WebSphere DataPower製品のご紹介 WebSphere DataPower 日本アイ・ビー・エム株式会社 ソフトウェア事業
by user
Comments
Transcript
WebSphere DataPower製品のご紹介 WebSphere DataPower 日本アイ・ビー・エム株式会社 ソフトウェア事業
® WebSphere DataPower WebSphere DataPower製品のご紹介 日本アイ・ビー・エム株式会社 ソフトウェア事業 WebSphereクライアントテクニカルプロフェッショナル © 2010 IBM Corporation WebSphere DataPower IBMの提供するESB製品 •異なるお客様要件に対して最適化 •他のESBとの相互運用性 WebSphere Message Broker WebSphere ESB WebSphere Application Serverベースの統合SOA環境 異機種間での広範な接続インター フェースと変換を実現 ・ WebSphere MQベースのESBソリューション ・WAS NDベースのESBソリューション ・ 広範な接続性、データ変換をサポート ・Webサービスとの高い親和性 ・ 既存システムとの連携、WebSphere MQとの高い親和性 ・WASの運用管理方法などを継承 ・ 高スループットが要求される業務に適合 ・ 金融業界での豊富な実績 WebSphere DataPower Integration Appliance シンプルな操作と強固なセキュリティを提供する ハードウェアESB ・SOAアプライアンスによるシンプルな構成 ・高速なXML処理、強固なセキュリティの提供 2 WebSphere DataPower WebSphere DataPower アプライアンスとは SECURE SOA, Web 2.0, B2B,Cloud 環境 をセキュアーに SIMPLIFY インフラの接続をシンプルに ACCELERATE お客様の時間を短縮 GOVERN ITアーキテクチャーを集中管理 WebSphere DataPowerアプライアンスは、お客様のROIの増加、 TCO削減を手助けします。DataPowerは優れたパフォーマンスと強 固なセキュリティーを兼ね備えた特定機能に特化した製品です。 3 WebSphere DataPower アプライアンスによりクリティカルな機能をシンプルにし集中化 複数のアプリケーションのコード変更なしで、ルーティング、変換処理を実現し、 セキュリティーを高めることも可能 低コストで複雑処理を実現 DataPowerアプライアンス導入前 DataPowerアプライアンス導入後 認証 変換 暗号/復号 妥当性検証 ルーティング 個々にアプリケーション を更新 即座に全てのアプリケーションをセキュアーに し、ルーティング、変換が可能に アプリケーションへの変更は不要 4 WebSphere DataPower DataPowerの革新 DGXT 最適なソフトウェア インタープリター 1999 XA35 2000 XSLJIT XS40 2001 最適化された ソフトウェア コンパイラー XG3 最適化された ハードウェア アクセラレーション XI50 2002 2003 XG4 Gigabit/秒の HWソリューション による買収 ツールのサポート (WebSphere Transformation Extender) 2004 2005 HW Model 7993 XB60 2006 XM70 2007 2008 ITCAM for SOAのサポート HW Model 9235 2009 AOオプション機能 セルフバランシング インテリジェントな負荷分散 2010 5 WebSphere DataPower WebSphere DataPower アプライアンス製品ラインナップ XM70 マイクロ秒のレイテンシーでエクストリーム なデータを処理 拡張メッセージングプロトコル変換 拡張QoSとパフォーマンス XB60 圧倒的なB2Bパフォーマンス B2Bメッセージ(AS1, AS2, AS3)をセ キュアーに 取引パートナープロファイル管理 B2Bトランザクションビューワー XI50 ハードウェア ESB XS40 ワイヤースピードで変換処理 Webサービスセキュリティー “動的ルーティング、インテリジェンスな負荷 分散 豊富な認証、認可 ポリシー管理の集中化 6 WebSphere DataPower WebSphere DataPower アプライアンスのユースケース Internet DMZ 1 セキュアゲートウェイ (Webサービス, Webアプリケーション) 2 インテリジェントな負荷分散 Consumer Trusted Domain 4 社内セキュリティー 5 Enterprise Service Bus 6 SOA ガバナンスの実行 7 Web サービス管理 8 ホストとの統合 System z Application Consumer 3 B2B パートナーゲートウェ 9 低レイテンシーゲート イ ウェイ Application 7 WebSphere DataPower XS40/XI50サポート機能 XI50はXS40の機能を包含しています。 