サーバ仮想化とクラウド

課題

ハイブリッド クラウド アーキテクチャを導入してクラウドの俊敏性と柔軟性を活用しようとする企業が増えていますが、ハイブリッド クラウドのメリットを実現するにあたって、3つの重要な課題に直面します。それは、プライベート データセンターとパブリック クラウドにおける一貫性のないネットワーク アーキテクチャ、今日の高度なサイバー脅威に対抗するための充実した次世代セキュリティ機能の欠如、アプリケーションが導入される場所に左右されない、アプリケーションとアプリケーションを保護するセキュリティ ポリシー両方の移植性です。ハイブリッド クラウドの真のメリットは、アプリケーションを一度作成し、そのアプリケーションに関連するセキュリティ ポリシーを一度定義すれば、セキュリティを損なうことなく、そのアプリケーションをどこにでも導入できるという点です。

仮想化により、仮想マシン(VM)は、同じハイパーバイザ上の他のVMと通信して、さまざまなリスク分類と機密データを持つ各種のアプリケーションやサービスをすべて同じホスト サーバ上に作成することができます。この柔軟性に関連する問題は、それらのアプリケーション間の「East-West」トラフィック通信をセグメント化し、セキュリティを確保するのが難しいという点です。さらに、VMを作成したり、ハイパーバイザ間、ラック間、データセンター間でVMを移動したりしたときに、個々の仮想マシンに静的なセキュリティ ポリシーを適用するのにも困難が伴います。

データセンターをクラウドベースのアーキテクチャに進化させる場合、ワークロード(コンピューティング、ストレージ、ネットワーク)をプロビジョニングするための自動化されたタスクのオーケストレーションを開始します。しかし、今日の既存のネットワーク セキュリティ アプライアンスでこれらのワークロードを保護するプロセスは、手作業で行うため時間がかかります。仮想インフラストラクチャ チームがこれらのワークロードをプロビジョニングするスピードに、セキュリティ チームはとてもついていけません。

ソリューション

パロアルトネットワークスのエンタープライズ セキュリティ プラットフォームなら、プライベート インフラストラクチャとパブリック インフラストラクチャで同じ豊富なセキュリティ ポリシーを利用できるので、アプリケーションが仮想、物理、オンプレミス、オフプレミスのいずれであっても、セキュリティに対する一貫したアプローチが可能です。パロアルトネットワークスの次世代ファイアウォールを使用すれば、データセンター ネットワークをセグメント化できます。一方、仮想ファイアウォールであるVM-Seriesを使用すれば、俊敏性と柔軟性というクラウドのメリットをフルに活用することができます。物理フォーム ファクタも仮想フォーム ファクタも同じPAN-OSTMオペレーティング システムを実行します。パロアルトネットワークスのセキュリティ プラットフォームでは、両方が連動し、一貫した次世代セキュリティ保護によって、仮想環境、物理環境、クラウド環境全体でNorth-SouthトラフィックとEast-Westトラフィックの安全性を確保できます。さらに、使用されているアプリケーションを完全に監視し、それらのアプリケーションにアクセスしているユーザーを把握して、既知の脅威と未知の脅威から保護することができます。

次世代セキュリティをパブリック クラウドに展開

VM-Seriesは、VMware NSXとパロアルトネットワークスVM-1000HVの統合のメリットをVMwareのvCloud Air*内の新しいサービスに拡張します(vCloud Airは、信頼できるvSphereを基盤として構築されたパブリック クラウド プラットフォームです)。VM-Seriesはさらに、Amazon Web Services (AWS)のようなクラウド インフラストラクチャ プロバイダに加え、他の多くのパブリック クラウド コンピューティング環境で使用されている一般的なオープン ソース ハイパーバイザであるカーネル仮想マシン(KVM)をサポートし、複数のクラウド サービス プロバイダにまたがって次世代セキュリティを確保するための柔軟性を提供します。

次世代セキュリティを仮想化環境に適用

VM-Seriesの仮想化ファイアウォールは、パロアルトネットワークスの物理フォーム ファクタ ファイアウォールと同じフルスタックのトラフィック分類エンジンに基づいています。VM-Seriesは、アプリケーション、脅威、コンテンツを含め、すべてのトラフィックをネイティブに分類し、そのトラフィックをユーザーに関連付けます。さらに、業務を遂行する要素であるアプリケーション、コンテンツ、ユーザーを仮想化セキュリティ ポリシーの基礎として使用することで、セキュリティ対策を強化するとともに、インシデントの応答時間を短縮します。

