Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
IDC Frontier Inc. All rights reserved.
いまからでも間に合うATS対策
株式会社IDCフロンティア
営業本部 ソリューションアーキテクト部 エバンジェリストG
藤城 拓哉 @tafujish
2016.12...
2
IDC Frontier Inc. All rights reserved.
自己紹介
@tafujish
業務
クラウド前
– Unix/Linuxシステム管理者
クラウド後
– インフラの設計、構築、運用
– テクニカルサポート
– ソ...
3
IDC Frontier Inc. All rights reserved.
IDCフロンティア
Yahoo! JAPAN
100%資本の子会社で
主にデータセンターや
クラウドなどのITインフラ
の提供を行っております
【データセンター】...
4
IDC Frontier Inc. All rights reserved.
シンプル・パワフル
5
IDC Frontier Inc. All rights reserved.
ATSとは
● App Transport Security
– iOSアプリがセキュアにサーバーに接続する仕組み
– 2017年1月からはATS有効化が必須と言...
6
IDC Frontier Inc. All rights reserved.
HTTPSおさらい
HTTP
HTTPS
通信は暗号化されている
7
IDC Frontier Inc. All rights reserved.
HTTPSおさらい
LB
HTTPS
HTTPS
復号
暗号化
通信は暗号化されている
HTTP
HTTP
復号/暗号化処理を
ハードウェア処理で高速化していると...
8
IDC Frontier Inc. All rights reserved.
ATSの要件とは
ATSでのSSL要件
– 有効な認証局(CA)による有効な証明書
– 2048bit以上のRSAキーまたは256bit以上のECCキーの証明書
...
9
IDC Frontier Inc. All rights reserved.
ATS対応しないと
 コンテンツに接続できない(接続失敗)
 アプリのリリースやアップデート時に
Appleの審査が通らないと予想される
10
IDC Frontier Inc. All rights reserved.
なぜATS対応が難しいのか
 HTTPSの暗号化/復号処理にリソースを大きく消費する
 要件のcipher suiteのため更にリソースを消費する
1581...
11
IDC Frontier Inc. All rights reserved.
ATS対応方法
2つのATS対応方法
LB
(1)サーバー終端
(2)LB終端
12
IDC Frontier Inc. All rights reserved.
ATS対応方法
(1)サーバー終端
 古いOSの場合、TLSv1.2 や cipher suite に対応していない
(例:CentOS 5 の openss...
13
IDC Frontier Inc. All rights reserved.
ATS対応方法
LB
(2)LB終端
●メーカー製アプライアンス機器の場合
 古いLBの場合、TLSv1.2 や cipher suite に対応していない
...
14
IDC Frontier Inc. All rights reserved.
ATS対応方法
メリット/デメリット
サーバー終端
LB終端
 フロントWEBサーバーをスケールすること
でSSL処理もスケール可能
 サーバー台数が増加す...
15
IDC Frontier Inc. All rights reserved.
IDCFクラウドなら
構成を変えずに
かんたんATS対応
16
IDC Frontier Inc. All rights reserved.
ATS対応方法
●IDCFクラウド上での対応方法
HTTPS
HTTPS
HTTP
HTTP
ILB
復号
暗号化
IDCFクラウドILBはスケールするLB、
...
17
IDC Frontier Inc. All rights reserved.
ATS対応方法
事例構成
API
リクエスト
ILB
・・・
アプリ
ダウンロード
データ コンテンツ
キャッシュ
トップセール40位付近のゲームアプリ
アプリ...
18
IDC Frontier Inc. All rights reserved.
IDCF環境外でも
構成を変えずに
かんたんATS対応
19
IDC Frontier Inc. All rights reserved.
ATS対応方法
●IDCF環境外の対応方法
LB
HTTPS
HTTPS
HTTP
HTTP
ILB
復号
暗号化
HTTP
HTTP
お客様既存環境IDCFク...
20
IDC Frontier Inc. All rights reserved.
ATS対応確認方法
# openssl ciphers -v | grep TLSv1.2
ECDHE-RSA-AES256-GCM-SHA384 TLSv1....
21
IDC Frontier Inc. All rights reserved.
ATS対応確認方法
$ ab -n 10000 -c 100 -f TLSv1.2 -Z ECDHE-RSA-AES128-GCM-SHA256 https:/...
22
IDC Frontier Inc. All rights reserved.
ATS対応確認方法
$ nscurl --ats-diagnostics https://~
Starting ATS Diagnostics
Configur...
23
IDC Frontier Inc. All rights reserved.
まとめ
 早目にATS対応しましょう
 SSLの処理は重たいので構成に注意
 今後のことも考えしっかり構成検討しましょう
 IDCFクラウドILBなら簡...
Upcoming SlideShare
Loading in …5
×

いまからでも間に合うATS対策

842 views

Published on

2016年12月19日開催 「なぜ常時SSLなのか?いまからでも間に合うATS対策!」の資料となります。
https://idcf-seminar.connpass.com/event/46761/

