日立ソリューションズ『A10 Networks Thunder/AXシリーズ』のシステム、サービス概要・価格や、解決出来る課題についてご紹介します。

ThunderシリーズはA10 Networks社が負荷分散装置（ロードバランサー）として開発したハードウェア・アプライアンスですが、現在では多くのセキュリティ機能を統合したゲートウェイ製品に成長。
クラウド利用を制御しSSLインターセプトも可能な次世代プロキシとして、またDDoS防御やアプリケーション可視化も備えたファイアウォールとして活用されています。
仮想環境用のvThunderなど派生製品も充実。価格を抑えながら、ASICを多用した高性能なハードウェアと、柔軟で多機能なソフトウェアを兼ね備えた製品です。

急速に成長してきたThunder シリーズは、2016年、ハードウェアもソフトウェアも第四世代製品の出荷が始まり、性能が一層高まると同時に機能的にはセキュリティ・ゲートウェイへと発展を遂げています。

性能に定評のあるThunderハードウェアがさらに進化。スループット、ポート密度、SSL処理能力、電力効率、などあらゆる面でコストパフォーマンスの優れた最先端のハードウェアを提供し続けています

マルチコアハードウェアに最適化されたACOSソフトウェアはVersion4台となり、ステートフルL4ファイアウォールなどセキュリティ機能がさらに充実。負荷分散装置・ADC（アプリケーション・デリバリ・コントローラ）であると同時に、企業やデータセンタを守るセキュリティゲートウェイとして機能します。

ACOS Version 4.1.4 でApp Firewallをサポート。L7(レイヤー7)ペイロードを参照して通信からアプリケーションを識別、フィルタリングなど通信のコントロールが可能になりました。39カテゴリ、3,000以上のアプリケーションの識別が可能です。

A10 Networks社の中核製品です。負荷分散装置あるいはADCとしての機能を中心に、L4/L7ファイアウォール、IPSecVPN、DDoS防御、プロキシ、WAF（Web Application Firewall）、SSLインターセプト（SSLプロキシ/SSL可視化）、などの機能を統合したセキュリティ・ゲートウェイです。

プロキシに機能をフォーカスしたハードウェア・アプライアンスです。

• Office 365 などのクラウドサービスに最適化した処理性能とトラフィック振り分け機能
• 小規模拠点向けのプロキシとして高いコストパフォーマンス
• 分散拠点からインターネットへのローカルブレークアウトにも最適

Thunder CFWのDDoS防御機能を専用製品として高度化。パケットアノマリチェック、ブラック&ホワイトリスト、認証チャレンジ、レートリミット、プロトコルアプリケーションチェック、などの技術によってDDoS攻撃を防御します。一般企業向けの廉価なモデルから、300Gbpsをカバーし8台までクラスタ可能なハイエンド機まで豊富なラインナップを揃えます。中～上位モデルでは、独自のFTA（Flexible Traffic Accelerator） FPGAによりDDoSを高速にドロップするほか、SPE（Security and Policy Engine）、L2/L3 ASICなどハードウェアチップを多用して高速化を実現しています。

ハードウェアアプライアンスであるThunder製品をソフトウェアの仮想アプライアンスとして提供するものです。負荷分散やSSLゲートウェイとして完成度の高いThunderの機能を Amazon Web Services (AWS) や Microsoft Azure などのクラウドサービス上で活用できます。もちろんVMware、KVM、Xen、Hyper-Vなどの独立した環境やプライベートクラウドでも利用可能です。

• Thunder ADC/CGN

  Thunder CFWの一部の機能を省略し、ADC（負荷分散）、CGN（IPV6移行回り）の機能に絞った製品。

• Thunder SSLi

  Thunder CFWの一部の機能を省略し、SSLインターセプト（SSLプロキシ/SSL可視化）の機能に絞った製品。

• Lightning ADC

  Amazon Web Services などのクラウド環境でのアプリケーション構築に最適なソフトウェア型のトラフィックコントローラです。オーソドックスなサーバ負荷分散に加え、アジャイルな開発サイクルに必要なアプリケーションの可視化や制御をサポートします。

• Harmony Controller

  複数のA10製品を統合管理し、通信やアプリケーションの可視化や分析・制御を行います。A10 Networks社がクラウド上のSaaSとして提供するほか、アプライアンスやソフトウェアなどさまざまな形態で提供されます。

• aGalaxy

  複数のThunder製品を集中管理するためのハードウェア・アプライアンス/ソフトウェア製品。

アプリケーション・デリバリ・コントローラとして、さまざまな負荷分散やトラフィックのコントロールを行います。サーバ負荷分散、回線負荷分散、グローバル負荷分散、ファイアウォール負荷分散、利用者自身のスクリプティングによる柔軟な負荷分散（aFlex）、アプリケーション高速化、マルチテナント、高度なヘルスチェック、SSLアクセラレーション、ユーザ認証、クラスタリング、など万全な機能を備えています。

under CFWは従来のファイアウォールやUTMのポジションに導入し、高度なセキュリティとトラフィック制御を実現することが可能です。L4/L7ファイアウォール、IPSecVPN、DDoS防御、WAF、プロキシ、URL/IPフィルタ、などを自身のセキュリティ機能として提供する上、ICAP（Internet Content Adaptation Protocol）による他のセキュリティ製品との連携、SSLインターセプト（SSLプロキシ/SSL可視化、詳しくは次項参照）、ファイアウォールやプロキシ/各種サーバ/回線の負荷分散などを統合的に提供します。

