのアプリケーションごとにSAMLの実装が必要。（認証の複雑化、実装にかかるコスト増）
• SAMLを実装できない社内システムがある場合、該当のシステムに対してSSOを実現できない

A10 ThunderのAAM（Application Access Management）機能を利用することで、社内システムの各アプリケーションの代わりに、A10 ThunderがService Providerとなることが可能です。これにより、OktaとA10 ThunderでSAML認証を行い、SSOを実現します。

• A10 ThunderがService Providerになることで、社内システムの各アプリケーションでSAMLの実装が不要
• 社内システムのドメイン（IP）が複数ある場合は、A10 ThunderがService Providerとして一元的に管理可能（簡素化）
• ユーザー情報などの認証に関する情報を安全に送受信するための標準規格JSON Web Token（JWT）などに対応可能
• Service Providerとしてだけでなく、同時にほかのA10 Thunderの機能も利用可能
  （負荷分散、SSLオフロード、メンテナンス時やサービスダウン時のSorryページの表示など）

製品:Thunder CFW、Thunder ADC