|
 アプリケーショントラフィックの処理のためには、Raw Data Plane、Application Plane、Management Planeの処理を区分してモジュール的に設計するのが最も理想的です。
各Planeの間にはRaw traffic data、application data処理のための十分な帯域幅を提供する必要があります。各Planeで実行しなければならない機能は下記のように要約されます。
|
| ● |
Management Plane
Configuration, user interface, monitoring, logging, analysis, device control
|
| ● |
Application Plane
Application proxying, application classification, TCP operation, application filtering, session manipulation, encryption/decryption
|
| ● |
Raw Data Plane
L2/L3 switching, static/dynamic routing, VLAN, 802.x control, Media Access Control, Physical Media Control |
|
|
パイオリンクの次世代プラットホームであるASSP(Application Security Switching Platform) はアプリケーションと一般データトラフィックを最も効率的に処理するために、各Planeをモジュール的に処理する構造を提供します。ASSPはアプリケーション管理のための各種セキュリティ核心機能(Firewall、L7Switch、Web Application Firewall、IDS、IPSなど)が統合提供されるプラットホームです。また、ASSPの強力なApplication Engineと加速エンジンを通じてセキュリティ機能を実行する場合にも速度の遅延やパケットあるいはセッションの損失を最小化し、最大4Gbps以上のトラフィックを処理することができます。
ASSPは多様なネットワーク構成下でもお客様の要求を満足させられるように、高いポート集積度と多様なLANセグメントを提供します。 |
|
|
|
ASSP は3段階構造に分けられます。最初にRaw Data Planeにおいて88Gbps級のスイッチングバックプレーン上でRaw data flowに対する管理を実行します。次にApplication PlaneでApplication Security エンジンと加速エンジンを稼動するように設計されています。最後に管理制御のためのManagement Controllerが機能を実行します。
パイオリンクのASSPは安全性を最優先に考慮して設計されました。Securely Hardened OSを提供し、各種エンジン及びメモリなどが二重化され、インターフェースの限界を克服するために多数のスイッチングポートを提供します。 |
|
|
|
|
 |
|
 PLOSはパイオリンクで提供するアプリケーションスイッチングとアプリケーションセキュリティを担当するためのパイオリンクの固有な運営体制です。この運営体制はモジュラー化した機能ブロックで設計され、アプリケーションスイッチングとセキュリティが効率的に統合されるようにします。
PLOSの主要機能は大きく分けて次の4つがあります。
- Application Security
- High Availability
- Optimization
- Management |
|
|
 Application Security |
|
| PLOSを通じてウェブサービスのリクエストとその応答に対する内容を調査し、非正常的なリクエストや不法的なコンテンツの流出を遮断させます。PLOSはクライアントからウェブアプリケーションに送るリクエスト(Request)を検査するために「リクエスト検査(Request validation)機能」を、ウェブアプリケーションが送るクライアントのリクエストに対する応答(Response)を検査するために「コンテンツ保護(Content protection)機能」を支援します。また、内部で使用するURLを外部に公開しないように攻撃の可能性を遮断する「クローク(Cloaking) 機能」とパスワード化されたHTTPSトラフィックに対する暗・復号化のためのSSL機能を提供します。また、このようなアプリケーションセキュリティ機能をサイトの環境に合わせて設定できるようにサポートする「自動学習(Adaptive Learning)機能」を提供します。PLOSはアプリケーション階層でのウェブファイアーウォール機能だけではなく、ネットワークインフラに対するセキュリティ機能(ネットワークファイアーウォール、コンテンツフィルタリング、DoS/DDoS、ワーム、ウイルス遮断など)を提供します。したがって、すべてのネットワーク階層の攻撃からお客様のサービス及びウェブアプリケーションをPLOSを通じて保護することができます。 |
