Cisco Catalyst 6500シリーズ/Cisco 7600シリーズSSLサービスモジュール

ダウンロード

Catalyst 6500シリーズ/Cisco 7600シリーズSSLサービスモジュール

SSLサービスモジュールは、Cisco^® Catalyst^® 6500シリーズおよびCisco 7600シリーズインターネットルータに対応した統合型サービスモジュールです。Secure Sockets Layer（SSL）により、トラフィックの保護に関連するプロセッサ集約型タスクによる負荷を軽減し、Webサイトでサポートされるセキュアな接続の数を増やすと共に、高性能なWebサーバファームの運用上の複雑さを緩和します。

SSLサービスモジュールの主な機能：

・サーバSSLのオフロード ― サーバはクリアテキストトラフィックを高速に処理しながら、SSL関連のタスクをすべて実行することができます。

・スケーラブルなパフォーマンス ― Cisco Catalyst 6500スイッチにSSLモジュールを増設することで、パフォーマンス要件の増大にも簡単に対応できます。

・スティッキ性 ― Content Switching Module（CSM）を用いた統合モードでは、クライアントが新しいセッションIDを要求してもサーバとの関連付けが維持されます。

・認証の最適化 ― 証明書をサーバごとに用意せずにひとつの証明書を用意すればいいためコストが削減されます。

・バックエンドの暗号化 ― SSLモジュールは、モジュールとサーバ間の通信も同様に暗号化することで、エンドツーエンドのセキュリティを提供します。

シャーシごとに最大4枚のSSLサービスモジュールを装着できます。これにより、業界最速のSSLセッションセットアップレートとバルク暗号化スループットを実現し、最大の同時接続数をサポートします。

・モジュールあたり3,000コネクションセットアップ/秒 ― SSLモジュールをフル装備したシャーシでは12,000コネクションセットアップ/秒

・シャーシモジュールあたり300 Mbpsのバルク暗号化スループット ― SSLモジュールをフル装備したシャーシでは1.2 Gbps

・64,000のクライアントを同時接続 ― SSLモジュールをフル装備したシャーシでは256,000接続

図1

SSLサービスモジュールによってすべてのSSL処理の負荷が軽減され、末端のWebサーバやeコマースサーバはより多くのコンテンツ要求およびeトランザクションを処理することができます。これにより、eコマースサイトや暗号化を使用しているセキュアサイトのパフォーマンスが大幅に向上します。

eコマースの規模が拡大を続け、必要なアプリケーションの種類が増えるにつれ、Business-to-Consumer（B2C）およびBusiness-to-Business（B2B）トランザクションにおけるセキュリティが不可欠となってきます。B2Cトランザクションに関して多くのアナリストは、70%以上の消費者がクレジットカード番号の盗難を恐れてオンライン取り引きを敬遠していると推定しています。その結果として、SSLがeコマーストランザクションの安全性を確保するためのデファクトスタンダードになってきています。

企業は、インターネットを利用して業務の効率化と顧客サービスの向上を図り、取り引きを成立させています。また、従来のアプリケーションをWebへ移行し、それらをイントラネットやエクストラネットで使用できるように公開し始めています。そのため、機密情報に対する認証されたアクセスを、高速かつ安全に提供する必要性が高まっています。SSLアクセラレータを使用して、認証や暗号化/復号化処理を実行する企業はますます増えています。

SSLサービスモジュールの主な利点

旧来のクライアント/サーバSSLモデルにおいて、SSL処理はSSL NICカードを通じてサーバ内部に組み込まれていました。この旧モデルには、次のような欠点がありました。

・固定的な接続を確立できず、クライアントが新しいSSL IDを要求するとセッションが失われてしまうため、結果的に収益も失われます。

・証明書をサーバファーム内のサーバごとに購入する必要があるため、不必要にコストがかかります。

・SSLトランザクションの処理能力を拡張するためにWebサーバを増設する必要があるため、コストがかかり、サービスの中断による影響がサーバフォーム全体に広がります。