Published in: Technology
  • Be the first to comment

  • Be the first to like this

いまからでも間に合うATS対策

  1. 1. IDC Frontier Inc. All rights reserved. いまからでも間に合うATS対策 株式会社IDCフロンティア 営業本部 ソリューションアーキテクト部 エバンジェリストG 藤城 拓哉 @tafujish 2016.12.19
  2. 2. 2 IDC Frontier Inc. All rights reserved. 自己紹介 @tafujish 業務 クラウド前 – Unix/Linuxシステム管理者 クラウド後 – インフラの設計、構築、運用 – テクニカルサポート – ソリューションアーキテクト – テクニカルエバンジェリスト 藤城 拓哉 (FUJISHIRO TAKUYA) 今ココ
  3. 3. 3 IDC Frontier Inc. All rights reserved. IDCフロンティア Yahoo! JAPAN 100%資本の子会社で 主にデータセンターや クラウドなどのITインフラ の提供を行っております 【データセンター】 国内9拠点のデータセンター群 【クラウド IaaS】 東日本リージョン/西日本リージョン
  4. 4. 4 IDC Frontier Inc. All rights reserved. シンプル・パワフル
  5. 5. 5 IDC Frontier Inc. All rights reserved. ATSとは ● App Transport Security – iOSアプリがセキュアにサーバーに接続する仕組み – 2017年1月からはATS有効化が必須と言われています http://jp.techcrunch.com/2016/06/15/20160614apple-will-require-https-connections-for-ios-apps-by-the-end-of-2016/ – 延期がアナウンスされまました https://developer.apple.com/news/?id=12212016b – ATSの要件に合わないとサーバーに接続できない 常時SSL(HTTPS)化を求められている
  6. 6. 6 IDC Frontier Inc. All rights reserved. HTTPSおさらい HTTP HTTPS 通信は暗号化されている
  7. 7. 7 IDC Frontier Inc. All rights reserved. HTTPSおさらい LB HTTPS HTTPS 復号 暗号化 通信は暗号化されている HTTP HTTP 復号/暗号化処理を ハードウェア処理で高速化していると SSLアクセラレーション SSLターミネーション(SSLオフロード)
  8. 8. 8 IDC Frontier Inc. All rights reserved. ATSの要件とは ATSでのSSL要件 – 有効な認証局(CA)による有効な証明書 – 2048bit以上のRSAキーまたは256bit以上のECCキーの証明書 – SHA-256以上のフィンガープリントの証明書 – TLS v1.2 – 以下の暗号化アルゴリズム(cipher suite) • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA – 今後更に厳しくなります  この対応が問題 https://developer.apple.com/library/content/documentation/General/Reference/ InfoPlistKeyReference/Articles/CocoaKeys.html#//apple_ref/doc/uid/TP40009251-SW57
  9. 9. 9 IDC Frontier Inc. All rights reserved. ATS対応しないと  コンテンツに接続できない(接続失敗)  アプリのリリースやアップデート時に Appleの審査が通らないと予想される
  10. 10. 10 IDC Frontier Inc. All rights reserved. なぜATS対応が難しいのか  HTTPSの暗号化/復号処理にリソースを大きく消費する  要件のcipher suiteのため更にリソースを消費する 15811 1159 543 0 2000 4000 6000 8000 10000 12000 14000 16000 HTTP HTTPS TLSv1.2 AES256-GCM-SHA384 HTTPS TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 request/sec HTTPS TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 HTTPS TLSv1.2 AES256-GCM-SHA384 HTTP ATS要件 サーバー側:Highcpu.M4(2コア/4GB)、CentOS6.8 + Apache2.2.15 クライアント側:Highcpu.L8(4コア/8GB)、Ubuntu16.04.1 + ApacheBench2.3 試験方法:1対1でApacheBenchを4KBテキストへ実施 ab -n 100000 -c 100 http:// ~ ab -n 100000 -c 100 -f TLSv1.2 -Z AES256-GCM-SHA384 https://~ ab -n 100000 -c 100 -f TLSv1.2 -Z ECDHE-RSA-AES128-GCM-SHA256 https://~
  11. 11. 11 IDC Frontier Inc. All rights reserved. ATS対応方法 2つのATS対応方法 LB (1)サーバー終端 (2)LB終端
  12. 12. 12 IDC Frontier Inc. All rights reserved. ATS対応方法 (1)サーバー終端  古いOSの場合、TLSv1.2 や cipher suite に対応していない (例:CentOS 5 の openssl )  サーバー側のCPUリソース消費が大きくなるため、サーバー をスケールしておく
  13. 13. 13 IDC Frontier Inc. All rights reserved. ATS対応方法 LB (2)LB終端 ●メーカー製アプライアンス機器の場合  古いLBの場合、TLSv1.2 や cipher suite に対応していない →メーカー提供の情報を参照 ●OSSによるLB構築の場合  SSLを終端できるLBか(mod_ssl等)  LBサーバー側のCPUリソース消費が大きくなるため、サー バーをスケールしておく
