米F5 Networksは同社のIPサーバー・アプライアンス「BIG-IP」向け新アーキテクチャ「Dynamic Security Control Architecture(DSCA)」を米国時間10月21日に発表した。

 「多層化した強力なセキュリティ・アーキテクチャにより,統一的な防衛ラインを設け,エンタプライズ規模のモバイルおよびWebサービス・アプリケーションを常時保護し,利用可能とする」(F5 Networks社)

 DSCAに対応するBIG-IPを利用することで,アプリケーションのセキュリティを集中管理する際の作業負荷を軽減できるという。「アクセス時のセキュリティ・ポリシーをユーザーに強制し,攻撃からサイトを防御し,Web/アプリケーション・サーバーからのSSLトランザクションを高速化する」(同社)

 同社の「iControl API」を使用すると,BIG-IP機器との通信が可能となる。これにより,ファイアウオールやIDS(侵入検知システム)といった特定用途向けセキュリティ機器を,ネットワーク・トラフィックの転送先を決める際などに活用できるようになるという。

 また,BIG-IPの「Intelligent Port Mirroring」機能を使うことで,BIG-IP機器はトラフィックを直接適切なセキュリティ機器に送り込める。そのため,侵入検知/電子メールの検査/ウイルス検査などアプリケーション・レベルのセキュリティ・サービスを行うため,トラフィックの流れを妨げない。

 BIG-IPでは,転送するIPパケットのヘッダやペイロードを読み取り,その内容に応じて転送先のリソースを変更可能な「Application Traffic Management」と呼ぶ機能を採用する。このApplication Traffic Managementの実現のために,「Universal Inspection Engine」および「iRules」というソフトウエアを使用している。

 これらのソフトウエアは,HTTPやSSLパケットに加え,Webサービス向けのXMLデータ,データベース制御用のSQL,IP電話プロトコルであるSIPなどに対応する。そのため,ペイロード内にある電話番号やSQL命令などを検出し,適切に処理を切り替えることができるという。「iRulesでは,簡単にアプリケーション固有の動作をBIG-IPに組み込める。その結果,システムの運用効率を大幅に向上できる」(同社)

 DSCAは,BIG-IPソフトウエアのバージョン4.5の機能として提供する。同ソフトウエアは,今月中に利用可能とする予定。

 なお,米メディアの報道(InfoWorld)によると,DSCAに対応する新型BIG-IPの機種名は「BIG-IP 1000」「同2400」「同5100」であるという。

◎関連記事
米F5ネットワークスがIPサーバー・アプライアンスを2モデル発表
フィンランドのNokiaと米F5 Networks,モバイル・インターネットでのセキュリティとトラフィック管理の強化で提携

[発表資料(その1)]
[発表資料(その2)]