Copyright ©2006 Fujitsu Ltd. All Rights Reserved.
ネットワークサーバ アイピーコムIPCOM
SSL アクセラレーターの必要性
インターネットでの安全な通信を実現するための暗号技術である SSL。
円滑なサービスの提供には、負荷の高い SSL 処理の高速化が必須です。
本書では、ハードウェアで SSL 処理を高速化する SSL アクセラレータ
ーの導入効果について解説します。
安全で高速なインターネットサービスのシステムの検討に、ぜひご活
用下さい。
Technical White Paper
目次 1.はじめに... 1 2.SSL 通信を使用する上での課題... 2 3.SSL アクセラレーターによる解決... 3 4.SSL アクセラレーターの導入例... 4 5.SSL アクセラレーターの効果... 6 富士通の SSL アクセラレーター装置のラインナップ... 8Technical White Paper
はじめに
1.はじめに
SSL は、インターネット上で最も良く使われている暗号技術です。 SSL は、通信内容を暗号化して盗聴を防ぐ機能のほかに、サーバ証明書を確認 してなりすましを防ぐ機能があり、インターネット上でビジネスを行う上で欠 かせない技術です。.今日、個人情報の保護法の対応や EC( 電子商取引 ) の拡 大により、SSL 通信の割合は増加する一方です。 SSL 通信を実現するためには、Web サーバ自身で SSL の処理を行う方法と、 暗号処理専用のハードウェアを搭載した「SSL アクセラレーター」を使用する 方法があります。 本書では、SSL アクセラレーターと、その効果について説明します。Technical White Paper
SSL
通信を使用する上での課題
通常、Web ブラウザと Web サーバの間のプロトコルは http ですが、http を SSL で暗号化した物を https と呼んでいます。 "https:// ~ " で始まる URL は、 Web ブラウザと Web サーバの通信が、SSL で暗号化される事を意味します。 SSL 通信を行う場合、基本的な方法は Web サーバのソフトウェアで SSL の処 理を行う方法ですが、この場合に注意しなければならない事が二つあります。 ひとつは、SSL で使用する暗号アルゴリズムの演算処理が、Web サーバの CPU にとって負担が大きいことです。 ブラウザ側では、通常ユーザひとり分 の暗号処理しか行わないので、あまり問題にはなりませんが、多くのユーザの 暗号処理を同時に行うサーバ側では、大きな負担になります。 実際、https の サービスを行う Web サーバでは、その能力の半分以上を暗号処理に費やしま す。 提供するサービスが同じでも、http で通信する場合と https で通信する 場合では、Web サーバの処理能力が大きく違ってくるので、システム構築の 際には注意が必要です。 もうひとつは、負荷分散装置やファイアーウォールの様に、通信内容を読み取 りながら働くネットワーク機器を併用する場合です。 通信が暗号化されてい ると、これらの装置は本来持っている機能を十分に発揮する事が出来なくなり ます。 例えば負荷分散装置の場合、通常は http リクエストに含まれる URL/ ヘッダ /Cookie 等の情報を判別して、URL による分散やセッション維持の動作を制御 しています。 通信が暗号化された https の場合には、これらの情報が一切見 えなくなるために、最も単純な負荷分散機能しか利用できなくなります。
2.SSL 通信を使用する上での課題
図 2-1. SSL 通信を使用する上での課題Technical White Paper
SSL
アクセラレーターによる解決
前記の課題を解決する手段として、SSL アクセラレーターを採用する方法があ ります。 SSL アクセラレーターを使用する場合、ブラウザからの https のリクエストは、 まず SSL アクセラレーターが受け取ります。 SSL アクセラレーターは、通信 内容を復号して、http のリクエストとして Web サーバに送ります。 Web サー バからの応答は、SSL アクセラレーターが受け取り、暗号化した後にブラウザ に送られます。 Web サーバは暗号処理を行う必要がなくなるので、サーバ本 来の処理に専念できます。 SSL アクセラレーターは、暗号処理専用に設計さ れたハードウェアにより、サーバのソフトウェアで暗号処理を行う場合に比べ て、高い処理性能を低コストで提供できます。 負荷分散装置などを利用する場合は、SSL アクセラレーターと Web サーバの 間に配置します。この位置では、通信は暗号化されていないため、これらの 装置の機能を最大限に利用できます。 または、負荷分散装置の場合には、SSL アクセラレーターを内蔵したモデルも用意されているため、その様なモデルを 採用しても良いでしょう。次に、SSL アクセラレーターの導入方法について説 明します。
3.SSL アクセラレーターによる解決
図 3-1. SSL アクセラレーターによる解決 -1 図 3-2. SSL アクセラレーターによる解決 -2Technical White Paper
SSL
アクセラレーターの導入例
次に、SSL アクセラレーターの導入方法について説明します。 図 4-1. は、Web サーバの前に SSL アクセラレーターを追加した例です。 SSL アクセラレーターを導入する事で、Web サーバの処理能力を下げること なく https のサービスが可能になります。 また、SSL アクセラレーターをブリッ ジモードで使用すると、周りのネットワークの構成を変更することなく導入で きます。 IPCOM では、IPCOM S1400/S1200 が対応しています。 図 4-2. は、SSL アクセラレーターを内蔵した負荷分散装置を使用した例です。 SSL アクセラレーター内蔵の負荷分散装置を使用することで、装置台数を減ら すことができます。
IPCOM では、IPCOM S2400/S2200/S2000 と IPCOM EX2000 LB が対応し ています。 図 4-3. は、SSL アクセラレーターを負荷分散する構成の例です。 複数の SSL アクセラレーターを導入して、負荷分散装置でリクエストを振り 分けています。 この構成では、Web サーバだけでなく、SSL アクセラレーター の処理能力もスケーラブルになり、拡張性の高い Web サイトの構築できます。
4.SSL アクセラレーターの導入例
図 4-1. SSL アクセラレーターの導入例 -1 図 4-2. SSL アクセラレーターの導入例 -2Technical White Paper
SSL
アクセラレーターの導入例
IPCOM では、SSL アクセラレーターとして IPCOM S1400/S1200、負荷分散 装置として IPCOM S2400/S2200/S2000 と IPCOM EX2000 LB/EX1200 LB/ EX1000 LB が対応しています。
Technical White Paper
SSL
アクセラレーターの効果
Oracle Application Server 10g での導入例
図 5-1. は、 日 本 オ ラ ク ル 株 式 会 社 の ア プ リ ケ ー シ ョ ン サ ー バ「Oracle Application Server 10g」を使用した、Web サイトの例です。
Web サーバには、Oracle Application Server 10g の OHS(Oracle HTTP Server) をインストールしてあり、2 台の Web サーバに IPCOM S2200 でサーバ負荷 分散を行っています。この IPCOM S2200 は、SSL アクセラレーターを搭載し たモデルです。 パフォーマンス測定を行ったところ、ソフトウェアである Oracle HTTP Server (OHS)で SSL を処理した場合には単位時間に 310 のリクエストが処理されま したが ( ケース 1)、ハードウェアである IPCOM S2200 の SSL アクセラレーター を使用した場合には単位時間に 875 のリクエストが処理される ( ケース 2) と いう結果になりました。このことから、今回のケースでは、IPCOM S2200 の SSL アクセラレーター機能を使用することで、単位時間当たりのリクエスト処 理数について少なくとも 3 倍弱程度の向上を見込むことができます。 図 5-1. システム構成