XI50 インテグレーション・ アプライアンス XS40 XMLセキュリティー・ ゲートウェイ XML処理のオフロード WS-Securityのサポート XSL変換 パーシング スキーマによる妥当性検証 圧縮 キャッシュ 基本機能のサポート SSL アクセラレーター 後段サーバーへのロードバ ランシング ロギング(syslogなど) SNMP プロトコル変換のサポート WebSphere MQ 電子署名 WebSphere JMS アクセス制御 XMLレベルでのフィルタリング FTP,SFTP(SSH),FTPS (SSL) XDoS攻撃対応、X threatへの対応 IMS connect 認証サーバーとの連携 LDAP、Tivoli Access Manager、Netgrity、 SAMLなど サービス監視機能 レジストリーのサポート WSRR、UDDIレジストリー 監視ツール XML暗号化 サービスレベルモニタリング機能を実装 サポートプロトコル HTTP,HTTPS,NFS XML、Webサービスのセキュア化 Tibco Non-XML変換をサポート ODBC接続サポート Oracle、Oracle RAC、 DB2、SQL Server 、 Sybase Webサービスの監視 ITCAM for SOA v6.1 8 WebSphere DataPower アプライアンスとしての処理パフォーマンス SOAアプライアンス(専用ハードウェア)としての高速XML処理 負荷のかかるセキュリティー関連の処理も高速実施 基本XML処理 XMLセキュリティ処理 1.2 1 0.8 0.6 ` 0.4 Time Time 1 0.8 0.6 0.4 約1/10 0.2 約1/10 0.2 0 Software WebSphere DataPower 0 Software Software with アクセラレータ WebSphere DataPower XML処理はソフトウェアと比較して約1/10に! *USデモンストレーション環境での概算. 実際の処理時間の差異はXML構造や処理内容に依存します。 9 WebSphere DataPower WebSphere DataPowerの特長 10 WebSphere DataPower 構成ベースなので迅速に構築可能 コーディングなしでセキュリティー標準を実装 メッセージ処理は直感的なパイプラインを使用 環境間でのインポート/エクスポート 構成 11 WebSphere DataPower コンテンツベースルーティングにより効果的に既存資産を活用 どんなメッセージでも動的にルーティング IPアドレス、リクエストURL、プロトコルヘッダーなどのような属性 SOAPヘッダー、XMLのようなメッセージ内のデータ ルーティング情報の保管先 DataPower上のXMLファイル Webサーバー、DB WebSphere Service Registry & Repositoryにも問い合わせ可能 ルーティングポリシーの変更 に停止時間は不要 シンプルなルーティング変更で トランスポートプロトコルも変更可能 12 WebSphere DataPower サービスレベル管理とロードバランスによりトラフィックを制限 アプリケーションを過負荷から守るためサービスレベル管理(SLM) を使用 リクエスト数、エラー数、ユーザー名、XMLコンテンツ、接続数などの頻度 カスタムの閾値に到達した際のアクション Notify (ロギング) Shape (遅延させる) Throttle (拒否) 複数デバイスにまたがったSLMも実行可能 SLMデータを複数デバイスで共有 SLMとルーティングの併用し、インテリジェントなフェイルオーバーを決定 閾値に達した場合、代わりのサーバーを使用 Logに通知 リクエスト CPU アプリケーションサーバー shape リクエスト拒否 13 WebSphere DataPower Webサービスを集中管理 WebSphere Service Registry & Repository (WSRR) を使用し、Webサービ スをストアし、公開し、統制 WSRRサブスクリプションを経由し、DataPowerに自動的にサービスを公開 WS-PolicyAttachmentを通し、 WS-Policyステートメントを含む 特定のバージョン数ごとにWSDLを取得可能 WSRRから実行ルーティング情報を動的に取得 SOAガバナンス ソリューションを実行 WSRRで、Webサービスの ライフサイクルポリシー管理 DataPowerで、Webサービスの ランタイムポリシーを実行 WSRR 14 WebSphere DataPower DataPowerトラフィックをモニター 既存のモニターインフラとDataPowerは簡単に統合可能 SNMPを通して、広範囲の状態情報を取得 syslogを通して、詳細のトランザクションログ情報を取得 さらなる全体解析のため、SOAモニターツールを利用 IBM Tivoli Composite Application Manager (ITCAM) for SOA アプリケーション要件に適合する拡張ログ/監査ソリューションを作成 同期・非同期ロギング 柔軟なログサブスクリプション によりモニターをカスタマイズ 複数ターゲットに送信 複数フォーマットで送信 SNMP syslog syslog ITCAM SOA Other 15 WebSphere