目次 1. はじめに SSL 通信を使用する上での課題 SSL アクセラレーターによる解決 SSL アクセラレーターの導入例 SSL アクセラレーターの効果... 6 富士通の SSL アクセラレーター装置のラインナップ... 8

Copyright ©2006 Fujitsu Ltd. All Rights Reserved.

ネットワークサーバ アイピーコム

IPCOM

SSL アクセラレーターの必要性

インターネットでの安全な通信を実現するための暗号技術である SSL。

円滑なサービスの提供には、負荷の高い SSL 処理の高速化が必須です。

本書では、ハードウェアで SSL 処理を高速化する SSL アクセラレータ

ーの導入効果について解説します。

安全で高速なインターネットサービスのシステムの検討に、ぜひご活

用下さい。

Technical White Paper

目次 １．はじめに... 1 2．SSL 通信を使用する上での課題... 2 3．SSL アクセラレーターによる解決... 3 4．SSL アクセラレーターの導入例... 4 5．SSL アクセラレーターの効果... 6 富士通の SSL アクセラレーター装置のラインナップ... 8

Technical White Paper

はじめに



１．はじめに

SSL は、インターネット上で最も良く使われている暗号技術です。 SSL は、通信内容を暗号化して盗聴を防ぐ機能のほかに、サーバ証明書を確認 してなりすましを防ぐ機能があり、インターネット上でビジネスを行う上で欠 かせない技術です。.今日、個人情報の保護法の対応や EC( 電子商取引 ) の拡 大により、SSL 通信の割合は増加する一方です。 SSL 通信を実現するためには、Web サーバ自身で SSL の処理を行う方法と、 暗号処理専用のハードウェアを搭載した「SSL アクセラレーター」を使用する 方法があります。 本書では、SSL アクセラレーターと、その効果について説明します。

Technical White Paper

SSL

通信を使用する上での課題



通常、Web ブラウザと Web サーバの間のプロトコルは http ですが、http を SSL で暗号化した物を https と呼んでいます。 "https:// ～ " で始まる URL は、 Web ブラウザと Web サーバの通信が、SSL で暗号化される事を意味します。 SSL 通信を行う場合、基本的な方法は Web サーバのソフトウェアで SSL の処 理を行う方法ですが、この場合に注意しなければならない事が二つあります。 ひとつは、SSL で使用する暗号アルゴリズムの演算処理が、Web サーバの CPU にとって負担が大きいことです。 ブラウザ側では、通常ユーザひとり分 の暗号処理しか行わないので、あまり問題にはなりませんが、多くのユーザの 暗号処理を同時に行うサーバ側では、大きな負担になります。 実際、https の サービスを行う Web サーバでは、その能力の半分以上を暗号処理に費やしま す。 提供するサービスが同じでも、http で通信する場合と https で通信する 場合では、Web サーバの処理能力が大きく違ってくるので、システム構築の 際には注意が必要です。 もうひとつは、負荷分散装置やファイアーウォールの様に、通信内容を読み取 りながら働くネットワーク機器を併用する場合です。 通信が暗号化されてい ると、これらの装置は本来持っている機能を十分に発揮する事が出来なくなり ます。 例えば負荷分散装置の場合、通常は http リクエストに含まれる URL/ ヘッダ /Cookie 等の情報を判別して、URL による分散やセッション維持の動作を制御 しています。 通信が暗号化された https の場合には、これらの情報が一切見 えなくなるために、最も単純な負荷分散機能しか利用できなくなります。

2．SSL 通信を使用する上での課題

図 2-1. SSL 通信を使用する上での課題

Technical White Paper

SSL

アクセラレーターによる解決



前記の課題を解決する手段として、SSL アクセラレーターを採用する方法があ ります。 SSL アクセラレーターを使用する場合、ブラウザからの https のリクエストは、 まず SSL アクセラレーターが受け取ります。 SSL アクセラレーターは、通信 内容を復号して、http のリクエストとして Web サーバに送ります。 Web サー バからの応答は、SSL アクセラレーターが受け取り、暗号化した後にブラウザ に送られます。 Web サーバは暗号処理を行う必要がなくなるので、サーバ本 来の処理に専念できます。 SSL アクセラレーターは、暗号処理専用に設計さ れたハードウェアにより、サーバのソフトウェアで暗号処理を行う場合に比べ て、高い処理性能を低コストで提供できます。 負荷分散装置などを利用する場合は、SSL アクセラレーターと Web サーバの 間に配置します。この位置では、通信は暗号化されていないため、これらの 装置の機能を最大限に利用できます。 または、負荷分散装置の場合には、SSL アクセラレーターを内蔵したモデルも用意されているため、その様なモデルを 採用しても良いでしょう。次に、SSL アクセラレーターの導入方法について説 明します。

3．SSL アクセラレーターによる解決

図 3-1. SSL アクセラレーターによる解決 -1 図 3-2. SSL アクセラレーターによる解決 -2

Technical White Paper

SSL

アクセラレーターの導入例



次に、SSL アクセラレーターの導入方法について説明します。 図 4-1. は、Web サーバの前に SSL アクセラレーターを追加した例です。 SSL アクセラレーターを導入する事で、Web サーバの処理能力を下げること なく https のサービスが可能になります。 また、SSL アクセラレーターをブリッ ジモードで使用すると、周りのネットワークの構成を変更することなく導入で きます。 IPCOM では、IPCOM S1400/S1200 が対応しています。 図 4-2. は、SSL アクセラレーターを内蔵した負荷分散装置を使用した例です。 SSL アクセラレーター内蔵の負荷分散装置を使用することで、装置台数を減ら すことができます。