・WebサーバはSSLセッションの確立時に処理能力を浪費するため、コストが跳ね上がります。

シスコはこれらの欠点を解消するために、統合型SSLサービスモジュールを採用し、次のような利点を提供しています。

費用効果の高いソリューション

SSLサービスモジュールの価格/性能比は、市場に出ているどのSSLアクセラレータよりも優れています。メンテナンスコストは、Catalystシャーシの保守契約に含まれているため、年間のサービス契約費用を節減できます。SSLサービスモジュールを導入すると、Webサーバにおける処理集約型のSSLターミネーションの負荷が軽減されるため、サーバを追加購入する必要がなくなります。また、1つのシャーシに複数のモジュールを装着できるため、ラックスペースを節約できます。これは、十分なラックスペースを確保できない場所で特に重要となります。

サーバSSLのオフロード

SSLサービスモジュールは、WebサーバにおけるSSLターミネーションの負荷を軽減させ、それに応じてWebサーバのパフォーマンスを向上させます。Cisco CSMなどのコンテントスイッチを使用して、SSLモジュール間で標準的なロードバランシングアルゴリズムに基づくSSLトラフィックのロードバランスを実行し、SSLセッションIDによるSSLモジュールとのスティッキ性を維持することで、パフォーマンスはさらに向上します。

スケーラビリティ性能

統合型コンテントスイッチングモジュールまたは外部のロードバランシングアプライアンスは、複数のCisco SSLサービスモジュール間で安全なHTTPSコンテンツ要求のロードバランスを実行することができます。これにより、SSLターミネーションのパフォーマンスを最大限に引き出し、SSLのスケーラビリティも提供することができます。また、SSLモジュールによって、WebサーバにおけるSSL処理の負荷が軽減されるため、Webサーバではユーザの体感レベルを低下させることなく、ピーク時のトラフィック要求を処理できます。SSLはスイッチで集中的に処理されるため、モジュール増設により処理を中断することなく、容易に処理能力を拡張することができます。

固定的な接続

SSLサービスモジュールとCSMを統合モードで使用すると、クライアントブラウザがSSL IDを再ネゴシエートするときや、送信元IPアドレスが変更されたときにも（無線トラフィックフローや、トラフィックがゲートウェイを通過する際に発生することが多い）、クライアントとSSLデバイス間で固定的にセッションが維持されます。また、SSLサービスモジュールとCSMは、クライアントとWebサーバの関連付けを固定的に維持するためにクッキー（Cookie）も使用します。これによって、ユーザの全体的な体感レベルを最適化します。さらに、SSLモジュールが冗長構成で装備されている場合は、ハードウェア障害が発生した場合にもユーザセッションの状態が維持されます。

管理と設定の容易性

さらに、SSLサービスモジュールはSSL処理をインフラストラクチャ内部に統合し、Cisco Catalyst 6500スイッチのすべてのポートがSSLポートとして動作できるようにします。また、SSLサービスモジュールは、Webサーバ宛てのユーザデータを暗号化すると共に、NetscapeやVeriSignなどの幅広い証明書を使用してプライバシー、機密性、および認証を提供することで、セキュリティ管理を簡潔化します。

ハイアベイラビリティ

Cisco Catalyst 6500構成にSSLモジュールとCSMを装着すると、障害が発生してもSSLトラフィックが維持されます。SSLモジュールのフェールオーバー機能とコンテントスイッチングモジュールを組み合わせることで、耐障害性に優れたソリューションを実現できます。

認証コストの削減

SSL証明書は、複数のWebサーバの「フロントエンド」となるCisco SSLモジュールに常駐するため、証明書管理を集中化し、サーバごとに証明書を購入および管理する必要がなく、ライセンスコストを削減することができます。

表1 SSLサーバモジュールの機能

主な機能	利点
システムの性能とパフォーマンス	・1モジュールにつき3,000コネクションセットアップ/秒 ― 1シャーシにつき12,000コネクションセットアップ/秒・64,000の同時クライアント接続 ― 1シャーシにつき256,000接続・300 Mbpsのバルク暗号化レート ― 1シャーシにつき1.2Gbps ・256の鍵ペア・256の証明書・512ビット、768ビット、1,024ビット、1,536ビット、および2,048ビット・256台のプロキシサーバ






