Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SSL通信におけるアクセス制御の緻密化と可視化について
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Recruit Technologies
November 15, 2017
Technology
720
0
Share
SSL通信におけるアクセス制御の緻密化と可視化について
2017/11/13 A10 Networksのユーザー会での、笹川の講演資料になります
Recruit Technologies
November 15, 2017
More Decks by Recruit Technologies
See All by Recruit Technologies
障害はチャンスだ! 障害を前向きに捉える
rtechkouhou
1
770
Flutter移行の苦労と、乗り越えた先に得られたもの
rtechkouhou
3
12k
ここ数年間のタウンワークiOSアプリのエンジニアのチャレンジ
rtechkouhou
1
1.6k
大規模環境をAWS Transit Gatewayで設計/移行する前に考える3つのポイントと移行への挑戦
rtechkouhou
1
2k
【61期 新人BootCamp】TOC入門
rtechkouhou
3
42k
【RTC新人研修 】 TPS
rtechkouhou
1
42k
Android Boot Camp 2020
rtechkouhou
0
42k
HTML/CSS
rtechkouhou
10
52k
TypeScript Bootcamp 2020
rtechkouhou
9
46k
Other Decks in Technology
See All in Technology
Swift Sequence の便利 API 再発見
treastrain
1
260
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.4k
10サービス以上のメール到達率改善を地道に継続的に進めている話 / Continue to improve email delivery rates across multiple services
yamaguchitk333
5
1.5k
Oracle AI Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
6
1.6k
The 7 pitfalls of AI
ufried
0
210
試作とデモンストレーション / Prototyping and Demonstrations
ks91
PRO
0
200
自動テストだけで リリース判断できるチームへ - 鍵はテストの量ではなくリリース判断基準の再設計にあった / Redesigning Release Criteria for Lightweight Releases
ewa
7
3.6k
Modernizing Your HCL Connections Experience: Visual Report to chain, Profile Enhancements, and AI Integration
wannesrams
0
300
データモデリング通り #5オンライン勉強会: AIに『ビジネスの文脈』を教え込むデータモデリング
datayokocho
0
250
カオナビに Suspenseを導入するまで / The Road to Suspense at kaonavi
kaonavi
1
450
世界の中心でApp Runnerを叫ぶ FINAL
tsukuboshi
0
260
クラウドネイティブ DB はいかにして制約を 克服したか? 〜進化歴史から紐解く、スケーラブルアーキテクチャ設計指針〜
hacomono
PRO
6
910
Featured
See All Featured
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
150
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.9k
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
790
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.2k
How to Ace a Technical Interview
jacobian
281
24k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
9.9k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.7k
エンジニアに許された特別な時間の終わり
watany
106
240k
The Language of Interfaces
destraynor
162
26k
Utilizing Notion as your number one productivity tool
mfonobong
4
300
Transcript
リクルートテクノロジーズ ITソリューション統括部 笹川 慶介 2017年11月13日 SSL通信における アクセス制御の緻密化と可視化について
自己紹介 2 (C) Recruit Technologies Co.,Ltd. All rights reserved. 笹川
慶介 Keisuke Sasagawa 株式会社リクルートテクノロジーズ ITソリューション統括部 インフラソリューション1部 ELIXIR2グループ サイトリライアビリティエンジニアリング部RAFTELグループ
自己紹介(主な経歴) 3 (C) Recruit Technologies Co.,Ltd. All rights reserved. 2005
~ 新卒で通信キャリアに入社、バックボーン構築部門に配属 • OSPF/BGPを主とした大規模ネットワークの構築を経験 2008 ~ ネットワークインテグレータにて主に官公庁や一般企業のネットワーク 構築を担当 • WAN/LAN/無線LAN/FW等の提案・設計・構築を経験 2016 ~ リクルートにて商用インフラのネットワーク担当 • セキュアインフラELIXIRのネットワーク設計構築運用 • 商用プライベートクラウドRAFTELのネットワーク設計構築運用
