VMware NSXのようなネットワーク仮想化製品を利用すると、物理ネットワークの制約に縛られないネットワーク管理が可能になる。当然、ネットワークセキュリティの実現の方法も、これまでとは異なるアプローチを採用することが可能になる。説明会ではこうしたアプローチを「ゼロトラストモデル」「マイクロセグメンテーション」といったキーワードを使って説明。さらに、それらを実現するための製品として、VMware NSX、NSX環境向けセキュリティ製品「VM-1000-HV」、ポリシー管理サーバ「Panorama 6.0」などの機能を紹介した。
説明会には、ヴイエムウェアのテクノロジーアライアンス担当部長の森田徹治氏、ネットワーク&セキュリティ事業部の進藤資訓氏、パロアルトネットワークスのシニアSEマネージャ三輪賢一氏が出席。まず、ヴイエムウェアの森田氏が、パロアルトネットワークスとのパートナーシップについて、「Technology Alliance Partner」として密接な技術協力により、両者の技術を組み合わせた革新的なネットワークセキュリティ・ソリューションを開発、提供する関係にあることを説明。VMware NSX製品発表時から、エコシステムパートナーの1社としてソリューション開発に取り組んできたことを紹介した。
NSXエコシステムには、セキュリティ企業でチェック・ポイント・ソフトウェア・テクノロジーズ、シマンテック、トレンドマイクロなどが参加するが、次世代ファイアウォール(Deep Packet Inspection)分野では、パロアルトネットワークスが現時点で唯一のソリューションという。米国市場では両社の提携による共同ソリューション提供は2月に開始しており、国内での提供もすでに開始している。
次世代ネットワークセキュリティの考え方については、ヴイエムウェアの進藤氏から簡単な説明があった。進藤氏によると、標的型攻撃やゼロデイ攻撃など、高度な攻撃が増加したことで、これまでのような「侵入防止型セキュリティモデル」では被害拡大を防げなくなったという。そこで、侵入されることを前提とし、侵入されても被害を最小限に抑える「拡散防止型セキュリティモデル(ゼロトラストモデル)」が必要になる。この考え方は、フォレスター・リサーチが「ゼロトラストネットワークセキュリティ」として提唱しているものだ。
「被害の拡散を防止するためには、セキュリティゾーンをできるだけ小さくしていくことが望ましい。セキュリティゾーンはこれまで、ネットワークスイッチによるアクセスコントロールやファイアウォール設定の煩雑さなどを背景に、複数サーバで構成するシステム単位になっていた。だが、ネットワーク仮想化を使えば、セキュリティゾーンを仮想マシン単位にまで最小化できる。仮想マシンが感染した場合、即座にネットワークから隔離することで被害の拡散を防ぐことができる」(進藤氏)
VM単位でのセキュリティゾーンの作成には、VMware NSXを使ったマイクロセグメンテーション(仮想スイッチによるセグメンテーション)や、VMware NSXに備わる分散ファイアウォール機能を利用するという。分散ファイアウォールは、ESXiハイパーバイザーのカーネルモジュールとして提供される機能で、ラインレートでのアクセスコントロールやVLAN/VXLANに依存しないVM単位でのゾーン作成が可能になる。
続いて、パロアルトネットワークスの三輪氏が、ソリューションを構成する製品や機能を紹介した。三輪氏はまず、サーバ仮想化とプライベートクラウドの普及により、データセンター内のWeb3階層システム(Webサーバ、APサーバ、DBサーバ)の配置が少しずつ変わってきたと指摘した。サーバ仮想化の場合は、3階層の各層をWebならWeb、DBならDBごとに仮想マシンを作り、それらを1つのハイパーバイザーのうえで管理することが多かった。だが、プライベートクラウドが普及すると、スケールアウトなどを見越して、1つのハイパーバイザーのうえで、Web、AP、DBを同居させる構成が増えたという。そこで課題になってきたのが、VM間(Web、AP、DB間)でのセキュリティだ。
「クラウドでは異なる信頼レベルのアプリケーションが1台のサーバ上で動作しており、ポートとプロトコルベースのセキュリティでは不十分だ。また、WebサーバとAPサーバ、APサーバとDBサーバといったVM間のトラフィックの検査もできていない。VM間のアプリケーショントラフィックを安全に利用できるようにすること、サイバー攻撃などから保護することが必要になってきた」(三輪氏)
バロアルトネットワークスではこれまでESXi上で動作する仮想アプライアンス版の次世代ファイアウォールとしてVMシリーズ(VM-100、VM-200、VM-300)を提供してきた。共同開発ソリューションで新たに提供する「VM-1000-HV」は、このVMシリーズをNSXに対応させたエディションとなる。
VM-1000-HVとNSXの分散ファイアウォールを連携することで、検査が必要なVM間のトラフィックをVM-1000-HVにリダイレクトしたり、新たに追加されたVMにVM-1000-HVのセキュリティポリシーを自動で適用したりできる。また、「ダイナミックアドレス グループ」と呼ばれるIPアドレスに依存しないグループを作成する機能と「VMモニタリング」というVMの監視機能を組み合わせることで、複数のVMを「SharePoint」「MySQL」といった任意のタグで管理し、それらにセキュリティポリシーを動的に適用することもできるという。また、Panoramaという管理ツールによって、外部ネットワークとの境界に配置されるファイアウォールとデータセンター内の物理、仮想のファイアウォールを集中管理できる。三輪氏は「VMの動きに追従するようなセキュリティ管理を実現し、すべてのアプリケーションを安全に実行できるようになる」と強調した。
ソリューションの構成要素は、VMwareのコンポーネントがvCenter、NSX Manager、ESXiで、パロアルトネットワークスのコンポーネントがPAN-OS 6.0、Panorama、VM-1000-HVとなる。