ハッシュアルゴリズム	・Message Digest 5（MD5）・SHA1
ハッシュアルゴリズム	・Message Digest 5（MD5）・SHA1
暗号スイート	・SSL_RSA_WITH_RC4_128_MD5 ・SSL_RSA_WITH_RC4_128_SHA ・SSL_RSA_WITH_DES_CSC_SHA ・SSL_RSA_WITH_3DES_EDE_CBC_SHA



ハンドシェイクプロトコル	・SSL 3.0 ・SSL 3.1/TLS 1.0 ・SSL 2.0（Client Hello）・セッション再利用・セッション再ネゴシエーション




アルゴリズム	・ARC4 ・DES ・3DES ・RSA



公開鍵インフラストラクチャ	・RSA鍵ペアの生成・サーバ証明書の登録・サーバ鍵および証明書のインポート・サーバ鍵および証明書のエクスポート・鍵および証明書の更新・サーバ証明書の自動登録





Network Address Translation（NAT;ネットワークアドレス変換）	・クライアントNAT ・サーバNAT/Port Address Translation（PAT;ポートアドレス変換）
Network Address Translation（NAT;ネットワークアドレス変換）	・クライアントNAT ・サーバNAT/Port Address Translation（PAT;ポートアドレス変換）
スケーラビリティ	・1つのボックスに複数のSSLモジュールを装着可能
ハイアベイラビリティ	・CSMにより、複数のSSLモジュール間でトラフィックのロードバランスを実行可能
サーバロードバランシングとの統合	・Cisco Catalyst 6500スイッチ内部でCSMと統合
モニタリング	・SSLセッションに関する各種統計情報の取得とモニタリングが可能
ホットスワップ可能	・Online Insertion and Removal（OIR;ホットスワップ）対応
安全な鍵保管	・プライベートNVRAM（不揮発生RAM）ストレージに鍵を保管
スタンドアロンモード	・外部のサーバロードバランシングデバイスと共にスタンドアロン構成で使用可能
SSLセッションIDによるスティッキ性	・SSLモジュールがセッションのスティッキ性を維持
バックエンドの暗号化	この機能により、SSLサービスモジュールをSSLクライアントとして設定できます。SSLクライアント機能に対応するSSLプロキシサービスを設定する場合、SSLサービスモジュールはサーバとの間でSSLセッションをネゴシエートし、そのセッションを使用して、クライアント接続から受信したクリアテキストデータを暗号化します。
クライアント認証	この機能を使用して、SSLサービスモジュールがSSLサーバとして動作するときに、クライアント証明書を要求および認証するためのオプションを設定できます。SSLサービスモジュールは、SSLクライアントとして動作している場合には、サーバ証明書を自動的に認証します。この機能は、一連の信頼できる認証局と、各プロキシサービスの有効範囲を指定します。
クライアント証明書	この機能により、クライアントタイプのプロキシサービスに対応した証明書を設定できます。SSLサービスモジュールは、SSLクライアントとして動作し、SSLサーバから要求があった場合には、認証用としてこの証明書を送信します。この証明書の発行元は、サーバにある許容可能な認証局リストに登録されているものです。
SSL 2.0フォワーディング	この機能を使って、SSLサービスモジュールがSSL v2接続のトラフィックを別のサーバへ転送するように設定できます。 SSLv2サーバIPアドレスを設定すると、SSLサービスモジュールはすべてのSSLv2接続のトラフィックをそのサーバへ透過的に転送できます。
Certificate Revocation List（CRL;証明書失効リスト）	CRLは、信用性のなくなった証明書を明示した、タイムスタンプ付きのリストです。関与しているピアデバイスは証明書を使用する際に、証明書の署名と妥当性をチェックするだけでなく、証明書のシリアル番号がそのCRLに含まれていないこともチェックします。
HSRPベースの冗長性	SSLサービスモジュールがスタンドアロン構成で使用される場合には（ポリシーベースのルーティングを使用）、HSRPを設定して冗長性を提供できます。
URLリライト	URL書き換えルールに従いhttp://ドメインをhttps://ドメインに書き換えることで、安全でないHTTP URLへユーザをリダイレクトしてしまう問題を解決します。URL書き換え機能を設定すると、Webサーバへのすべてのクライアント接続がSSL接続となり、HTTPSコンテンツのクライアントへの安全な配信が保証されます。
ヘッダーインサート	HTTPヘッダーに挿入された情報を必要とするサーバをサポートします。
パスワードリカバリー	認証を使用せずに、パスワード回復スクリプトを使用して、SSLサービスモジュールへアクセスすることができます。
ワイルドカードプロキシ	ワイルドカードSSLプロキシは、ネットワーク内に多数のサーバが存在する場合に、柔軟なネットワークコンフィギュレーションインターフェイスを提供します。
TACACS/TACACS+/RADIUS	Authentication, Authorization and Accounting（AAA;認証、許可、アカウンティング）用の外部サーバを設定できます。
SNMP（簡易ネットワーク管理プロトコル） MIB（管理情報ベース）	SNMPを使用して各種MIBをサポートします。
証明書のセキュリティ属性に基づくAccess Control List（ACL;アクセス制御リスト）	証明書の属性値に基づいてフィルタするACLを設定できます。
証明書の期限切れ警告	証明書の期限切れ警告を有効にすると、SSLサービスモジュールは30分ごとに期限切れ情報をチェックします。SSLサービスモジュールは、証明書が期限切れになったか、指定した時間が経過すると、警告メッセージを記録し、SNMPトラップを送信します。

設定モードとトラフィックフロー

Cisco SSLサービスモジュールの基本設定には、次の2通りがあります。

・統合モード ― CSMとの統合

・スタンドアロンモード ― 外部のサーバロードバランサを使用

統合モードでの設定

図2に示すとおり、SSLモジュールをCSMと統合すると、トラフィックフローが暗号化され、クライアントとサーバ間の接続のロードバランスが実行されます。

図2

統合モードでのSSLモジュールの設定

クライアントは、標準SSLポートであるポート443上で暗号化トラフィックを送信します。CSMはポート443をリスニングし、SSLモジュールの内部「サーバファーム」に対して暗号化トラフィックのロードバランスを実行します。選択されたSSLサービスモジュールはトラフィックを復号化し、それにSSLセッションIDを付加して、CSM上のVersatile Interface Processor（VIP; 多用途インターフェイスプロセッサ）に対してクリアテキスト接続を開きます。そして、「復号化SSLトラフィック」を受信するように設定されたポート（たとえば、ポート81）にトラフィックを送信します。

CSMは、復号化されたトラフィックを受信すると、ロードバランシングアルゴリズムに基づいてWebサーバを選択し、トラフィックを転送します。CSMは、Webサーバからリターントラフィックを受信すると、そのトラフィックを、接続されたSSLサービスモジュールに送信します。

SSLモジュールは、非暗号化トラフィックを受信するとそれを暗号化し、ポート443からCSMへ戻します。CSMは暗号化トラフィックを受信すると、それをクライアントへ送信します。

注：

選択されたSSLモジュールとクライアントは、そのフローを構成するすべてのTCP接続についてSSLセッションIDを使用します。また、CSMも同じSSLセッションIDの一部を使用して、選択されたSSLサービスモジュールとクライアントとの関連付けを維持します。クライアントがSSLサービスモジュールに新たなSSLセッションIDを要求した場合でも、CSMはクライアントと選択されたSSLサービスオジュールの関連付けを維持できます。

CSSまたはその他のサーバロードバランサを使用したスタンドアロンモード

図3に示すスタンドアロンモードでは、SSLサービスモジュールはCisco Catalyst 6500シャーシに装着されていますが、同じシャーシ内にサーバロードバランシング機能は（ハードウェアまたはソフトウェアのいずれも）装備されていません。