DataPower 容易なプロトコル変換 設定のみでプロトコル変換を容易に実現 複数通信プロトコルのサポートとプロトコル変換 N対Nの変換が可能 複数フロントエンド・ハンドラーの定義と複数宛先へのディスパッチ フロントサイド HTTP HTTPS プ 変換 ル コ ロト + HTTP HTTPS Stateless RAW XML Stateless RAW XML File(NFS/FTP/SFTP) FTP MQ 処理ポリシー バックサイド MQ TIBCO EMS TIBCO EMS WAS JMS WAS JMS IMS Connect IMS Connect Stateful RAW XML Stateful RAW XML 16 WebSphere DataPower データフォーマット変換 プロトコル変換機能との併用により、レガシー⇔Webサービス連携などが容易に可能 日本の文字コードもサポート済み DataGlueTMエンジン:非XMLメッセージ変換のランタイム WebSphere DataPower XI50に標準搭載 XML以外のフォーマット(Binaryなど)へ変換する機能 WebSphere Transformation Extender Design Studio(別ライセンス)にてマップ用ファイルを作成 GUI上でドラッグ&ドロップでInとOutのファイルをマッピング(コーディング不要) メッセージBの フォーマット表記 (アウトプット) メッセージAの フォーマット表記 (インプット) インプット/アウトプットファイルのフォーマット を指定 (Corba IDL, COBOLコピー句,binary,CSV, etc.) WTX Design Studio メッセージ A ホスト環境 DataGlue™ エンジン ツールで作成した マップファイルを WebSphere DataPowerで指定 メッセージ B オープン環境 17 WebSphere DataPower WebSphere DataPowerの構成 18 WebSphere DataPower WebSphere DataPowerの構成 WebSphere DataPowerの構成 Applicationドメイン(Domain)単位で構成情報を保持 ユーザー/グループはドメインごとにアクセス制御可能 Applicationドメイン ドメイン単位で 様々な構成情報を保持 オブジェクトA オブジェクトB オブジェクトC ユーザーA Applicationドメイン オブジェクトA オブジェクトB オブジェクトC 特定のドメインに対してログインし、 構成管理を行う グループB 19 WebSphere DataPower 構成管理 WebGUI コントロールパネル サービスオブジェクトの新規作成ウィザードの提供 メンテナンスメニューの提供 証明書/鍵管理、リソース管理、ログ管理、デバッグ機能、サービスステータス確認 プライマリー・サービス マルチプロトコルゲートウェイ Webサービスプロキシー XMLファイアウォール XSLアクセラレーター 個別オブジェクト構成 その他管理メニュー ログ確認 デバッグ機能 ファイル管理 システム コントロール モニタリング ステータス確認 構成のインポート/ エクスポート 証明書/鍵管理 20 WebSphere DataPower プライマリー・サービス プライマリー・サービス フロント(クライアント)サイドとバックエンドを結ぶ基本構成 フロントサイドとバックエンドのエンドポイント情報を設定 目的に応じてプライマリー・サービスを選択 XMLファイアウォール :XMLメッセージレベルでのファイアウォール Webサービスプロキシー :Webサービスのプロキシー マルチプロトコルゲートウェイ :複数トランスポートプロトコルのゲートウェイ XSLアクセラレーター :XML処理のオフロード Webアプリケーションファイアウォール:HTTP(S)レベルのファイアウォール メッセージに対する処理はサービスの処理ポリシーとして定義 全てのプライマリー・サービスは処理ポリシーを必須オブジェクトとして保持 サービスを生成し、ドキュメント処理ポリシー、ルール、アクションを作成 各プライマリーサービスの作成ウィザードが提供される フロントサイドの設定 サービス・ リクエスター プロトコル別パラメータ メッセージタイプ ListenするIP:Port設定 SSL 復号化 Decompress処理 etc・・ 処理ポリシー メッセージに対する処理を ステップバイステップの ルールとして定義 バックエンドの設定 プロトコル別パラメータ メッセージタイプ エンドポイント設定 SSL 暗号化 Compress設定 etc・・ サービス・ プロバイダー 21 WebSphere DataPower 処理ポリシー メッセージに対する処理は処理ポリシーとして定義 複数のルール(マッチングルール+処理ルール)の集合 リクエスト/レスポンス/エラーごとに優先度に従い順次評価・実行 プライマリー・サービス フロントサイドの処理 サービス・ リクエスター 処理ポリシー バックエンドの処理 サービス・ プロバイダー 処理ルール マッチング ルール 複数の処理ルール が順番に評価・実行 優先度 処理フローの方向 22 WebSphere DataPower ルール マッチングルール 