ゼロトラストの原理を使用したミッション クリティカルなアプリケーションおよびデータの隔離

セキュリティのベスト プラクティスでは、それぞれのセグメンテーション ポイントでゼロトラストの原則(信頼しないで常に検証する)を使用して、ミッション クリティカルなアプリケーションやデータをセキュアなセグメントに分離するよう指示されています。アプリケーションおよびユーザーIDに基づいて制御を実施するパロアルトネットワークスの物理および仮想次世代ファイアウォールを仮想化サーバ インフラストラクチャ全体に導入すれば、仮想化環境を通過するアプリケーションを制御すると同時に、不正なアプリケーションや誤った設定のアプリケーションをブロックし、ユーザーIDに基づいてアクセスを制御することができます。

サイバー脅威の横方向の移動をブロック

今日のサイバー脅威は一般に、個々のワークステーションやユーザーに危害を加え、ネットワークを横断して標的を探します。仮想ネットワーク内では、サイバー脅威がVMからVMへと横方向に移動して(East-Westトラフィック)、ミッション クリティカルなアプリケーションやデータをリスクにさらします。VM間でゼロトラストの原則を使用してアプリケーション レベルの制御を実施すれば、既知の脅威と未知の脅威の両方をブロックするポリシーを適用しながら、脅威の範囲を縮小することができます。

導入とプロビジョニングの自動化

充実した自動化機能とAPIを使用すれば、ミッション クリティカルなアプリケーションの構築と解体にセキュリティが対応できるように、セキュリティ ポリシーの導入を合理化することができます。

  • 仮想マシン モニタリング: 仮想ネットワークでVMの変更を自動的にポーリングし、そのデータをタグとして収集します。その後、ダイナミック アドレス グループにより、タグを使用してポリシーを最新の状態に維持することができます。
  • ダイナミック アドレス グループ: 静的なオブジェクト定義の代わりに、タグ(VMモニタリングで生成されたもの)を仮想マシンのIDとして使用して、ポリシーを作成することができます。IPアドレスやオペレーティング システムなど、仮想マシンの属性を表す複数のタグを1つのダイナミック アドレス グループ内で解決できるので、仮想マシンが作成されたときやネットワークを移動するときに、ポリシーを簡単に適用することができます。
  • RESTベースのAPI: パロアルトネットワークスのすべての次世代ファイアウォールを、仮想化環境のレポート作成、管理、クラウド オーケストレーションなどのサードパーティ製ツールと統合することができます。

すべてのセキュリティ ポリシーを一元的に管理

Panoramaは、仮想であるか物理であるかに関係なく、パロアルトネットワークスのすべてのネットワーク セキュリティ プラットフォームのセキュリティ ポリシーを1か所で管理できる管理プラットフォームです。Panoramaは、データセンター ネットワーク全体における一貫したポリシーの適用と、充実したログ機能とレポート機能の一元化により、コンプライアンスを確保します。

*vCloud Airは、2015年の上半期にパロアルトネットワークスVM-Series 1000HVで提供される予定です。

資料

VM-Seriesスペックシート
パロアルトネットワークスのVM-Seriesは、サーバ仮想化に伴う主な課題に対処しながら、アプリケーションの安全な使用をデータセンターの仮想化環境に拡張します。

VM-Series for NSX
VMware NSXとパロアルトネットワークスの統合について詳しく説明します。VMware NSXは、パロアルトネットワークスの次世代セキュリティ サービスのデリバリーを実現する、拡張可能なネットワーク仮想化プラットフォームです。

VM-Seriesの技術ホワイトペーパー
ソリューション コンポーネントと主要なユース ケースの解説をはじめ、VMware NSXとパロアルトネットワークスの統合について説明します。

VM-Series for Amazon Web Services
VM-Series for Amazon Web Services (AWS)を使用して、次世代ファイアウォールおよび高度な脅威防御サービスで仮想プライベート クラウド(VPC)を保護する方法について説明します。

VM-Series for KVM
企業のお客様とサービス プロバイダ様がVM-Series for KVMを使用して、次世代ファイアウォールおよび高度な脅威防御サービスでパブリック クラウド コンピューティング環境を保護する方法について説明します。

PA-7050シリーズ スペックシート
パロアルトネットワークスPA-7050は、既知の脅威と未知の脅威から保護しながら、データセンターが必要とするスケーラビリティとパフォーマンスを提供します。

動画とポッドキャスト

データセンター内のパロアルトネットワークスに関するPacketpushersのポッドキャスト

次世代データセンターのための次世代セキュリティ(動画とデモ)

VMWare NSXの統合に関するVMWorld TVによるパロアルトネットワークスへのインタビュー

VMWare NSXの統合に関する動画