図3

SSLモジュールのスタンドアロンモードでの設定

Cisco Catalyst 6500は、IPアドレスとポート番号を関連付けるエントリを含むACLを使用して、トラフィックフローを、クライアントからSSLモジュールへ、およびサーバからSSLモジュールへ振り分けます。クライアントからサーバへの方向では、サーバポート443（SSLポート）へ振り分ける必要があるデータフローを、ACLによって識別します。Cisco Catalyst 6500では、ACLエントリに関連付けられていない通常のデータトラフィックは、最初にSSLモジュールに振り分けられることなく、サーバへ直接送信されます。

スタンドアロンモードのトラフィックフローは、統合モードのフローに類似していますが、次の点が異なります。

・SSLセッションIDのスティッキ機能が使用できない。

・クライアントとサーバは個別のサブネットに属している必要がある。

・サーバのアドレスは、実サーバアドレスと、実サーバのクラスタの仮想アドレスのどちらでも構わない。

・クッキーのスティッキ機能が使用できるかについては、サーバロードバランサの機能によって決まる。

発注情報

製品番号	説明
WS-SVC-SSL-1-K9	SSLサービスモジュール
WS-SVC-SSL-1-K9=	SSLサービスモジュール（スペア）
SC-SVC-SSL-1.1-K9	SSLサービスモジュールソフトウェアリリース1.1
SC-SVC-SSL-1.1-K9=	SSLサービスモジュールソフトウェアリリース1.1（スペア）
SC-SVC-SSL-2.1-K9	SSLサービスモジュールソフトウェアリリース2.1
SC-SVC-SSL-2.1-K9=	SSLサービスモジュールソフトウェアリリース2.1（スペア）

ライセンス

ライセンスは必要ありません。

システム要件

・Supervisor 720またはSupervisor 2/Multilayer Switch Feature Card 2（MSFC2;マルチレイヤスイッチフィーチャカード2）

・ネイティブCisco IOS^®ソフトウェアリリース12.1(13)E以上

・ハイブリッドCatOSソフトウェアリリース7.5(1)以上

・Cisco Catalyst 6500シリーズスイッチまたはCisco 7600シリーズインターネットルータの1スロットを使用

・1つのシャーシに最大4枚のSSLモジュールを装着可能

環境条件

動作温度：0°～40°C（32°～104°F）

保管温度：-40°～75°C（-40°～167°F）

相対湿度：10～90%、結露しないこと

動作高度：-60～4,000 m

適合規格

安全性

UL 1950

CSA C22.2 No. 950-95

EN60950

EN60825-1

TS001

CEマーキング

IEC 60950

AS/NZS3260

電磁波干渉

FCC Part 15 Class A

ICES-003 Class A

VCCI Class B

EN55022 Class B

CISPR22 Class B

CEマーキング

AS/NZS3548 Class B

NEBS

SR-3580 ― NEBS：基準レベル（レベル3準拠）

GR-63-CORE ― NEBS：物理的保護

GR-1089-CORE ― NEBS：EMCおよび安全性

ETSI

ETS-300386-2スイッチング機器

テレコミュニケーション

ITU-T G.610

ITU-T G.703

ITU-T G.707

ITU-T G.783 Section 9～10

ITU-T G.784

ITU-T G.803

ITU-T G.813

ITU-T G.825

ITU-T G.826

ITU-T G.841

ITU-T G.957 Table 3

ITU-T G.958

ITU-T I.361

ITU-T I.363

ITU I.432

ITU-T Q.2110

ITU-T Q.2130

ITU-T Q.2140

ITU-T Q.2931

ITU-T O.151

ITU-T O.171

ETSI ETS 300 417-1-1

TAS SC BISDN (1998)

ACA TS 026 (1997)

BABT /TC/139 (Draft 1e)

Hierarchical Navigation

Cisco Catalyst 6500シリーズ Secure Socket Layer (SSL) サービスモジュール