2012年からの内部アプリケーションが、今もビジネスの基盤となる数値を計算しています。コードはプレーンなHTTP、セッションモデルはcookie、認証はフォームがstored procedureにpostするもの。まだ危険なものは何もありません — しかし、あらゆる外部評価、あらゆる監査、あらゆるセキュリティスキャンが、今やこのアプリケーションをフラグ付けします。書き換えはチームに1年を要し、そのチームには余裕がありません。パブリッククラウドへの移行は、すでにデプロイメントモデルを書き直すことを意味し、その上に新しいベンダーと新しい請求が加わります。結果:アプリケーションは動作し続け、ギャップは広がっています。
第三の道、それはほとんどの運用チームが本当に望む道です:アプリケーションをそのままの場所に残し、その前にモダンでプログラム可能な層を配置すること。edgeでのSSL終端と最新の暗号。HTTPセマンティクスを理解するWAAP。アプリケーションのコードを1行も変更せずに、フォームログインをモダンSSOに置き換えること。今もアプリケーションをメンテナンスする管理者のためのクライアントレスRDPとSSH。HTTPですらないレガシー部分のためのマルチプロトコルリスナー。
TR7はこの道のために作られています。お客様のモダンなサービスを動かすのと同じ配信・保護プラットフォームが、レガシーサービスの前面のモダンな層に変わります — すでにお客様が運用しているネットワーク上で、すでにお客様が保持している監査記録のもとで。
それぞれ単独でも重要です。すべてを合わせると、モダナイゼーション層がお客様自身のネットワーク内かつ単一プラットフォーム上に留まるとき、それがどう見えるかを描き出します。
レガシーbackendの前にvServiceを定義します。edgeでモダンな暗号によるSSL終端。受信リクエストでのWAAP検査。ヘルスチェック、レート制限、コンテンツ認識ルールが、実際にはそのいずれにも基づいて設計されていないサービスに適用されます。レガシーアプリケーションはTR7の背後でプレーンなHTTPを話し続けます — 一方、外部リスナーは2026年を話します。
ほとんどのレガシーアプリケーションは、データベースにpostするフォーム、フレームワークが信頼するヘッダー、またはHTTP basicで認証します。TR7 AAMのService-Based Authenticationモードがこのやり取りを置き換えます。ユーザーは一度、OIDC、SAML、または既存のIdP経由でログインします。TR7はレガシーの認証部分 — ヘッダー、cookie、basic認証 — をbackend側に、アプリケーションがちょうど期待する形式で注入します。アプリケーションにコード変更はありません。
今もレガシーアプリケーションをメンテナンスするチームは、しばしば重いRDPクライアントや別個のSSH/VNCツールを使用します。TR7はこれらのターゲットをブラウザ経由で開きます — クライアントのインストールなし、オペレーターのマシンにVPNトンネルなし。各セッションはトンネリングされコマンドレベルで記録されます;単一の取り消しがすべてのアクティブセッションを終了させます。
レガシーアプリケーションのインベントリにはHTTP以上のものがあります。パートナー間のFTP転送。UDPベースの産業プロトコル。プレーンなTCPサービス。アーカイブコンテンツの静的ファイル配信。TR7はこれらをHTTPフロントを保護するのと同じエンジン上でカバーします — FTP relay、UDP proxy、TCP passthrough、静的コンテンツ用の専用リスナー。別途デバイスなし、並行するセキュリティモデルなし。
レガシーアプリケーションは、しばしばコード変更に値しない外科的な修正を必要とします:応答ボディ内の混在コンテンツのURL、欠落しているセキュリティヘッダー、翻訳が必要なフォームフィールド名、secureフラグを追加すべきcookie。TR7のコンテンツ認識ルールが、応答を編集し、ヘッダーを注入し、フォームを修正します — 視覚的なポリシービルダーで。独自のスクリプト言語なし、ビルドサイクルなし。レガシーアプリケーションは本番稼働を続けます;モダンな振る舞いがその前面で行われます。
以下の各機能は、お客様のモダンなサービスを配信し保護するのと同じプラットフォーム上で動作します。