リクルートテクノロジーズとは 4 (C) Recruit Technologies Co.,Ltd. All rights reserved. リクルートキャリア
リクルートジョブズ リクルートスタッフィング リクルート住まいカンパニー リクルートライフスタイル リクルートマーケティングパートナーズ スタッフサービス・ホールディングス リクルートアドミニストレーション リクルートコミュニケーションズ 事業会社 機能会社 ネットインフラ 大規模プロジェクト推進 UXD/SEO ビッグデータ機能 テクノロジーR&D 事業・社内IT推進 リクルート ホールディングス リクルートとは、 主要7事業会社+3機能会社 で構成されるグループ企業群 私が所属する会社は リクルートテクノロジーズ セキュリティ AP基盤・オフショア開発
リクルートテクノロジーズとは 5 (C) Recruit Technologies Co.,Ltd. All rights reserved. 【リクルートの商用インフラ】
ライフイベント領域 進学 就職 結婚 転職 住宅購入 車購入 出産/育児 旅行 ビジネス支援 生活/地域情報 グルメ・美容 ライフスタイル領域 プライベートクラウド (RAFTEL) パブリッククラウド (Rクラウド) セキュリティインフラ (ELIXIR)
ELIXIRとは 6 (C) Recruit Technologies Co.,Ltd. All rights reserved. VDI
Internet SOC DB DB VDI VDI
SSLi導入 7 (C) Recruit Technologies Co.,Ltd. All rights reserved. VDI
Internet Thunder1030S Thunder1030S Thunder840 / /VDI Thunder SSLi
SSLi導入(本番/開発環境) 8 (C) Recruit Technologies Co.,Ltd. All rights reserved. VDI
Internet Thunder1030S Thunder1030S Thunder840
SSLi導入の背景(本番/開発環境) 9 (C) Recruit Technologies Co.,Ltd. All rights reserved. (www.example.com)
FW L3 L4 SSL SSL
SSLi導入(本番/開発環境) 10 (C) Recruit Technologies Co.,Ltd. All rights reserved. (www.example.com)
FW SSLi URL Thunder SSLi SSL SSL
本番/開発環境 詳細構成 Internet FW Thunder SSLi LB SW 既存通信 L3,4レベルのアクセス制御
L7制御が必要な通信をプロキシ経由へ変更 プロキシ通信 L7レベルのアクセス制御 / L7
12 (C) Recruit Technologies Co.,Ltd. All rights reserved. VDI Internet
Thunder1030S Thunder1030S Thunder840 SSLi導入(VDI環境)
SSLi導入の背景(VDI環境) 13 (C) Recruit Technologies Co.,Ltd. All rights reserved. Internet
VDI VDI SW SW FW SSL
SSLi導入(VDI環境) 14 (C) Recruit Technologies Co.,Ltd. All rights reserved. Internet
VDI VDI SW SW FW SSL Thunder SSLi SSL
検証プロセス 15 (C) Recruit Technologies Co.,Ltd. All rights reserved. プレ検証
vThunderを借用し、検証環境での評価を実施 A10社の強力なサポートにより、円滑に評価が完了 < > 27 Proxy 6 23 SSL 2 64 ※ 130 仮想版では以下、一部機能をサポートしていなかっ たが、大きな問題も無く検証を完了 復号化トラフィックのミラー サーバ証明書の検証 < >
Thunderを検証してみて 16 (C) Recruit Technologies Co.,Ltd. All rights reserved. 優れている点
コストパフォーマンスが高い aFleXによる柔軟なアクセス制御が可能 改善を期待したい点 SSLiを実現するためにはパーティションを別ける必要がある 設定が複雑化する パーティション間を物理接続する必要有り(物理ポートの消費) Thunder internal external
まとめと日々感じている事 17 (C) Recruit Technologies Co.,Ltd. All rights reserved.
常時SSL化の流れにより、外部への通信は暗号化トラフィックが大 半となってきている アクセス制御が困難 暗号化トラフィックに紛れたセキュリティリスク Thunder SSLiは、SSL通信においてもアクセス制御の緻密化と可視 化を提供し、セキュリティインフラであるELIXIRにおいて、重要な 位置づけとして期待されている 高いセキュリティレベルを維持しつつ、提供スピードの向上/運用負 荷の軽減が今後の課題であると考えている
ご清聴ありがとうございました リクルートテクノロジーズ
rtechkouhou
treastrain
oracle4engineer
yamaguchitk333
ufried
ks91
ewa
wannesrams
datayokocho
kaonavi
tsukuboshi
hacomono
kimpetersen
honnibal
frankvandijk
morganepeng
danielanewman
jacobian
mongodb
panda_program
thoeni
watany
destraynor
mfonobong