処理ルールの実施有無を決定する条件 HTTPヘッダー/URL/XPath/エラーコード 処理ルール メッセージに対する処理をステップバイステップで構成 リクエストフロー/リプライフロー/処理エラー発生時フローの別に定義 1つ以上のアクション(処理)から構成される ドラッグアンドドロップでアクション(処理)を処理ルールに追加 アクションのパレット マッチング ルール ゴミ箱 処理の順番は必ず左→右で定義 レスポンスフロー 両方向 リクエストフロー エラーフロー 処理ルール 処理フローの方向 23 WebSphere DataPower 使用可能アクション -1Transform XSLTによるメッセージ変換 Validate URLスキーマ、スキーマ属性、Rewrite属性、WSDL URLによる妥当性検証 Filter メッセージのフィルター処理(xslファイルを指定) Route XSLT、Xpath、変数による動的ルーティング処理 Fetch 外部リソースを取得 Header Rewrite URL、ヘッダーの書き換え Call 別のルールを呼び出し Conditional Xpathで条件を指定、指定した別のアクションを実行 For-each ループ条件(Xpathか回数)を指定し、ループさせるアクションを指定 Convert Query Params to XML HTTPからXMLへの変換処理 Crypto Binary バイナリーに対するPKCSによるセキュリティー処理(署名、暗号、復号、署名検証) Event-sink 非同期アクションの完了を待ち、非同期アクションに含まれるアウトプットコンテキストを他のア クションで利用可能にする Extract Using XPath XpathによりXMLを抽出し、変数にセット Log 指定した宛先にログメッセージを送信 On error エラーをキャッチし、処理継続か中断を決定。中断を選択するとエラールールに処理が流れる Set Variable 値を変数としてセット Transform Binary Non-XMLへの変換(WTX開発ツールで生成したファイルを指定) Results メッセージを後段サーバーへ送信、複数サーバーへの送信も可能 Results Asynchronous 非同期でコンテキストを宛先に送信。fetch, log, routeアクションと一緒に使う必要がある 24 WebSphere DataPower 使用可能アクション –2Encrypt WS-Security,XMLによる暗号処理 Decrypt WS-Security,XMLによる復号処理 Sign XMLメッセージ署名を付加 Verify XMLメッセージ署名検証 AAA AAA(認証・認可・監査)フレームワークによる処理(LDAPやTAMなど認証サーバーと連携) Anti-Virus ICAPサーバーを指定し、XMLウィルスの検知 SQL ODBCによるDBアクセス。SQL文の発行が可能 Strip Attachments アタッチメント全てあるいはMIME/DIMEアタッチメントを除去 Method Rewrite HTTPメソッドの操作 MQ Header MQMDヘッダーの変更、挿入が可能 SLM WebSphere DataPowerを通過するメッセージのカウント。設定した閾値を越えるとアクション (ログ、キューイング、拒否)を実行 Checkpoint Event WS-Management エージェントおよびSLMの情報取得 チェックポイントイベントは認証、リクエスト、レスポンス、フォルトから選択 25 WebSphere DataPower アクションの非同期処理 各アクションで非同期(Asynchronous)を指定可能 非同期アクションの終了を待たずに、ルール内の次のアクションの処理が 可能 ログアクションなどアクションの処理結果を待つ必要がない場合に有効 複数のアクション実行によるネットワークI/Oおよび遅延の削減 26 WebSphere DataPower その他管理機能 Probe アクション毎のメッ セージの確認が 可能 デバッグ機能:Probe機能 メッセージ処理をアクション毎に確認可 能 ロギング 外部書き出し(syslog,SNMPサポート) debugモード、errorモードなどログレベ ルを選択可能 SMTPによる通知が可能 製品購入時、HDDオプションをつけるこ とにより、HDDにログを保管することが 可能 WebSphere DataPowerの監視ツール 通過するメッセー ジを表示 Log SNMP ITCAM for SOA * * IBM Tivoli Composite Application Manager for SOA 27 WebSphere DataPower WebSphere DataPowerによる セキュリティー対策 28 WebSphere DataPower システム連携におけるセキュリティー課題 DMZ 上の Web サーバーなどを経由する構成 IP Firewallでは、XML DoS攻撃などの脅威に対しては脆弱 Web サーバーでは認証・認可を行わないため(行わない場合)、様々な不正なメッセー ジを含む、全てのメッセージがプロバイダー用のノードまで到達する SSLレベルの認証・復号以外の、全ての負荷がプロバイダー用のノードに集中する al l