いまどきのアプリケーションスイッチ(ロードバランサ)であれば、だいたいどのメーカーもSSLアクセラレータが標準、あるいはオプションで実装可能かと思います。
SSL処理はhttp://itpro.nikkeibp.co.jp/article/COLUMN/20051107/224140/ などにもあるように、特に最初の鍵交換の部分でWebサーバに大きな負荷がかかります。そのため、Webサーバの前段に置いたアプリケーションスイッチでSSL処理を肩代わりします。たとえばhttp://fenics.fujitsu.com/products/ipcom/catalog/data/ssl/ などには、「SSL処理をサーバに行わせるよりもサーバの台数が少なくて済むので、費用対効果がある」というのを例をあげて説明しています。
また、アプリケーションスイッチでSSL処理ができれば、スイッチ側で複合化する・・・つまり、そのあとでL7的な処理ができる、というのもメリットです。URLベースでの振り分けやCookieやURLでの接続維持が可能となります。
IDS/IPSとかWAFとかの機能を提供する場合も、IDS/IPS/WAFに到達する前にアプリケーションスイッチで複合化するか、IDS/IPS/WAF自体がSSLアクセラレータ(高速化でなくとも、複合できてパケットの中身が見れるようにできるもの)の機能を持っている必要があります。このあたりは実際の構築とかでも気をつけないといけないです。あと、情報処理のネットワークスペシャリストだかセキュリティスペシャリストの試験でも、「SSLで暗号化されてて途中の機器が通信を読み取れない」といったあたりは聞かれやすいところかもしれません。
今はほとんどがアプリケーションスイッチのオプションでSSLアクセラレータ、という感じなので最近はあまり見ないのですが、昔はSSLアクセラレータ専用機も見かけました。
そういえばぢろーらもがIT系のパソコンスクールに通ってきたときの仲間がMCSE取得後にプリセールスエンジニアとして就職したのですが、そのときに最初に任されたのがSSLアクセラレータの販売サポートだったようです。どこまでが本当かはわかりませんが、そのときはITバブルだったこともあり、「ひととおり説明して機械のデモを見せて速く処理ができることを実感してもらったらすぐ買ってくれた」みたいなことを聞きました。まあ、今は景気もあまりよくないですし、状況だと競合も多いでしょうから、なかなかそうはいかないのかもしれません・・・。
アプライアンスを使う以外では、またそもそも、サーバの台数が1台か2台で、特に途中の機器ではIP/ポートレベルの処理ができればいいという場合だと、サーバにSSLアクセラレータのカードをいれる、という方法もあります。場合によってはこのほうが安上がりかも知れません。http://neta.ywcafe.net/000636.html などに例があります。
ただ、途中の機器でIP/ポートでの処理しかできない、ということは、途中のファイアウォールでもHTTPヘッダやデータに関わるような攻撃には対応できないので、サーバ上で稼働するファイアウォールやIPSなどでセキュリティを守る必要があるでしょう。
セキュリティが大きく騒がれる中、SSLの需要というのはなくなることはなく、今後も増えていくでしょう。その中の1つのソリューションとして、SSLアクセラレータの役割もますます大きくなってくるのかもしれませんね。
この記事が気に入りましたら、また、お役に立ちましたら、以下のアイコンをクリックしていただけると嬉しいです(^^)
※コメント投稿者のブログIDはブログ作成者のみに通知されます