  14. 14. 14 IDC Frontier Inc. All rights reserved. ATS対応方法 メリット/デメリット サーバー終端 LB終端  フロントWEBサーバーをスケールすること でSSL処理もスケール可能  サーバー台数が増加する  既に終端可能なLBであれば構成変更不要  SSL処理によるLBボトルネックの可能性 大規模なアプリ 中小規模なアプリ
  15. 15. 15 IDC Frontier Inc. All rights reserved. IDCFクラウドなら 構成を変えずに かんたんATS対応
  16. 16. 16 IDC Frontier Inc. All rights reserved. ATS対応方法 ●IDCFクラウド上での対応方法 HTTPS HTTPS HTTP HTTP ILB 復号 暗号化 IDCFクラウドILBはスケールするLB、 ATSに対応したSSL終端が可能で 従来の仮想ルーターからシームレスに切り替え可能 データセンター等クラウド以外は、IDCFネットワークサービスをご用意 1) ILBを作成 2) DNSの対象レコード をILBへ変更
  17. 17. 17 IDC Frontier Inc. All rights reserved. ATS対応方法 事例構成 API リクエスト ILB ・・・ アプリ ダウンロード データ コンテンツ キャッシュ トップセール40位付近のゲームアプリ アプリのダウンロードデータはコンテンツキャッシュ(CDN)から配信 コンテンツキャッシュもATSのSSL配信に対応
  18. 18. 18 IDC Frontier Inc. All rights reserved. IDCF環境外でも 構成を変えずに かんたんATS対応
  19. 19. 19 IDC Frontier Inc. All rights reserved. ATS対応方法 ●IDCF環境外の対応方法 LB HTTPS HTTPS HTTP HTTP ILB 復号 暗号化 HTTP HTTP お客様既存環境IDCFクラウド環境 IDCFクラウドILBはスケールするLB、 ATSに対応したSSL終端が可能で 外部のサーバーへのバランシングも可能
  20. 20. 20 IDC Frontier Inc. All rights reserved. ATS対応確認方法 # openssl ciphers -v | grep TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384 ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384 ~以下、略~  終端させるサーバーにてcipher suite対応を確認 以下、含まれているか確認する ECDHE_ECDSA_AES256_GCM_SHA384 TLSv1.2 ECDHE_ECDSA_AES128_GCM_SHA256 TLSv1.2 ECDHE_ECDSA_AES256_CBC_SHA384 TLSv1.2 ECDHE_ECDSA_AES256_CBC_SHA TLSv1.2 ECDHE_ECDSA_AES128_CBC_SHA256 TLSv1.2 ECDHE_ECDSA_AES128_CBC_SHA TLSv1.2 ECDHE_RSA_AES256_GCM_SHA384 TLSv1.2 ECDHE_RSA_AES128_GCM_SHA256 TLSv1.2 ECDHE_RSA_AES256_CBC_SHA384 TLSv1.2 ECDHE_RSA_AES128_CBC_SHA256 TLSv1.2 ECDHE_RSA_AES128_CBC_SHA TLSv1.2
  21. 21. 21 IDC Frontier Inc. All rights reserved. ATS対応確認方法 $ ab -n 10000 -c 100 -f TLSv1.2 -Z ECDHE-RSA-AES128-GCM-SHA256 https://~ ~略~ Server Software: Apache/2.2.15 Server Hostname: ~ Server Port: 443 SSL/TLS Protocol: TLSv1.2,ECDHE-RSA-AES128-GCM-SHA256,2048,128 ~略~  ApacheBenchでcipher suite対応や性能を確認 オプション -f SSL/TLS protocol -Z SSL/TLS cipher suite (openssl ciphersの値が利用可) 結果 SSL/TLS Protocolの値を確認
  22. 22. 22 IDC Frontier Inc. All rights reserved. ATS対応確認方法 $ nscurl --ats-diagnostics https://~ Starting ATS Diagnostics Configuring ATS Info.plist keys and displaying the result of HTTPS loads to https://~. A test will "PASS" if URLSession:task:didCompleteWithError: returns a nil error. Use '--verbose' to view the ATS dictionaries used and to display the error received in URLSession:task:didCompleteWithError:. ================================================================================ Default ATS Secure Connection --- ATS Default Connection Result : PASS --- ================================================================================ Allowing Arbitrary Loads --- Allow All Loads Result : PASS --- ================================================================================ Configuring TLS exceptions for ~ --- TLSv1.2 Result : PASS ~以下、略~  外から対応を確認 ←ResultがPASSであれば成功 ←以降はTLSv1.2を確認 nscurlは、MacOS X El Capitan 10.11 以降でデフォルトで入って いるコマンドです
  23. 23. 23 IDC Frontier Inc. All rights reserved. まとめ  早目にATS対応しましょう  SSLの処理は重たいので構成に注意  今後のことも考えしっかり構成検討しましょう  IDCFクラウドILBなら簡単に導入できます  大規模な環境の場合は、ご相談ください

×