日立ソリューションズ『A10 Networks Thunder/AXシリーズ』のシステム、サービス概要・価格や、解決出来る課題についてご紹介します。

高いコストパフォーマンスを実現した先進の負荷分散装置 ＆ セキュリティゲートウェイ。

ThunderシリーズはA10 Networks社が負荷分散装置（ロードバランサー）として開発したハードウェア・アプライアンスですが、現在では多くのセキュリティ機能を統合したゲートウェイ製品に成長しています。DDoS防御専用のThunder TPSや仮想環境用のvThunderなど派生製品も充実。価格を抑えながら、ASICを多用した高性能なハードウェアと、柔軟で多機能なソフトウェアを兼ね備えた製品です。

急速に成長してきたThunder シリーズは、2016年、ハードウェアもソフトウェアも第四世代製品の出荷が始まり、性能が一層高まると同時に機能的にはセキュリティ・ゲートウェイへと発展を遂げています。

性能に定評のあるThunderハードウェアがさらに進化。スループット、ポート密度、SSL処理能力、電力効率、などあらゆる面でコストパフォーマンスの優れた最先端のハードウェアを提供し続けています

マルチコアハードウェアに最適化されたACOSソフトウェアはVersion4台となり、ステートフルL4ファイアウォールなどセキュリティ機能がさらに充実。負荷分散装置・ADC（アプリケーション・デリバリ・コントローラ）であると同時に、企業やデータセンタを守るセキュリティゲートウェイとして機能します。

ACOS Version 4.1.4 でApp Firewallをサポート。L7(レイヤー7)ペイロードを参照して通信からアプリケーションを識別、フィルタリングなど通信のコントロールが可能になりました。39カテゴリ、3,000以上のアプリケーションの識別が可能です。

A10 Networks社の中核製品です。負荷分散装置あるいはADCとしての機能を中心に、L4/L7ファイアウォール、IPSecVPN、DDoS防御、プロキシ、WAF（Web Application Firewall）、SSLインターセプト（SSLプロキシ/SSL可視化）、などの機能を統合したセキュリティ・ゲートウェイです。

Thunder CFWのDDoS防御機能を専用製品として高度化。パケットアノマリチェック、ブラック&ホワイトリスト、認証チャレンジ、レートリミット、プロトコルアプリケーションチェック、などの技術によってDDoS攻撃を防御します。一般企業向けの廉価なモデルから、300Gbpsをカバーし8台までクラスタ可能なハイエンド機まで豊富なラインナップを揃えます。中～上位モデルでは、独自のFTA（Flexible Traffic Accelerator） FPGAによりDDoSを高速にドロップするほか、SPE（Security and Policy Engine）、SSL ASIC、L2/L3 ASICなどハードウェアチップを多用して高速化を実現しています。

ハードウェアアプライアンスであるThunder製品をソフトウェアの仮想アプライアンスとして提供するものです。負荷分散やSSLゲートウェイとして完成度の高いThunderの機能を Amazon Web Services (AWS) や Microsoft Azure などのクラウドサービス上で活用できます。もちろんVMware、KVM、Xen、Hyper-Vなどの独立した環境やプライベートクラウドでも利用可能です。

• Thunder ADC/CGN

  Thunder CFWの一部の機能を省略し、ADC（負荷分散）、CGN（IPV6移行回り）の機能に絞った製品。

• Thunder SSLi

  Thunder CFWの一部の機能を省略し、SSLインターセプト（SSLプロキシ/SSL可視化）の機能に絞った製品。

• Lightning ADC

  Amazon Web Services などのクラウド環境でのアプリケーション構築に最適なソフトウェア型のトラフィックコントローラです。オーソドックスなサーバ負荷分散に加え、アジャイルな開発サイクルに必要なアプリケーションの可視化や制御をサポートします。

• Harmony Controller

  複数のA10製品を統合管理し、通信やアプリケーションの可視化や分析・制御を行います。A10 Networks社がクラウド上のSaaSとして提供するほか、アプライアンスやソフトウェアなどさまざまな形態で提供されます。