IPCOM では、IPCOM S2400/S2200/S2000 と IPCOM EX2000 LB が対応し ています。 図 4-3. は、SSL アクセラレーターを負荷分散する構成の例です。 複数の SSL アクセラレーターを導入して、負荷分散装置でリクエストを振り 分けています。 この構成では、Web サーバだけでなく、SSL アクセラレーター の処理能力もスケーラブルになり、拡張性の高い Web サイトの構築できます。

4．SSL アクセラレーターの導入例

図 4-1. SSL アクセラレーターの導入例 -1 図 4-2. SSL アクセラレーターの導入例 -2

Technical White Paper

SSL

アクセラレーターの導入例



IPCOM では、SSL アクセラレーターとして IPCOM S1400/S1200、負荷分散 装置として IPCOM S2400/S2200/S2000 と IPCOM EX2000 LB/EX1200 LB/ EX1000 LB が対応しています。

Technical White Paper

SSL

アクセラレーターの効果



Oracle Application Server 10g での導入例

図 5-1. は、 日 本 オ ラ ク ル 株 式 会 社 の ア プ リ ケ ー シ ョ ン サ ー バ「Oracle Application Server 10g」を使用した、Web サイトの例です。

Web サーバには、Oracle Application Server 10g の OHS(Oracle HTTP Server) をインストールしてあり、2 台の Web サーバに IPCOM S2200 でサーバ負荷 分散を行っています。この IPCOM S2200 は、SSL アクセラレーターを搭載し たモデルです。 パフォーマンス測定を行ったところ、ソフトウェアである Oracle HTTP Server （OHS）で SSL を処理した場合には単位時間に 310 のリクエストが処理されま したが ( ケース 1)、ハードウェアである IPCOM S2200 の SSL アクセラレーター を使用した場合には単位時間に 875 のリクエストが処理される ( ケース 2) と いう結果になりました。このことから、今回のケースでは、IPCOM S2200 の SSL アクセラレーター機能を使用することで、単位時間当たりのリクエスト処 理数について少なくとも 3 倍弱程度の向上を見込むことができます。 図 5-1. システム構成

5．SSL アクセラレーターの効果

図 5-2. SSL アクセラレーターの効果

Technical White Paper

SSL

アクセラレーターの効果



次に価格的な観点からの比較ですが、IPCOM S2200 の SSL アクセラレーター 搭載の有無での価格差は 800 千円※ 1、二重化する場合には 1,600 千円とな ります。これに対し、例えば単位時間当たり約 900 リクエスト程度の処理を Web サーバの増設で実現しようとすると、2 台で単位時間辺り 310 リクエス トを処理していたことから計算上 Web サーバを 4 台追加すれば単位時間当た り 930 リクエストを処理できることになります。そのためにはハードウェア （本体、メモリ）、OS、LAN 二重化ソフトなど約 14,000 千円※ 2 が必要となり、 価格面でも IPCOM S2200 の SSL アクセラレーターを利用する方がコスト的に 優れていることになります。 ※ 1: IPCOM S2200 の価格 : SSL アクセラレーター搭載モデル : 8,700 千円 ( 税 別 )、非搭載モデル : 7,900 千円 ( 税別 ) ※ 2: Web サーバの構成 : ハードウェア PRIMEPOWER 250、オペレーティング シ ス テ ム Solaris(TM) 9 OS 9/04、 ア プ リ ケ ー シ ョ ン Oracle Application Server 10g、伝送路二重化ソフト PRIMECLUSTER GLS この検証報告の詳細については、以下の URL で公開しています。 「富士通と日本オラクルの共同検証報告」 http://primeserver.fujitsu.com/ipcom/catalog/data/report01.html 表 5-1. ハードウェアを増設した場合の価格差 方式 Web サーバの CPU 使用率 予想されるリクエ スト数 / 単位時間 コスト [ 千円 ] Web サーバを 4 台 追加 ( 計 6 台 ) 99% 930 (2 台 → 6 台 で 310 の 300% ) Web サーバを 4 台増 設するコスト 14,000 (3,500 × 4) IPCOM S2200 の SSL アクセラレーター 30% ( 検証結果 )875 SSL アクセラレーターのコスト 1,600 (800 × 2)

Technical White Paper

富

士

通

の

SS

Lア

ク

セ

ラ

レ

ー

タ

ー

装

置

の

ラ

イ

ン

ナ

ッ

プ



富士通の SSL アクセラレーター装置のラインナップ

IPCOM 製品情報 http://primeserver.fujitsu.com/ipcom/ これからも進化し続ける IPCOM に御期待下さい。 IPCOM では、SSL アクセラレーター機能に加え、負荷分散や帯域制御、ファイアーウォールなど含む企 業のネットワーク構築に必要な機能を 1 台に集約、スピーディーなネットワーク構築とシンプルな運用 を実現します。

Technical White Paper

SSL アクセラレーターの必要性 富士通株式会社 2006 年 12 月.初版 SFP-B0304-05-01 Copyright..©.2006.Fujitsu.Ltd..All.Rights.Reserved.