Fi re w Fi re w サービス プロバイダー IP リクエスター Webサーバー IP 正当な XML/SOAP Secured DMZ al l Internet 不正な XML/SOAP XML 特有な攻撃 SSL認証 SSL復号 HTTPレベルの検証 認証・認可 XML復号 XML署名検証 スキーマ検証 サービスの処理 29 WebSphere DataPower WebSphere DataPowerによるセキュリティー対策概要 トランスポートレベルとメッセージレベルのセキュリティーを提供 広範囲なセキュリティー機能を提供 暗号・復号 SSLによる暗号・復号 WS-Security/XML暗号・復号 署名・署名検証 XML署名・署名検証 認証・認可・監査 SSLクライアント認証 メッセージに含まれるユーザー情報・認証情報による認証・認可 監査ログの取得 不正XMLへの防御 XML脅威への防御 スキーマ検証 GUIベースでシンプルに設定可能 ウィザードに従って、必要な設定項目のみを表示 柔軟なセキュリティー設定も可能 30 WebSphere DataPower WebSphere DataPower を使用した構成 DMZ 上に セキュリティー・ゲートウェイとして設置し、認証・認可および XML の検 証を行う アプリケーション側でセキュリティーを意識する必要が無く、複数プロバイダーに対して 設定する必要が無い WebSphere DataPowerで認証・認可を行うことにより、アクセス権のないメッセージをプ ロバイダーに到達させない メッセージレベルの復号や署名の検証の負荷を、プロバイダーのノードからオフロード 不正なメッセージを検知、XML threat, XML DoS攻撃の防御 al l Fi re w WebSphere DataPower セキュリティー・ゲートウェイ サービス プロバイダー IP リクエスター Fi re w 正当な XML/SOAP Secured DMZ al l Internet IP 不正な XML/SOAP SSL復号 XML復号 XML署名検証 XML 特有な攻撃 認証・認可 不正XML の検証 サービスの処理 31 WebSphere DataPower 柔軟なAAA (認証、認可、監査) ポリシー HTTPヘッダー WS-Securityトークン WS-SecureConversation WS-Trust Kerberos X.509 SAMLアサーション IPアドレス LTPAトークン カスタム IDの 抽出 LDAP System/z NSS (RACF, SAF) Tivoli Access Manager Kerberos WS-Trust Netegrity SiteMinder RADIUS SAML LTPA 署名検証 カスタム 認証 AAA IDの マップ 入力 メッセージ LDAP ActiveDirectory System/z NSS Tivoli Access Manager SAML XACML カスタム 認可 リソースの 抽出 WS-Securityの付加 z/OS ICRXトークンの生成 Kerberosの生成 SAMLの生成 LTPAの生成 Tivoli Federated Identityに マップ Audit & Post-Process 出力 メッセージ リソースの マップ URL SOAPオペレーション HTTPオペレーション カスタム 外部アクセス制御サーバー/DataPower上のID管理ストア 32 WebSphere DataPower WebSphere DataPowerによるXML脅威への防御 XML脅威への防御機能 Single Message XML Denial of Service (XDoS) Protection 悪意のあるXMLメッセージから防御 Multiple Message XML Denial of Service (MMXDoS) Protection 大量のXMLリクエストにより負荷を増大させる攻撃への防御 SQL Injection Protection Protocol Threat Protection サービスで使用するメッセージタイプ(SOAP/XML)を検証 XML Virus (X-Virus) Protection Attachmentのあるメッセージに対する制御 Dictionary Attack Protection パスワードハッキングなどの防御 33 WebSphere DataPower WebSphere DataPowerデバイスセキュリティー 脆弱性を最小限に抑えたWebSphere DataPowerデバイス ハードディスク、USB、CD-ROMをもたない 製品オーダー時にログ用のハードディスクオプションを選択可能 ハードディスクオプションを付けない場合はコンパクトフラッシュ ファームウェアは署名・暗号化 ソフトウェアの導入は不可 全ての設定がデフォルトOFF Hardwareには秘密鍵、ログを保管 タンパー・プルーフ・デバイス 解体等の操作を行うと、格納されたデータが消去されるため、秘密鍵などを不正に取り出すこ とが不可能 管理者 構成情報 ファームウェア WebGUI、SSH接続などで 構成管理 XML Acceleration Crypto Acceleration Hardware 