|
|
| High Availability |
|
| PLOSではアプリケーションサービスに対して障害を発生させ得る要素をとり除きます。PLOSは各種アプリケーションサーバ(HTTP、HTTPS、FTP、SMTP、POP3, IMAP、DNS、MDAP)、及びネットワークアプライアンス(VPN、Firewall、IPSなど)に対するロードバランシングを支援します。PLOSは連動装置に対して持続的な障害監視(Health check)を実施し、障害を能動的に感知して、障害が発生した場合には数秒以内に障害を復旧します。個別装置の障害と関係なくシステムの可用性を高めます。また、自体の二重化を完壁に支援するので、ネットワーク全体の可用性を確保して無中断・無障害サービスを提供します。 |
|
|
| Optimization |
|
| PLOSは既存のアプリケーションが解決しなければならないサービスの品質及び性能の問題を効果的に改善させます。アプリケーション全体のサービスの性能を高め、サーバの計算量を減少させます。Application Proxying、Connection Pooling、Network Load Balancing、QoSなどを通じて少ない資源でアプリケーション性能を高め、全体のコストを減少できるようにします。 |
|
|
| Management |
|
| PLOSではアプリケーションサービスの管理を便利かつ効果的にできるようにWeb Management Consoleなどの管理ツールを提供します。このような管理ツールを通じてリアルタイムでアプリケーションをモニタリングし、問題点を把握することができます。 特に、 IT 及びセキュリティ管理者は Analyzer を用いて外部のウェブアプリケーション攻撃者、ハッカーの行為、中庸な情報に対する権限侵害などに付いて分かりやすく正確に分析しウェブサイトのセキュリティ状況を理解することが出来ます。この管理ツールは IT 及びセキュリティ管理者が能動的なセキュリティ知識を基に判断できるように助けます。 |
|
|
|
|
|
 |
|
| PLOSはアプリケーションをセッション単位で詳細に高速で処理するためにDynamic Application Proxying(DAP)技術を基盤にしています。DAP技術はOSI 7Layerに該当するアプリケーションレベル内容を分析し、クライアントとサーバ間の2つのセッションを動的に連結する技術をいいます。 |
|
|
|
|
|
DAPの基本的な4段階の動作は下記の通りです。セッションを終了する場合にも基本の4段階動作を繰り返します。
|
| - phase 1 : |
サーバへのアクセスの試みを受け入れてクライアントが
リクエスト(Request)内容を送信できるようにします。 |
| - phase 2 : |
クライアントのリクエストを受けて
サーバにセッションのアクセスを試みます。 |
| - phase 3 : |
サーバにセッション(TCP handshake)が成立すれば、
クライアントのリクエストを検査後に伝逹します。 |
| - phase 4 : |
サーバの応答(Response)をクライアントに伝達し、
同時に応答に対する検査と保護を実行します。 |
|
|
DAPはパイオリンクで独自に開発した固有な技術です。一般的にプロキシ方式に比べてDAP技術の長所は次の通りです。一般プロキシ方式はソケット(socket)レベルの処理を実行します。DAP 技術はセッション単位の動的連結を実行し、メモリを効率的に使って計算量を画期的に減らしました。したがって、高速のセッション処理が可能であり、同時セッション処理容量が増大します。DAP技術はクライアントとサーバ間のリクエストセッションを再使用して、サーバのセッション処理負荷を減少させます。DAP技術はすべてのリクエストと応答を組合せず、ストリーミング方式でDeep Session Inspectionを実行し、検査時間を短縮して応答速度を高めます。DAP技術は既存方式に比べてメモリを少なく使うのでセッション処理容量を増やすことができます。
DAP技術が適用されたパイオリンクのPAS(Piolink Application Switch)はアプリケーションのセッション処理で上のような長所を提供しています。本技術は韓国特許出願され、韓国科学技術部のNT(New Technology)認証を獲得し、国際公認機関であるTollyから性能認証を受けた技術です。 |
|
|
|
|
|
一般アプライアンス、サーバタイプのプラットホームはManagement Plane、Application Plane、Raw Data Plane処理を単一あるいはデュアルCPUで同時に処理しなければなりません。
