仮想化セキュリティ

コンピューティング リソースの最適化に向けて、企業は1台のサーバー上でリスクレベルの異なるアプリケーションの仮想化への対応を進めています。こした環境では、仮想サーバー内の通信のセキュリティ確保に仮想ファイアウォールが重要な役割を果たします。

パロアルトネットワークスのVMシリーズは、OSにPAN-OSTM を採用した次世代ファイアウォールの仮想版です。VMシリーズは、ホスト内トラフィックの特定・制御、さらに安全確保を担い、以下の独自の仮想化セキュリティ機能を備えています。

ダイナミック アドレス グループによるポリシー作成

ダイナミック アドレス グループ機能では、仮想マシンの識別子として、静的なオブジェクト定義ではなく、タグを使ったポリシー作成が可能です。仮想マシンの属性として複数のタグを設定することで、ダイナミック アドレス グループ内で名前解決が可能です。仮想マシンのインスタンス化や移動の際、手作業によるポリシーの変更を一切必要とすることなく、アプリケーションの安全な使用許可ポリシーを適用できます。 

VMモニタリングとコンテキスト

VMシリーズのVMモニタリング機能は、ダイナミック アドレス グループと連携して動作します。VMシリーズは、VMware環境(ESXiやvCenter)に直接ポーリングを実行するか、User-IDエージェントを介して、仮想マシンのインベントリや変更の有無を確認します。仮想マシン属性は、タグとして収集してから、ダイナミック アドレス グループで仮想マシンの変更を追跡するために利用されます。VMコンテキストは、VMWare NSX統合機能のあるPanoramaで自動共有できます。その場合、VMware NSXからのVMコンテキストは、Panorama内のダイナミック アドレス グループに自動入力されます。  

自動配備・プロビジョニング

仮想化やクラウド コンピューティングの登場を受け、仮想マシンの導入ペースが劇的に上がっています。しかし、セキュリティポリシーの設定はいまだに手作業頼りで、何度も変更承認手続きが発生します。この結果、アプリケーション配信のダイナミックな自動化が実現します。さらにパロアルトネットワークスの強力なXML管理APIを利用することで、外部のクラウド オーケストレーション ソフトウェアが暗号化回線を介してパロアルトネットワークスのファイアウォールに接続し、管理や設定が可能になります。このAPIには詳細なマニュアル類が用意されています。RESTベースのAPIのため、プログラム次第で設定パラメータの表示、設定、変更が可能になり、データセンターのワークフローにセキュリティを組み込むことができます。 

脅威防御とハイパーバイザ セキュリティ

パロアルトネットワークス次世代ファイアウォールは、完全統合型の脅威防御ソリューションを通じて新たな脅威から組織を守ります。 Content-IDには、IPS、アンチマルウェア、URLフィルタリング、コンテンツ ブロッキングなどの機能があり、既知の脅威を阻止します。 WildFireは、不審なファイルに対して自動サンドボックス分析を実行して未知のマルウェアや標的型のマルウェアを発見します。また、ボットネット挙動レポートでネットワーク上のボットネット特有の感染パターンを特定します。