2015年2月3日に米国で掲載されたブログ記事の抄訳です。

世界中の各国政府ではデータセンターインフラストラクチャの変更に力をいれて取り組んでいます。米国のFDCCI (Federal Data Center Consolidation Initiative; 連邦政府データセンター統合イニシアチブ) のように、大規模なデータセンター統合プロジェクトが進行中の国もあれば、仮想化による利便性の活用や、共有サービスモデルに移行している国もあります。最終的にパブリッククラウドインフラストラクチャが政府機関向けに適しているかどうかの多くの検討が行われています。米国政府のパブリッククラウドへの関心に応えるため、Amazon Web Service (AWS) は専用のクラウドサービスであるGovCloudおよびC2S (Commercial Cloud Services) を情報コミュニティ用に開発しました。これは米国政府に対して特別に設計されています。

データセンターインフラストラクチャ計画において考慮すべきことは多々ありますが、セキュリティは間違いなくその筆頭です。パロアルトネットワークスは、サイバーセキュリティのためのインフラストラクチャを政府機関が確保するために、あらゆる支援を行っています。データセンターの移行段階に関わらず、当社は米国連邦政府の各部門を含む多くのお客様のインフラストラクチャをセキュアにするための協力をしてきました。

最近では、政府機関向け情報ネットワークを提供するMeriTalk社と協業し、米国連邦政府の「セキュリティ健康診断」を行うための調査を実施しました(詳細レポートはこちらを参照)。この調査では、300人の米国連邦政府ITマネージャーに対し、データセンターの移行実施時に最重要となるセキュリティ上の課題について調査しました。結果は興味深いもので、多くの政府機関がデータセンターとクラウド化計画において共通のセキュリティ上の懸念を持っていたことが判明しました。

幸いなことに当社の製品ポートフォリオは、政府のデータセンターの進化過程に関わらず、顧客データを保護するセキュリティソリューションを提供しており、本調査の回答者が現在のデータセンター向けセキュリティソリューションにおいて認識しているセキュリティ上の課題の多くを解決することができます。いくつかデータセンターにおけるセキュリティ上の課題の例を挙げてみましょう。

統合における課題

「統合」には多くの意味がありますが、データセンターのセキュリティに関して言えば、ソリューションが既存の物理または仮想化ネットワーク インフラストラクチャとどの程度うまく結び付けられるかを指します。パロアルトネットワークスの次世代ファイアウォールは、既存の物理データセンターネットワークと容易に統合させるために、L2、L3、バーチャルワイヤー、混在モードを含む多様なネットワークモードをサポートしています。バーチャルワイヤーは次世代ファイアウォールをbump-in-the-wireとも呼ばれる完全に透過型のネットワークデバイスにすることができ、多くの顧客ネットワークにおける統合の課題を解決するとともに、アクティブ/パッシブおよびアクティブ/アクティブの両方のHA (高可用性) モードで運用することが可能です。

仮想化コンピューティング環境の観点からの「統合」とは、使用中のハイパーバイザーおよびオーケストレーション(自動化)ツールとセキュリティソリューションがどれだけ密に連携するかを意味します。仮想化ファイアウォールであるパロアルトネットワークスのVMシリーズにより、お客様は物理アプライアンスと全く同じ次世代ファイアウォールおよび高度脅威防御機能をプライベート、パブリック、ハイブリッドの各クラウドコンピューティング環境に導入できるようになります。VMシリーズはVMwareのESXiおよびNSX、Amazon Web Services、OpenStackを使うKVMなど、多彩なハイパーバイザーをサポートしています。これらの環境において、高度な脅威に対しアプリケーションとデータの両方を保護しながら、お客様はクラウド環境に入るトラフィックやクラウド内部を移動するトラフィックを分析できるようになります。さらにVMシリーズは、サードパーティのオーケストレーションおよび管理ツールとの連携を簡素化するため、XML APIを組み込んでいます。以下に記載されるプロビジョニングの容易さにより、使用するプラットフォームの選択やデータセンターのインスタンス化に関わらず、データセンターやクラウド内における変更発生時のシームレスな連携を行えるようにします。