34 WebSphere DataPower WebSphere DataPowerの配置と負荷分散 35 WebSphere DataPower WebSphere DataPowerの基本構成 リクエスター(クライアント) ロードバランサー (Active-Standby) DataPower (Active-Active) DataPowerから生死確認 ヘルスチェック DataPowerの生死確認 Application Optimizationオプションの付加によりDataPowerの前段の負荷分散装置が不要に DataPower (Active-Active) DataPowerから生死確認 ヘルスチェック 36 WebSphere DataPower Application Optimization(AO)オプション 新規オプション機能(有償) 9235/ 9004モデル XI50 、XS40モデルに実装可能 静的な重みに基づくリクエストの負荷分散 閾値に基づくフロントサイドリクエストのSLA管理 DataPowerのバックエン ドにルーティングと負荷 分散を実行 AOオプションの二つの機能 セルフバランシング 2台以上のDataPowerで自身に負荷分散が可能で す。それにより負荷分散装置をDataPowerの前段 に配置する必要がなくなります。 インテリジェントな負荷分散 WebSphere NDやnon-WAS環境において負荷分 散機能を提供します。 クライアント インバウンドリクエスト をセルフバランシング 37 WAS NDのセルに問い合わせ、ロードバランサーグループ を動的に作成 WAS NDセルから負荷分散を決定する重みを取得 WAS NDメンバーとのセッションアフィニティーをサポート WAS以外のアプリケーションサーバーでもセッションアフィニ ティーをサポート 37 WebSphere DataPower Application Optimization – セルフバランシング 複数デバイスで定義したプール内でリクエストを分散 DataPowerの前段に負荷 分散装置は必要ない クライアントには仮想IPを 公開 同じ仮想IPを定義した DataPowerはグループの 他のメンバーにトラフィック を分散 フェイルオーバーも可能 38 WebSphere DataPower Application Optimization – インテリジェントな負荷分散 WebSphere Application Server環境では… WAS ND,VEのサーバーインスタンスのワークロード管理を利用 効果的にサーバーリソースを利用 リアルタイムのトラフィック条件によって動的に構成をアップデート WASとDataPowerのアーキテクチャーフレームワークを使用 ODCInfo アプリケーション (WebSphereセル内のDeployment Manager 上で稼動)を使用 DataPowerは定期的にWLM情報を取得 DataPowerのLoad Balancerオブジェクトでメンバーと重みをアップデート 39 WebSphere DataPower Application Optimization – インテリジェントな負荷分散 Cookieベースのセッションアフィニティー 効果的なセッションハンドリング 同一セッション内で全トランザクションを同じバックエンドサーバーに転送 DataPowerはどのバックエンド環境でも各種のアフィニティーモードを提供 Passive (WASのみ), Active-Conditional, Active IDテーブルを区分する更新によりフェイルオーバー 40 WebSphere DataPower 後段サーバーへの負荷分散機能 WebSphere DataPowerはロードバランス機能をもつため、WebSphere DataPowerの後段に 負荷分散装置は不要 ロードバランシング機能 WebSphere DataPowerの機能でサービスのロードバランシングが可能 first-alive:プライマリーサーバーがダウンした場合のみバックアップサーバーへ割り振り hash:クライアントIPによるアフィニティ least-connection:コネクションが最も少ないサーバーへの割り振り Weighted Least Connections:重み付けleast-connection round-robin:ラウンドロビン weighted-round-robin:重み付けラウンドロビン ヘルスチェック機能 サービスのレベルでの生死確認が可能 HTTP GETもしくはSOAPリクエストでの定期チェック – XPathを用いてレスポンスを走査 – ダウンと検知したサーバーにはリクエストを転送しない 41 WebSphere DataPower WebSphere DataPower ハードウェア・アプライアンスによるシンプルで高速なESB基盤 早期に構築するESB MQなどのプロトコル変換、データ変換を行うことでレガシーとの連携が可能 HTTP,MQ,WebSphereJMS,FTP,Tibco,IMSをサポート ODBC接続によるDB連携 WebSphere DataPowerから始めて、将来BPELエンジンを使用した本格的SOA基盤構築 サービスレベルモニタリング機能によるリクエストの監視 簡単にシステムを機能アップ GUIによる簡単な構成設定 面倒なWS-Securityも簡単に設定 アプリケーションの改変なしにレガシーと連携 アプリケーションサーバーの負荷を軽減可能 専用デバイスによりXMLやSSL処理を効率化 負荷のかかるセキュリティー処理、XML処理をオフロード よりセキュアなシステムに より安全な企業間・企業内連携を可能に XML特有の攻撃に対する防御機能 Webサービスのセキュリティレベルを容易にアップ 42 WebSphere DataPower 事例紹介 43 WebSphere DataPower 日本のお客様事例 ソリューション 課題とニーズ Webサービスを企業顧客にインターネット経由で公開するにあたり、 WebSphere DataPower XML Security Gatewayにて要件を全 て満たせることを実証 システムおよびアプリケーションを保護する必要があった Webサービス妥当性検証 全てのリクエストの正当性をチェック(悪意がなくても攻撃になりうる) XML Threat Protectionとサービスレベルモニタリング 企業顧客からのXMLメッセージをチェックし、正当なものだ 機能によるXMLDos攻撃対策 け受け入れる XMLメッセージの中身に応じたルーティング(コンテン XML特有の攻撃パターンをフィルター ツベースルーティング) WebSphere DataPowerをn+1台構成にすることでス リクエストがテスト段階のものか、商用サービスのリクエストかを見分 けて、高速にルーティング ケーラビリティーを確保 WebSphere DataPowerの監視はSNMPを使用 (企業顧客が本サービスを利用する場合、テストフェーズを 経て正常稼動を確認した後、商用サービスへと移行する) 接続先の企業顧客の数が増加しても、動的更新が可能であること テストシステム BEA AquaLogic Serverとシームレスに連携できること 企業顧客 Secured Internet AquaLogic Webサービス Service Bus プロバイダー XML/SOAP XS40 Webサービスゲートウェイ Schema Validate SLM Route 不正 XML/SOAP XML Dos攻撃 XML 脅威防御 Log サーバー SNMP サーバー 商用システム 44 WebSphere DataPower Wachovia 米国最大規模の金融機関。一般的な預金のほか、資産管理、コーポレートバンキング、投資銀行業 務など多様に展開 セキュアでリアルタイムの ATM- 支店間処理を実現 課題とニーズ ATMでの“処理”情報をFTPで一晩かけて銀行支店に転送 セキュリティのため固定IPアドレスやVPNを利用 ネットワークも機器も、リソースは飽和状態。 銀行間の小切手取引も電子取引“Check21”に対応する必要 認証サーバー ATM WEBサービス リクエスター 認証要求 (詐欺防止、ペーパーレス化のチェックプロセス) ハイボリュームでリアルタイムの処理をセキュリティを確保しながらコストを下げる方 法を模索 ソリューション XI50 ATM AppServer WebSphere DataPower XI50をDMZに導入。 入ってくるメッセージをチェック、フォーマット変換、メッセージをルーティング メッセージ・レベルのセキュリティ、暗号化、デジタル署名、アクセス制御の機能で、 VPNを使わなくてもセキュアな転送。 バッチファイルの代わりに、“メッセージ”でATMからほぼリアルタイムに銀行の支 店に送付。 クライアント WEBサービス リクエスター 次フェーズ、MQとの統合も予定 導入効果 2~3週間で運用開始。(他の方法では6ヶ月の構築期間) ハイボリュームの処理を安全でリアルタイムに実現。 月間の取扱量が増大 VPN利用料金の削減 フォーマット変換 コンテンツベースルーティング 認証 本来のコアビジネスへの投資を可能に。 45 WebSphere DataPower ING Bank Slaski ヨーロッパ本拠地の世界的金融機関。銀行業務、保険、アセットマネジメント・ サービスを提供 既存システムを変更せず、新業務をWebサービスで提供 課題とニーズ 24時間365日のオンライン・サービスなどの新サービスの提供 既存システムでは変更の為のアプリ開発に時間がかかる クライアント 既存システムに手を入れずに、お客様サービスにも、販売チャネ ルとのプロセスにも、柔軟に対応・拡張していけるインフラを検討 MQ MQマネージャー MQ FTP ソリューション WebSphere DataPower XI50 を2台導入 クライアント FTPサーバー HTTP お客様やパートナーからは、XMLでデータを受け取り、DPで プロトコル変換し、MQでバックエンドのシステムへ転送。 DPはデータをASCII からEBCDICに いくつかの金融取引と銀行業務をWebサービスで直接お客 様にオンライン・サービスとして提供 XI50 バックエンド・ システム クライアント WEBアプリケーション・ サーバー 導入効果 バックエンドのアプリケーションに手をいれないことで、コスト を抑えて、変化に柔軟なインフラを構築 プロトコル変換 新規サービスへの早期対応 フォーマット変換 MQ経由でレガシーに接続 早期に投資の回収 46 WebSphere DataPower Charles Schwab 大手オンライン証券会社 課題とニーズ 1) 既存ESB(RR Bus)のおきかえ 2)インターネット、イントラネットのアプリケーション用に新しい Web サービスセキュリティーの導入が必要 既存ESB (RR Bus)をJ2EEサーバー上に自前で構築していたが、管 理不可能に。