SSLオフロードとは?
SSLオフロードとは、専用ハードウェアによってSSL暗号処理、復号処理を高速化できるソリューションです。
Secure Sockets Layer(SSL)とその後継であるTransport Layer Security(TLS)による暗号化は、インターネット通信のセキュリティと整合性を確保するため重要な役割を果たします。ただし、データの暗号化と復号のために、コネクションごとにかなりの処理能力が必要という問題があります。
また、暗号化された通信は秘匿されるため、マルウェアや望ましくないコンテンツなどのペイロードを「通信中」に検出することは不可能です。しかし、すべてのサーバーが受信したすべてのリクエストを復号して調べ、レスポンスを再び暗号化することは、大きな処理と管理のオーバーヘッドを伴います。
これら解決するのがSSLオフロードです。
このゲートウェイシステムは、一般的にアプリケーション配信コントローラ(ADC)と呼ばれ、通常は負荷分散も提供し、サーバーまたはサーバーのクラスタのフロントエンドとなります。
例えば、クライアントが暗号化されたデータ交換を開始すると、ADCはSSLセッションのセットアップを管理し、受信するクライアント通信を復号し、サーバーが応答すると、その応答を暗号化し送信します。ADCは、暗号化と復号をできるだけ高速に処理するように最適化されており、サーバーの処理負荷も軽減されるため、ネットワークの遅延も減少します。
ADCの利用は、SSL処理のオーバーヘッドをサーバーからオフロードすることが第一の目的ですが、マルウェアやフィッシングなどのセキュリティ脅威がないか通信を検査し、クレジットカードや社会保障番号などの機密データの送信を防止することもADCによって行えます。
SSLオフロードの種類
SSLオフロードの代表的なものとして、以下の2つがあります。
- SSLブリッジングまたはSSLプロキシでは、ADCがSSLセッションの開始を行い、クライアントのリクエストを復号化し、その後にサーバーに渡す前にリクエストを再暗号化します。サーバーがクライアントに返信するときはその逆を実行します。ADCは通常、このモードを使用して、セキュリティデバイスによるトラフィックの検査を可能にし、ヘッダー挿入などの機能を実行します。
- SSLターミネーションは、SSLブリッジングと同様に、ADCがSSLセッションの開始を処理し、クライアントのリクエストを復号化します。異なる点は、SSL再暗号化を行わずにサーバーに渡すところです。サーバーが返信すると、ADCはその応答を暗号化してからクライアントに転送します。このモードでは、暗号化と復号の処理が完全にADCにオフロードされるため、サーバーは最高のパフォーマンスで機能することができます。
どちらの場合も、ADCは通信を検査し、フィルタリングすることができます。SSLブリッジングは、信頼されていない内部ネットワークでの通信を可能にすることです。SSLブリッジングはサーバーでの暗号化/復号の負荷を減らすことはできませんが、検査とフィルタリングのための負荷をオフロードします。
A10のSSLオフロードソリューション
A10のアプリケーション配信・負荷分散ソリューションA10 Thunder® ADCは、ハードウェアとソフトウェアの両方のフォームファクターで提供されており、一部のハードウェアプラットフォームでは、専用のSSLオフロード機能として高度なセキュリティプロセッサも提供されています。また、SSLオフロードだけでなく、コスト効率に優れ、業界をリードする当社の製品は、ディープパケットインスペクション、フィルタリング、ロードバランシング、トラフィックシェーピングも提供します。
