SSL通信における概要
SSL通信
SSL(Secure Sockets Layer)とは、
トランスポート層とアプリケーション層の間において、データを暗号化して送るプロトコルです。
SSL通信を実現するには、SSL証明書と2対の鍵が必要となります。
(参考:SSL証明書について 、SSL通信の仕組み)
また、SSL通信における課題として、
SSLにて使用する暗号アルゴリズムの演算処理が、サーバのCPUに負担をかけてしまうことが課題として挙げられます。
※Webサーバの能力の半分以上を暗号処理に費やすため、httpサービスを行うWebサーバと、httpsサービスを行うWebサーバでは、サーバの処理能力が大きく変わってきます。(参照:SSL通信における課題)
SSLアクセラレーション
SSLアクセラレーションとは、SSL暗号化やSSL復号化をする処理のことです。
SSLアクセラレータ
SSLアクセラレータとは、Webサーバとクライアントの仲介に位置し、
SSLアクセラレーションを行うアプライアンス製品です。
SSLアクセラレーション機能は、ロードバランサーやプロキシサーバ、ファイアウォールと共に導入されることが多く、
オンプレミスでは、以下の製品等で搭載されます。
※実際は、SSLアクセラレータを導入することは必須ではなく、WebサーバでSSLアクセラレーションを実装することも可能です。
ただし、Webサーバのパフォーマンスが劣る点・セキュリティも劣る要素がある点などから、
アプライアンスでアクセラレーションを実装することが一般的です。
逆に、Webサーバで実装するメリットとしては、SSLアクセラレータとなるアプライアンスをわざわざ購入する必要がない。
ということ位でしょうか。(その他メリットがあればコメントで教えてください!mm)
SSLアクセラレータを導入するメリット
(1) Webサーバのオーバヘッドを削減
通信を暗号化・復号する処理は、Webサーバにとって大量のCPUリソースが必要となり、
パフォーマンスの悪化を招く原因となります。
Webサーバでは、基本的に同時に大量のアクセス処理が行われますので、
アクセラレーションの処理に関しては、アプライアンスに肩代わりさせることで、
WebサーバのCPU負荷を削減することができます。
(2) UTMセキュリティ機能の活用化
SSL処理をWebサーバで行うと、通信経路上のUTM(FW/IPS/WAFなど)は暗号化されたパケットの中身を見ることができないため、
十分なセキュリティ機能を発揮できないという問題が生じます。
アプライアンスでSSL通信を終端させることによって、パケットは平文に復号されているため、
Webサーバまでの通信経路でUTMを経由すれば、パケットが区別されセキュリティ機能が活用できる様にできます。
(3) サーバ証明書と秘密鍵を一元管理
本来、個々のWebサーバにて、サーバ証明書の発行や鍵の生成が必要となります。
SSLアクセラレータを導入することによって、アプライアンスのサーバ証明書の発行と、
アプライアンス-クライアント間の暗号化・復号化に使用する鍵の生成のみでよくなるため、
アプライアンスonlyとして一元管理することができます。
まとめ
いかがでしたでしょうか。
SSLアクセラレータの導入の背景としては、やはりWebサーバの負荷削減が大半ですね。
LBやプロキシを導入する機会があれば、アクセラレーション機能の利用も検討してみてください。
最後まで、お読みいただきありがとうございました。
コメント