今もプレーンHTTPや弱いTLSを話すアプリケーションの前に、モダンな暗号、最新の証明書、OCSP stapling。レガシー暗号は、インターネットに露出した問題であることをやめ、backendの問題になります。
インジェクション攻撃がまだカテゴリですらなかった頃に書かれたbackendへ、すべてのリクエストが到達する前に検査します。シグネチャ + スコアリング、完全なHTTPセマンティクス認識、レガシースタック特有の振る舞いのためのコンテンツ認識ルール。
AAM Service-Based Authenticationモードが、レガシーのログインフローをお客様のIdP経由のOIDCまたはSAMLに置き換えます。TR7はその後、レガシーアプリケーションが期待する部分 — ヘッダー、cookie、basic auth — を、ユーザーがあたかも古い方法でログインしたかのようにアプリケーションへ渡します。
多要素認証をアクセス層で適用します。レガシーアプリケーションは、ユーザーがすでにMFAプロンプトを通過したことを知りません — そして知る必要もありません。
ブラウザ経由のRDP、SSH、VNC。メンテナンスチームはTR7経由でマシンにアクセスし、オペレーターはラップトップにクライアントをインストールする必要がありません。SSHではコマンドレベルの記録;オペレーターのセッションを最初から最後までカバーします。
これらのチェックのために一度も準備されていないbackendのための、アクティブおよびパッシブのヘルス検査。問題のあるノードはローテーションから外れます;レガシーアプリケーションはアベイラビリティゾーンという概念があることを知る必要すらありません。
パスベースのレート制限、条件付きトラフィックシェーピング、スクリプト不要のリクエスト/応答編集。不正な形式のヘッダーを編集し、フレームワークが一度も設定しなかったセキュリティヘッダーを追加し、騒がしいエンドポイントを制限する — 視覚的なルールビルダーで。
外部クライアントはTR7に接続します。レガシーアプリケーションは直接アクセスできません。探索スキャン、ポートスキャン、認証前の試行はモダンな層で終わります;攻撃面はもはやレガシーコードではありません。
アクセスログ、トラフィック統計、エラー率、レイテンシヒストグラム、セキュリティイベント — それらのいずれも自身で生成しないアプリケーションのために。レガシーサービスはbackend側に一切の変更なく、前面から可観測になります。
パートナーとのデータ転送のためのFTP relay。産業テレメトリーのためのUDP proxy。独自プロトコルのためのTCP passthrough。アーカイブコンテンツのための静的コンテンツ配信。単一プラットフォーム、単一のオペレーターパネル。
ADC、WAAP、AAMは同じエンジン上で動作し、単一の帯域幅ライセンスを共有します。レガシーアプリケーションの前にモダンな層を置くために、別途ライセンスされるアクセスモジュール、WAAPモジュール、gatewayモジュールはありません。
モダンな層は、お客様自身のハードウェア上で、お客様のデータセンター内で、お客様の監査記録のもとで動作します。アイデンティティ決定、セッショントラフィック、セキュリティイベントは、レガシーアプリケーションがすでに存在する場所に留まります。
各層はモダンなスタンスに一部を加えます。すべてを合わせると、何年もかかる書き換えプロジェクトを設定オブジェクトが置き換えます。
TR7 ADCがレガシーbackendの前に立ちます。edgeでのSSL終端、モダンな暗号、最新の証明書、ヘルスチェック、そして既存のレガシーノードが何台であれそのすべてにわたる負荷分散。外部リスナーは最新のTLSを話します;レガシーbackendは何を話していようとそれを話し続けます。
TR7 WAAPが、敵対的なトラフィックに合わせて設計されていないbackendへ、すべてのリクエストが到達する前に検査します。OWASPカテゴリ、シグネチャ + スコアリング検出、レガシースタックの振る舞いのためのコンテンツ認識ルール、L4およびL7でのDDoS保護。
TR7 AAM Service-Based Authenticationが、レガシーのログインフローを置き換えます。ユーザーはIdP経由のOIDCまたはSAMLで認証します;MFAはedgeで適用されます。TR7はその後、レガシーアプリケーションが期待する部分 — ヘッダー、cookie、basic認証 — をbackend側に注入します。
