組織におけるパブリッククラウドの利用ニーズは年々高まり、従来のオンプレミスの環境では促進できなかったコストの削減、ビジネスのスピードアップ、イノベーションの実現に期待が寄せられています。一方、パブリッククラウドの採用を進めるユーザーが増加するにつれて、セキュリティに対する懸念の声は常に聞こえてきます。

パブリッククラウド上にシステムを展開して利用する際、まずはクラウド ベンダーが責任を持ってセキュリティ対策を実装する範囲と、ユーザー側が責任を持ってセキュリティ対策を実装する範囲を正しく理解する必要があります。具体的には、セキュリティの責任共有モデルとして下記の図のように定義されています。

クラウド ベンダーでは、物理的なデータセンター、物理ネットワーク、物理ホスト等のインフラのセキュリティに関する責任を負い、構築・運用を行っています。 「クラウドの方がオンプレミスよりも安全」という見解に対し、OSから上のレイヤーもクラウド ベンダーが責任を持って対応してもらえるのではないか、と誤解している利用者も多いので注意が必要です。

WindowsやLinuxの仮想マシンをクラウドに展開した場合、VMのセキュリティ更新プログラムの適用やデータの暗号化などは、ユーザーの責任範囲で実施します。これは、パブリッククラウドにおいても、物理環境と同じ入口・出口対策が必要であることを意味します。

パブリッククラウドの標準機能では、AWSのSecurity Group、Microsoft Azure のNetwork Security Groupのように、ポートベースのアクセス制御を提供するセキュリティ機能が提供されています。

具体的には、アクセス元・アクセス先のIPアドレスおよび、ポート番号を指定して許可・拒否する通信の制御が可能となります。しかし、この機能は、オンプレミス環境で標準の対策として皆様が実施している次世代ファイアウォール、IPS対策とは大幅にかけ離れており、トラフィックの可視化、未知、既知の攻撃を防ぐ機能を有していません。つまり、オンプレミス環境とクラウド環境で対策のセキュリティレベルに差が出てしまいます。

パロアルトネットワークスの製品は、これらの攻撃に対する保護機能を提供します。パブリッククラウド上のトラフィックをアプリケーションレベルで可視化・コントロールし、同時に脅威防御に対しても対応可能になります。

 

パブリッククラウドに標準で実装されている機能

パロアルトネットワークスの次世代ファイアウォールに実装されている機能

 

パロアルトネットワークスの製品は、ハードウェアアプライアンスとして企業に広く利用されていますが、クラウドに対応した「VM-Series for AWS」、「VM-Series for Microsoft Azure」製品を提供しています。

この度パロアルトネットワークスは、パブリッククラウドにおける VM-Series の展開に関するリファレンス アーキテクチャをリリースしました。クラウド上のアプリケーションやオンプレミス環境との通信を保護するためにVM-Seriesを展開する際の考慮事項、ライセンスの調達オプション、設計パターン等について解説しています。

使いたいと思った直後からすぐにリソースを利用することができ、利用した分だけ費用を支払い、不要になったら停止して課金をストップするのがクラウドのメリットであり、VM-Seriesもこのクラウドのメリットを享受できる形態で提供しています。セキュリティ対策を先延ばしにするのではなく、クラウドシステム構築時からセキュリティ対策も並行して検討する際のリファレンス ガイドとしてご利用ください。

AWSリファレンス アーキテクチャガイドこちらよりダウンロード可能です。

Microsoft Azureリファレンスアーキテクチャガイドこちらよりダウンロード可能です。


 

PA-800 シリーズ

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。

  • 0
  • 6606

PA-5200 シリーズ

パロアルトネットワークス® PA-5200シリーズの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。

  • 0
  • 2958

脅威に関する情報: Meltdown、Spectre 脆弱性と弊社製品の状況について

2018 年 1 月 3 日頃から、ハードウェアベンダ、ソフトウェアベンダともに、「Meltdown」、「Spectre」というニックネームで呼ばれる脆弱性に活発に対応してきました。 本稿では、現状と脆弱性についての概要、パロアルトネットワークスのお客様を含めた読者の皆さんが本問題のリスク評価するにあたっての指針、これら脆弱性の悪用による攻撃を成功させないために取るべきベストプラクティスについてまとめていきます。

Palo Alto Networks,
  • 0
  • 1079

オープンソースソフトウェアを利用した 暗号通貨 「Monero」の大規模なマイニング攻撃キャンペーン

概要 パロアルトネットワークスの脅威インテリジェンスチーム Unit 42 は、大規模な 暗号通貨 のマイニング(採掘)攻撃キャンペーンが、4 ヶ月以上にわたり活発に行われている様子を観測しました。この攻撃では、暗号通貨の1つであるMoneroのマイニングのために、オープンソースの マイニングソフトウェアXMRig ユーティリティが利用されています。

  • 0
  • 976

2017年日本のサイバーセキュリティ予測

本投稿は、米本社で連載されている「短期的展望」と「長期的展望」で探る2017年のサイバーセキュリティ予測シリーズの一部です。本記事は英語版でもご確認いただけます。

  • 0
  • 2470