A10ネットワークスは、IoTボットによるDDoS攻撃対策やDNSセキュリティなど5G時代に必要なセキュリティ機能を強化した、ネットワークゲートウェイ「A10 Thunderシリーズ」の独自OS最新版「ACOS 5.2.1」を発表した。4月12日より日本市場で順次展開する。
　また、A10 Thunderシリーズの第5世代ミッドレンジモデルとして「Thunder 3350-E」と「Thunder 3350」を追加し、同日より提供を開始した。

背景

　多くのIoT機器が活用されつつある一方で、それらはボット化され、攻撃に利用されるリスクがある。このようなIoT機器のもたらすリスクからアプリケーションを守るためには、よりアプリケーションに近いネットワークゲートウェイで防御する必要がある。また、低遅延・高パフォーマンスが要求される5Gでは、ネットワークの主要要素であるDNSにおいても高いパフォーマンスと強固なセキュリティが求められる。
　A10は「ACOS 5.2.1」において、5G時代に必要となるIoTボット対策として悪意のある端末からのDDoS攻撃からアプリケーションを守る「ZBAR機能」を、DNSセキュリティの強化としてDNSクエリを暗号化する「DoT機能」や悪意のあるホストへの接続を防ぐ「DNS RPZ機能」を追加した。その他にも、マルチクラウド環境下での適切なアプリケーション配信を実現する機能や帯域を圧迫するトラフィックを自動制御する機能を追加しており、ACOS 5.2以上を対象とする第5世代ミッドレンジモデルのアプライアンスも拡充している。

ACOS 5.2.1における主な新機能と新アプライアンスの詳細

　IoTボットによるリスクに対処するZBAR機能の追加：トラフィックパターンをもとに、IoTボットのような悪意のある端末による攻撃からアプリケーションを防御する「ZBAR（Zero-day source Behavior Attack Recognition）機能」を追加した。ADC機能に追加されたZBARは、様々なメトリックでトラフィックを監視し、攻撃元IPを自動識別し、その通信内容を取得することで、IoTボットによるDDoS攻撃の分析と防御を支援する。DDoS対策専用のセキュリティ機器がなくても、証跡を使った調査や防御が可能となり、設備・運用コストおよびセキュリティ対策に費やす時間を削減する。

　DNSセキュリティの強化：DNSクエリを暗号化することで中間者攻撃によるリクエストや応答の改ざんを防ぐ「DoT（「DNS over TLS）機能」や、C&Cサーバーやマルウェア配布サイト、フィッシングサイトといった悪意のあるホストへのDNSクエリを阻止する「DNS RPZ（Response Policy Zone）機能」を追加した。

　マルチクラウド環境下での適切なアプリケーション配信のためのオートサービスディスカバリー機能：マルチクラウド環境下でアプリケーションのリソースがダイナミックに変更される中で、アプリケーション配信も追従できるよう、トラフィックフローの増減でパブリッククラウド上のサービスをA10のインスタンスに自動登録する「オートサービスディスカバリー機能」を追加した。AWSやAzure、Kubernetesクラスタ、Oracle Cloudに対応しており、HashiCorp Consulとも連携可能だ。

　帯域を圧迫するトラフィックを自動制御するレートリミット機能：3500種類のプロトコル、45種類以上のカテゴリで通信を自動識別し、トラフィックを制御できる「レートリミット機能」をA10 Thuner CFWに追加した。CGNAT機能と併用することで、加入者毎の特定アプリの通信制限も可能だ。帯域を圧迫するP2P通信などを制限することにより、サービス品質の向上を実現すると共に、高額なDPI製品を必要としないため設備・運用コストを削減する。

第5世代ミッドレンジモデルの追加

　TLS 1.3の高速化に対応し、ACOS 5.2以降からサポートされるA10 Thunderシリーズの第5世代のミッドレンジモデルとして、30Gbpsのアプリケーションスループットと旧モデルの２倍のCPUコア数を備えた「Thunder 3350-E」と、40Gbpsのアプリケーションスループットと10G・25G・40Gインターフェースを備えた「Thunder 3350」を新たに提供開始する。