組織におけるパブリッククラウドの利用ニーズは年々高まり、従来のオンプレミスの環境では促進できなかったコストの削減、ビジネスのスピードアップ、イノベーションの実現に期待が寄せられています。一方、パブリッククラウドの採用を進めるユーザーが増加するにつれて、セキュリティに対する懸念の声は常に聞こえてきます。

パブリッククラウド上にシステムを展開して利用する際、まずはクラウド ベンダーが責任を持ってセキュリティ対策を実装する範囲と、ユーザー側が責任を持ってセキュリティ対策を実装する範囲を正しく理解する必要があります。具体的には、セキュリティの責任共有モデルとして下記の図のように定義されています。

クラウド ベンダーでは、物理的なデータセンター、物理ネットワーク、物理ホスト等のインフラのセキュリティに関する責任を負い、構築・運用を行っています。 「クラウドの方がオンプレミスよりも安全」という見解に対し、OSから上のレイヤーもクラウド ベンダーが責任を持って対応してもらえるのではないか、と誤解している利用者も多いので注意が必要です。

WindowsやLinuxの仮想マシンをクラウドに展開した場合、VMのセキュリティ更新プログラムの適用やデータの暗号化などは、ユーザーの責任範囲で実施します。これは、パブリッククラウドにおいても、物理環境と同じ入口・出口対策が必要であることを意味します。

パブリッククラウドの標準機能では、AWSのSecurity Group、Microsoft Azure のNetwork Security Groupのように、ポートベースのアクセス制御を提供するセキュリティ機能が提供されています。

具体的には、アクセス元・アクセス先のIPアドレスおよび、ポート番号を指定して許可・拒否する通信の制御が可能となります。しかし、この機能は、オンプレミス環境で標準の対策として皆様が実施している次世代ファイアウォール、IPS対策とは大幅にかけ離れており、トラフィックの可視化、未知、既知の攻撃を防ぐ機能を有していません。つまり、オンプレミス環境とクラウド環境で対策のセキュリティレベルに差が出てしまいます。

パロアルトネットワークスの製品は、これらの攻撃に対する保護機能を提供します。パブリッククラウド上のトラフィックをアプリケーションレベルで可視化・コントロールし、同時に脅威防御に対しても対応可能になります。

パブリッククラウドに標準で実装されている機能

パロアルトネットワークスの次世代ファイアウォールに実装されている機能

パロアルトネットワークスの製品は、ハードウェアアプライアンスとして企業に広く利用されていますが、クラウドに対応した「VM-Series for AWS」、「VM-Series for Microsoft Azure」製品を提供しています。

この度パロアルトネットワークスは、パブリッククラウドにおける VM-Series の展開に関するリファレンス アーキテクチャをリリースしました。クラウド上のアプリケーションやオンプレミス環境との通信を保護するためにVM-Seriesを展開する際の考慮事項、ライセンスの調達オプション、設計パターン等について解説しています。

使いたいと思った直後からすぐにリソースを利用することができ、利用した分だけ費用を支払い、不要になったら停止して課金をストップするのがクラウドのメリットであり、VM-Seriesもこのクラウドのメリットを享受できる形態で提供しています。セキュリティ対策を先延ばしにするのではなく、クラウドシステム構築時からセキュリティ対策も並行して検討する際のリファレンス ガイドとしてご利用ください。

AWSリファレンス アーキテクチャガイドはこちらよりダウンロード可能です。

Microsoft Azureリファレンスアーキテクチャガイドはこちらよりダウンロード可能です。

リスト 1 ばらまき型攻撃数を増加させた新たな脆弱性、テクニック、攻撃キャンペーン