プロビジョニングの遅延について

物理および仮想化の両方のネットワーク環境において、お客様はコンピュータ ワークロードの追加、削除、変更時に発生する不整合の管理と、いかに迅速にセキュリティポリシーを導入できるかに頭を悩ましています。この遅延を最小限に抑えるために、パロアルトネットワークスの次世代ファイアウォールはコンピューティング ワークロード (物理および仮想) の変化にセキュリティ要件が追随できるように、効率的なポリシーの導入を行う豊富な管理機能を提供しています。

コンピュータ ワークロードが変化したり追加や削除が行われたりしたときに、PAN-OSセキュリティ オペレーティング システム内の機能はこれらのコンテキストの変化を認識し、どのIPアドレスが変わったかを能動的に学習し、セキュリティポリシーにアップデートを自動的に適用します。その結果、ワークロードの変化とセキュリティポリシー更新の際に発生する遅延を劇的に減らすことができます。多数の仮想または物理のパロアルトネットワークスの次世代ファイアウォール製品が導入されている場合、Panoramaによってそれらを一元管理し、一貫したセキュリティポリシーを適用できます。Panoramaは集中型のロギングおよびレポーティング機能も提供しており、ユーザーは仮想化アプリケーション、ユーザー、コンテンツの可視化が行えます。

パフォーマンスの不足について

アプリケーショントラフィックの分類と検査を完全に行うには、コンピュータ リソースを大きく消費しますが、パロアルトネットワークスの次世代ファイアウォールアプライアンスはこれに対処するためにセキュリティ機能を有効にした場合でもパフォーマンスを予測できる専用設計となっています。シングルパスのソフトウェア アーキテクチャは、トラフィックに対して一度だけ定義された機能を実行し、UTMやその他セキュリティ ソリューションが行うマルチパスでのスキャンや意思決定プロセスを排除しています。このシングルパス ソフトウェア アーキテクチャは、ネットワーク、セキュリティ、コンテンツの検査と管理に関する主要機能に対して独自処理を行う専用ハードウェアと融合しています。最終的には、120Gbpsの完全なサイバーセキュリティ処理が可能な次世代ファイアウォール アーキテクチャとなっています。プロキシベースのファイアウォールやUTMを使用しているお客様は、当社のプラットフォームを利用いただければパフォーマンス向上を実感することでしょう。

ソリューションの断片化について

パロアルトネットワークスのエンタープライズセキュリティプラットフォームの利点に、どのアプリケーションが誰によって使われているか、どのようなデータがそこに含まれているかを知ることで実現されるコンテキスト制御があります。エンタープライズ セキュリティプラット フォーム内の可視化、ポリシー制御、ロギング(データログの記録)、レポーティング、分析のすべての機能は、ネットワークとデータセンターのセキュリティに対する閉ループのフィードバック プラットフォームを提供するため、このコンテキスト認知を最大限に活用します。ここで用いられるWildFire™によるATP、IPSによる既知脅威防御、ネットワーク型アンチウイルスおよびアンチスパイウェア、GlobalProtect™によるモバイルセキュリティ管理といったすべてのセキュリティ機能は、継続的なアップデートのためにプラットフォーム間で相関分析や共有が行われ、データセンターやネットワーク向けに最新の攻撃防御策が反映します。

仮想マシンに対するセキュリティ欠如について

パロアルトネットワークスのVMシリーズは、エンタープライズ セキュリティ プラットフォームの機能を仮想化することで、お客様が仮想ワークロードのセキュリティを保ちながら高度なサイバー攻撃を防御できるようになります。当社のプラットフォームの仮想インスタンスを生成するというアイデアを数年前に提供してくれたのは顧客の一つである世界的な政府機関です。AWS GovCloudを利用されている場合、AWS向けのVMシリーズはBYOL (Bring Your Own License) モデルで利用可能であり、VMシリーズはVMware ESXi/NSX、KVM、Citrix SDXもサポートしています。VMシリーズはパロアルトネットワークスの認定パートナーから購入可能です。

パロアルトネットワークスのエンタープライズセキュリティプラットフォームを利用することで、ノース-サウス(物理ネットワーク)トラフィックだけでなくイースト- ウエスト(仮想マシン間)トラフィックも保護することが可能です。攻撃者がネットワーク境界に侵入してくる際にブロックするだけでなく、データセンターに侵入し、データセンター内部で拡散を試みるときにもブロックします。

クラウドセキュリティの必要性に沿ったデータセンター構築に役立つ追加資料


MeriTalkの調査結果に関するメディアの反応については以下を参照してください(英語)。