Webサーバの前段に設置し、サーバのSSL負荷を軽減します。サーバ負荷分散と統合して動作、SSL通信に対し、復号後の平文を参照し、高度なレイヤー7負荷分散を実現します。最新のECC（Elliptic Curve Cryptography、楕円曲線暗号）やPFS（Perfect Forward Secrecy、将来に亘る秘匿性）暗号を高速に処理し、全SSL時代のWebシステムを支えます。

マルウェアの侵入や情報漏洩から企業を守るためには、暗号化されたSSL通信の中身もセキュリティ検査する必要があります。ThunderのSSLi（SSLインサイト）機能は、SSL通信を復号・可視化し、レイヤ7の情報を参照、自身でセキュリティ検査をしたり、複数の他のセキュリティ製品にトラフィックをリダイレクトすることが可能です。
それぞれのセキュリティ製品自身がSSLをインターセプトするのに比べて、Thunderと組み合わせることでシステム全体のコストを下げ、性能を向上させることが可能です。

Microsoft Office365 などのクラウドサービスを導入すると、社内からインターネットへの通信、特にセッション数が急増。結果としてプロキシサーバなどの中継機器への負荷も増大し、応答速度が低下したり、大きな追加投資を強いられるなどの問題につながることがあります。
Thunderは自身がプロキシとなり、またクラウドサービスの通信を識別して経路や回線をコントロールします。これにより、より少ない投資でクラウドサービス導入時の性能やセキュリティを確保できます。

Microsoft Office 365 やBox、Google G Suite などのクラウドサービス導入時に、情報漏洩などのセキュリティリスクを抑えます（注1）。

企業がクラウドサービスを導入すると、社員が私用や他社テナントのIDを持っていれば会社からそれらのアカウントにログインできてしまう、という問題があります。

これを防ぐには、ThunderによってSSL暗号通信をインターセプトし復号・可視化、HTTPヘッダーにアクセス制御のための文字列を挿入するなどの制御が必要です。

右図では、クラウドサービスのテナント制御（ヘッダ制御）に加えて、一般のWebアクセスに対しSSLインターセプト （SSLプロキシ/SSL可視化) 機能によるセキュリティ検査も並行して実施しています。

（注1）クラウドサービス利用時の情報漏洩リスク

情報漏洩防止の観点から、インターネット上のファイル共有などはURLフィルタの機能を使って利用禁止にしている企業も多いようです。しかし、会社でクラウドサービスを利用し始めると、そのサイトに対してURLフィルタは解除しなければなりません。このため、そのサービスに対し別途私用や他社のアカウントを持っている社員は、会社の端末からそれら全てのアカウントにログインして利用できるようになってしまいます。

その場合、情報の任意なコピーが可能となり、情報漏洩のリスクが発生します。

Microsoft Windows 10 では大きな更新ファイルが定期的にダウンロードされ、業務通信を圧迫してしまう場合があります。 A10 のクラウドプロキシ機能を応用してWindows Update通信を識別し、通信を振り分けたり、Windows Update通信の時間帯をコントロールしたりすることが可能です。Windows Update自体でも帯域の制限や配信の最適化などの機能が提供されますが、多くのクライアントを適切に管理するなどの運用負荷が想定されます。A10によるゲートウェイ型一括制御は運用負荷やTCOを削減する有効なソリューションと考えられます。

Microsoft Office 365 などのクラウドサービスが普及すると同時に、社外のモバイルデバイス（PC、スマホ、タブレット等）から社内へ、また社内を経由してクラウドサービスへ、といったアクセスの必要性も増加しています。情報セキュリティの観点からは、以下を満たすことが求められます。

• 適正なモバイルデバイスからの接続だけを許す。
• 会社のデバイスを使って、他社や私用のクラウドサービスに接続することを禁じる。

A10 Thunderのテナント制御と、MobileIron社のMDM（モバイルデバイス管理）を組み合わせることで、これらを効果的に実現します。単にセキュリティ要件を満たすだけでなく、プロキシとしてのA10 Thunderがクラウドサービスや一般的なインターネットへの通信を最適に経路コントロール。またMobileIron Cloudはテナント制御時に必要となる端末への証明書の配布管理を自動化します。

MobileIron は、外部から社内への通信のゲートウェイとして働き、適正に管理されたモバイル端末からの接続だけを許します。通信は全てVPNで守られます。通信先についても、社内サーバ、またA10を経由してのクラウドサービスなど、許可や制限が可能です。

Thunder CFW は、モバイルおよび社内の端末からクラウドサービスへの通信のゲートウェイ（プロキシ）として働きます。一般に、クラウドサービス向けの通信は全てSSL（TLS）化されていますが、Thunder CFWは、必要に応じて通信のSSLを復号し、ヘッダに制御情報を挿入するなどしてテナント制御を行い、社員が他社や私用のクラウドサービスにアクセスすることを防御します。

MobileIron Cloud は、デバイスの管理をクラウド上で提供するサービスで、デバイスに配布する証明書を管理したり、デバイスに自動配布することが可能です。これは、クラウドでなくオンプレミスのサーバとして稼動させることも可能です。