• aGalaxy

  複数のThunder製品を集中管理するためのハードウェア・アプライアンス/ソフトウェア製品。

アプリケーション・デリバリ・コントローラとして、さまざまな負荷分散やトラフィックのコントロールを行います。サーバ負荷分散、回線負荷分散、グローバル負荷分散、ファイアウォール負荷分散、利用者自身のスクリプティングによる柔軟な負荷分散（aFlex）、アプリケーション高速化、マルチテナント、高度なヘルスチェック、SSLアクセラレーション、ユーザ認証、クラスタリング、など万全な機能を備えています。

under CFWは従来のファイアウォールやUTMのポジションに導入し、高度なセキュリティとトラフィック制御を実現することが可能です。L4/L7ファイアウォール、IPSecVPN、DDoS防御、WAF、プロキシ、URL/IPフィルタ、などを自身のセキュリティ機能として提供する上、ICAP（Internet Content Adaptation Protocol）による他のセキュリティ製品との連携、SSLインターセプト（SSLプロキシ/SSL可視化、詳しくは次項参照）、ファイアウォールやプロキシ/各種サーバ/回線の負荷分散などを統合的に提供します。

Webサーバの前段に設置し、サーバのSSL負荷を軽減します。サーバ負荷分散と統合して動作、SSL通信に対し、復号後の平文を参照し、高度なレイヤー7負荷分散を実現します。最新のECC（Elliptic Curve Cryptography、楕円曲線暗号）やPFS（Perfect Forward Secrecy、将来に亘る秘匿性）暗号を高速に処理し、全SSL時代のWebシステムを支えます。

マルウェアの侵入や情報漏洩から企業を守るためには、暗号化されたSSL通信の中身もセキュリティ検査する必要があります。ThunderのSSLi（SSLインサイト）機能は、SSL通信を復号・可視化し、レイヤ7の情報を参照、自身でセキュリティ検査をしたり、複数の他のセキュリティ製品にトラフィックをリダイレクトすることが可能です。
それぞれのセキュリティ製品自身がSSLをインターセプトするのに比べて、Thunderと組み合わせることでシステム全体のコストを下げ、性能を向上させることが可能です。

Microsoft Office365 などのクラウドサービスを導入すると、社内からインターネットへの通信、特にセッション数が急増。結果としてプロキシサーバなどの中継機器への負荷も増大し、応答速度が低下したり、大きな追加投資を強いられるなどの問題につながることがあります。
Thunderは自身がプロキシとなり、またクラウドサービスの通信を識別して経路や回線をコントロールします。これにより、より少ない投資でクラウドサービス導入時の性能やセキュリティを確保できます。

Microsoft Office 365 やBox、Google G Suite などのクラウドサービス導入時に、情報漏洩などのセキュリティリスクを抑えます。

企業がクラウドサービスを導入すると、社員が私用や他社テナントのIDを持っていれば会社からそれらのアカウントにログインできてしまう、という問題があります。

これを防ぐには、ThunderによってSSL暗号通信をインターセプトし復号・可視化、HTTPヘッダーにアクセス制御のための文字列を挿入するなどの制御が必要です。

右図では、クラウドサービスのテナント制御（ヘッダ制御）に加えて、一般のWebアクセスに対しSSLインターセプト （SSLプロキシ/SSL可視化) 機能によるセキュリティ検査も並行して実施しています。

Microsoft Windows 10 では大きな更新ファイルが定期的にダウンロードされ、業務通信を圧迫してしまう場合があります。 A10 のクラウドプロキシ機能を応用してWindows Update通信を識別し、通信を振り分けたり、Windows Update通信の時間帯をコントロールしたりすることが可能です。Windows Update自体でも帯域の制限や配信の最適化などの機能が提供されますが、多くのクライアントを適切に管理するなどの運用負荷が想定されます。A10によるゲートウェイ型一括制御は運用負荷やTCOを削減する有効なソリューションと考えられます。