22台の サーバーが、2007年末に44台になる予定で あった。 2007年-2008年にかけて、 schwab.comサイトが、RR Bus のインフ ラに移行するため、負荷が増えることが予想されていた。 解決策 WebSphere DataPower Integration Appliance XI50 と WebSphere DataPower XML Security Gateway XS40を導入. RR Bus – 22台のJ2EEサーバーを4台のDataPower XI50 Integration appliancesでおきかえ Web サービスセキュリティー – 2台のDataPower XS40 XML Security Gateway Appliancesで、インターネット、イントラネットのア プリケーション用に標準のWeb サービスセキュリティーを提供 導入効果 自前のルーティングソリューションを簡素化-22台のサーバーに比 べ、4台の管理で済むので保守と管理が大幅に簡素化 1年目で投資を回収予定 リアルタイムのルーティングとメインフレームへのトランザクション処 理を提供 新サービスの構築: Webサービスセキュリティー WebSphere DataPower Integration Appliance XI50 WebSphere DataPower XML Security Gateway XS40 WebSphere MQ 47 WebSphere DataPower イギリス某都市 警察署 Webサービスセキュリティの導入により犯罪率を減少 課題とニーズ 増え続ける犯罪撲滅を目的として、3年以内(2008/3まで)に犯罪 発生率23%削減を目標 警察の犯罪情報を他の協力機関と共有することは犯罪減少に つながる重要な方策であったが、個人情報が含まれるため、取 り扱いについてはイギリス個人情報保護法の準拠が必要 既存のIPセキュリティは脆弱性があっため、情報を公開するた めには適切なセキュリティを確保したIPファイヤーウォールイン フラの導入が必須 ソリューション 2台のWebSphere DataPower XS40を導入 署内インフラはMS BizTalk,SQL Serverが導入されており、こ れら既存システムとのシームレスな連携が可能であることが前 提条件 導入効果 WebSphere DataPowerの導入により、犯罪データを安全、且 つリアルタイムに、協力機関と共有することが可能に 規定のITセキュリティ要件に準拠し、犯罪発生率減少への非常 に有効な手段に 国家警察シス テムに連携 XML FWとして導入 XML攻撃をチェック・防御 スキーマ検証 デジタル署名・署名検証 BizTalkと連携 48 WebSphere DataPower US 大手携帯電話会社 SOAを目指してESBの構築を実現 課題とニーズ 外部のパートナーと社内システムを共有する仕組み構築の 取り組み その仕組みとして、限られた予算内でXMLメッセージセキュリティの 実装とメディエー ション機能を実現するESBの構築を検討 解決策 12台の WebSphere DataPower XI50を同社ネットワークのDMZに 配置 他社のソフトウエアESB製品とのコンペであったが、構成上4倍以上 の価格差により、WebSphere DataPower採用を決定 ライセンス費用もさることながら、導入に際しての開発コスト、運用費 用で圧倒的な金額差 その他、パフォーマンス、将来の拡張性でもWebSphere DataPower の方が優位性ありと判断 導入効果 スケーラビリティが高く、導入設定、運用が容易なESB構築に成功 パートナーとの社内システム共有の仕組みも、当初予定スケジュー ルよりも大幅に前倒しで構築 WebSphere DataPower Integration Appliance XI50 49 WebSphere DataPower WebSphere DataPower 価格 WebSphere DataPower XM70 低レイテンシーメッ セージング WebSphere DataPower XB60 B2B メッセージング (AS2/AS3) WebSphere DataPower XI50 XML 統合と既存のシステム との接続機能の追加 WebSphere DataPower XS40 XMLセキュリティー 機能 ※1年目の保守費用が含まれています XM70 LLMアプライアンス ¥15,015,000 XB60 B2Bアプライアンス ¥15,802,000 XI50 インテグレーション・アプライアンス ¥12,155,000~ Option for Database Connectivity ¥772,200 Option for Tibco ¥893,800 XS40 XML セキュリティ・ゲートウェイ ¥10,296,000~ Option for Tivoli Access Manager ¥772,200 50