Zimperium: Oracle Cloud Infrastructureでのモバイル脅威防御(MTD)ソリューションのデプロイメント
企業がモバイル・アプリケーションをセキュリティ上の脅威から守ることを支援することは、Zimperiumにとって最優先事項です。
Zimperiumのクラウドネイティブ・モバイル・セキュリティ・プラットフォームは、z9の機械学習エンジンを使用して、ネットワーク、フィッシングおよびアプリケーションの攻撃からモバイル・デバイスを保護します。Oracle PartnerNetworkのメンバーとして、ZimperiumはOracleと協力して、Oracle Cloud Marketplaceでモバイル脅威防御(MTD)サービスを提供しています。このプラットフォームをOracle Cloud Infrastructureに移行したZimperiumは、そのインフラストラクチャ・コストを20%削減するだけでなく、アプリケーションの可用性も向上し、セキュリティも強化されており、コンピュート・インスタンスを現在のワークロードに合せてより迅速に変更できます。
アーキテクチャ
ZimperiumはOracle Cloud Infrastructure Container Engine for Kubernetesを使用してアプリケーション・スタックをデプロイしました。
アプリケーション・ワークロードはプライベート・サブネットにデプロイされ、トラフィック・インテーク用のパブリック・ロード・バランサを使用してパブリック・インターネットから分離されます。
Nginxは、Dockerコンテナで実行されている様々なアプリケーション・コンポーネントにトラフィックを転送するためのプライベート内部ロード・バランサとして使用されます。
Zimperiumは、顧客データ管理レイヤーの場合、PostGreSQLオープン・ソース・データベースで標準化されており、Oracle Cloud Infrastructure Computeインスタンスで実行されているマルチノード・クラスタにデプロイされます。これらのコンピュート・インスタンスは、世界中の複数の可用性ドメインおよびリージョンにわたってレプリケートされます。PostGreSQLクラスタは、AnsibleとPythonベースのアプローチを組み合せたTerraformスクリプトを使用してデプロイされ、PostgreSQLを高可用性にします。これには、etcd、pgbouncer、hapーター障害検出およびVIPフェイルオーバーが含まれます。
その他のオープン・ソース・コンポーネントには、Elastic SearchおよびMongoDBもクラスタ構成に含まれており、アジリティ、スケーリングおよびビジネス継続性をサポートします。
同じインフラストラクチャ・アーキテクチャが他のOracle Cloud Infrastructureリージョンにグローバルにデプロイされます。
次の図は、このリファレンス・アーキテクチャを示しています。
このアーキテクチャには次のコンポーネントがあります。
- リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。リージョンは他のリージョンから独立し、広大な距離(国または大陸間)を分離できます。
- 可用性ドメイン
可用性ドメインは、リージョン内のスタンドアロンの独立したデータ・センターです。各可用性ドメインの物理リソースは、フォルト・トレランスを提供する他の可用性ドメインのリソースから分離されます。可用性ドメインでは、電源や冷却、内部の可用性ドメイン・ネットワークなどのインフラストラクチャは共有されません。そのため、ある可用性ドメインでの障害が、リージョン内の他の可用性ドメインに影響することはほとんどありません。
- 仮想クラウド・ネットワーク(VCN)とサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境を完全に制御できます。VCNには複数の重複しないCIDRブロックを含めることができ、VCNの作成後に変更できます。VCNをサブネットに分割できます。サブネットは、リージョンまたは可用性ドメインにスコープ指定できます。各サブネットは、VCN内の他のサブネットと重複しない連続したアドレスの範囲で構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックまたはプライベートにできます。
- セキュリティ・リスト
サブネットごとに、サブネット内外で許可されるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
- ルート表
仮想ルート表には、サブネットからVCNの外部の宛先(通常はゲートウェイ経由)にトラフィックをルーティングするルールが含まれています。
- インターネット・ゲートウェイ
インターネット・ゲートウェイを使用すると、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックが許可されます。
- サービス・ゲートウェイ
サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを通過することはありません。
- ロード・バランサ
Oracle Cloud Infrastructure Load Balancingサービスは、バックエンド内の単一エントリ・ポイントから複数のサーバーへの自動トラフィック分散を提供します。
- ファイル・ストレージ
Oracle Cloud Infrastructure File Storage Serviceでは、永続的でスケーラブルなセキュアなエンタープライズ規模のネットワーク・ファイル・システムを提供します。VCNのベア・メタル、仮想マシンまたはコンテナ・インスタンスからファイル・ストレージ・サービスのファイル・システムに接続できます。Oracle Cloud Infrastructure FastConnectおよびIPSec VPNを使用して、VCNの外部からファイル・システムにアクセスすることもできます。
- Container Engine for Kubernetes
Oracle Cloud Infrastructure Container Engine for Kubernetesは、コンテナ化されたアプリケーションをクラウドにデプロイするために使用できる、完全に管理されたスケーラブルで可用性の高いサービスです。アプリケーションで必要なコンピュート・リソースを指定すると、Container Engine for KubernetesがそれらをOracle Cloud Infrastructureの既存テナンシにプロビジョニングします。Container Engine for Kubernetesは、Kubernetesを使用して、ホストのクラスタ間でコンテナ化されたアプリケーションのデプロイメント、スケーリングおよび管理を自動化します。
- レジストリ
Oracle Cloud Infrastructure Registryは、開発から本番へのワークフローを簡略化できる、Oracle管理のレジストリです。レジストリによって、Dockerイメージなどの開発アーティファクトを簡単に格納、共有および管理できます。Oracle Cloud Infrastructureの高可用性とスケーラブルなアーキテクチャにより、アプリケーションを確実にデプロイおよび管理できます。
- Compute
Oracle Cloud Infrastructure Computeサービスでは、クラウドでコンピュート・ホストをプロビジョニングおよび管理できます。CPU、メモリー、ネットワーク帯域幅およびストレージのリソース要件を満たすシェイプを使用してコンピュート・インスタンスを起動できます。コンピュート・インスタンスを作成したら、そのコンピュート・インスタンスに安全にアクセスして再起動し、ボリュームをアタッチおよびデタッチしてから、不要になったら終了できます。