レガシーアプリケーションをメンテナンスするチームのためのクライアントレスRDP、SSH、VNC。ブラウザ経由のみのアクセス、コマンドレベルの記録、ワンクリックの取り消し。オペレーターのデバイスに、12年もののサーバーにアクセスするためのクライアントはインストールされません。
レガシーインベントリがFTP、UDPテレメトリー、独自TCPサービス、静的アーカイブホスティングを含む場合、同じプラットフォームがそれらを専用リスナーでカバーします。別途デバイスなし、別途オペレーターパネルなし、別途監査記録なし。
モダナイゼーション層の各部分はvServiceとして設定されます。お客様のモダンなAPIを配信するのと同じ設定オブジェクトが、レガシーのフォームベースアプリケーションも配信します。同じオペレータースキル、同じ可観測性、同じ監査記録。
モダンな脅威モデルがまだ存在しなかった頃に書かれたback-office HTTPアプリケーション。TR7はそれらを、コードに触れずWAAP、モダンSSO、MFAでラップします。自身でログを生成しないアプリケーションの前に監査対応可能な記録。
顧客が変更できない、ベンダー提供の臨床プラットフォーム。TR7はモダンなセキュリティとアクセスの層をその前に配置します;ベンダーのリリースサイクルに触れずにコンプライアンスと監査の要件を満たします。
UDP経由の産業テレメトリー、FTP経由のパートナーデータ、RDP経由の監督アクセス。単一のTR7インスタンスがそれらすべてをカバーします — どちらも一度も持っていなかったプロトコルのためのモダンなセキュリティと可観測性。
10年にわたって蓄積された部門アプリケーション。TR7はそれらを、組織のIdP経由のモダンSSOでフロント化し、直接のインターネット露出をidentity-awareアクセスに置き換え、セキュリティチームにロングテールの可観測性を提供します。
ネットワークを離れられず、新しい規制が求めるスケジュールでは書き換えられない内部アプリケーション。TR7はモダンなコンプライアンス層 — SSL、WAAP、モダンSSO、監査対応可能な記録 — をその前に、オンプレミスで配置します。
POSのback-office、サプライチェーン統合、そしてベンダー独自のリリーススケジュールを持つパートナーポータル。TR7はベンダーを待たずに、それらの前面のセキュリティとアクセスのスタンスをモダナイズします。
このソリューションが参照する機能 — 上記で説明した制御を構成する技術的要素。
VPN アクセスを別個のネットワーク例外としてではなく、AAM のアイデンティティとデバイス信頼ポリシーの一部として管理します。
RDP、VNC、SSH、Kubernetes、レガシーシステムへブラウザからアクセス — クレデンシャルボールト、記録、ウォーターマークが標準装備。
アプリケーションコードを変更せずにHTTP→HTTPS移行、ドメイン移行、パス移動、エラーリダイレクトを管理します。
バックエンドを変えずにパスを変える — クライアントはURLを保持しながら、内部では新しいアーキテクチャが動作します。
ルールをビジュアルで作成し、コンパイル済みトラフィック動作を得る — スクリプトなしでリクエストとレスポンスフローを管理します。
ヘッダーを超える — ボディコンテンツをトラフィックとセキュリティの決定に組み込みます。
バックエンドのIPアドレス、ゲートウェイ、ルートに触れずにTR7 ADCをトラフィックパスに挿入。
ネットワークを統合せずにサービスを接続 — 重複するIPプランとテナント分離を単一のvServiceモデルで管理。
FTPを単なる開放ポートとしてではなく、コマンドごとに制御された安全なファイル転送セッションとして管理します。
外部NTPプールから内部インフラへ。中央集約され、制御され、分離された時刻ソース。
SIEM前段でUDPおよびTCP syslogトラフィックを収集・分類・複製・転送します。
単一TR7。複数テナント。リソース、ネットワーク、運用の境界が互いに分離。
コード変更なしで数分以内にトラフィック層で脆弱性を閉じます。
フロントでモダンな認証、下流にはヘッダー・Authorization・Cookieとして注入されたアイデンティティ — レガシーアプリはレガシーのまま。
実際のレガシーアプリケーションをTR7デモにお持ちください;モダナイゼーション層がその前面でどう立ち上がるかをお見せします — SSL終端、WAAP検査、モダンSSO、可観測性 — そのコードに1行も触れることなく。