チェック・ポイントが「Google Cloud Network Security Integration」に対応開始

　チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）は、「Google Cloud Network Security Integration」への対応開始を発表した。

　これにより、クラウド環境のセキュリティをより簡素化し、ファイアウォールやゲートウェイの実装によるダウンタイムやパフォーマンス低下といった課題に対処するとしている。クラウドへのファイアウォールの展開において稼働を中断しないアプローチが可能となり、パフォーマンスに悪影響を与えることなくネットワークセキュリティの向上を図れるようになるとのことだ。

　変化し続ける複雑なハイブリッドクラウドネットワークの管理において、特にネットワーク需要が不確かである場合には、ネットワークセキュリティとパフォーマンスの管理には次のような多くの課題をともなうという。

• 数百、数千ものハイブリッドクラウドネットワーク全体にわたり、一貫したセキュリティポリシーを実装する上で直面する様々な困難
• 増大するネットワークの相互接続の把握とセキュリティ確保
• セキュリティアプライアンスへのトラフィックルーティングの手動対応。これによりダイナミッククラウド環境でミスを誘発しやすくなり、大量のリソースを要する

　チェック・ポイントとGoogle Cloud Network Security Integrationは上述の課題に対処するため、AI駆使による脅威防御、統一ログ、粒度の細かいアクセス制御を備える「CloudGuard Network Security」のようなサードパーティのセキュリティソリューションとのシームレスな統合を提供しているという。

　今回の新たな統合では、データセンターやハイブリッドクラウド、マルチクラウドの各環境にわたってポリシーを適用できる、一貫したAny-to-Anyのネットワークセキュリティを実現できるとのこと。既存のルーティングポリシーやネットワークアーキテクチャに変更を加える必要はないとしている（図1参照）。

　この統合では、新しいネットワーク仮想化標準であるGENEVE（Generic Network Virtualization Encapsulation）のトンネリング技術を活用しているという。これにより、元のパケットの完全性を維持しながら、CloudGuard Network Securityのインバンドの検査ゲートウェイおよびファイアウォールにトラフィックを安全に届け、セキュリティとパフォーマンスの両方を保証すると述べている。

　同統合によって、多忙なDevOpsチームとネットワークセキュリティチームが、Google Cloudや他のネットワークを行き来するネットワークトラフィックの保護を図る上で必要とする機能が実現するとしている。

ネットワークセキュリティのための戦略的メリット

リソース活用を最適化

　今回の統合では、ファイアウォールのルールを通じて、5層からなるきめ細かなトラフィックマッチングが行われ、対象となるトラフィックのみがチェック・ポイントに送られて検査対象となる。この精度の高さと、クラウド運用の効率性にコミットするチェック・ポイントの手法が合わさり、リソースの活用を最適化して全体的なセキュリティコストを削減するとのことだ。また、チェック・ポイントとGoogleの共通の顧客は、よりきめ細かな柔軟性とセキュリティに関する選択肢を利用できるとしている。

スケーラブルでセキュアなネットワークセキュリティ

　チェック・ポイントはクラウド構成に関するコンテキスト情報を活用するという。具体的には、アセットタグ、オブジェクト名、セキュリティグループなどを活用して、ネットワークに何らかの変更が生じた際にセキュリティポリシーを自動的に調整し、ポリシープッシュや手動更新の必要をなくすとのことだ。Google Cloudネイティブのオブジェクトやタグを活用して相互接続されたネットワーク全体にポリシーを適用することで、セキュリティ管理コストを最小限に抑えるとしている。これによりチェック・ポイントの顧客は、ネットワーク上のどこに位置するかにかかわらず、すべてのネットワークにわたるセキュリティの規模拡大と管理を効率的に行えるとしている。

アプリケーション展開を加速

　Google Cloud Network Security Integrationによって、インフラストラクチャチームはセキュリティ機能をサービスとして提供できるという。このアプローチにより、アプリケーション開発チームはCloudGuard Network Securityを動的に利用できるため、包括的な保護を維持しながら展開の日程を短縮できるとしている。CloudGuard Network Securityは、TerraformやAnsibleなど主要な構成管理ツールと統合されているため、Google Cloudとチェック・ポイントの顧客は、クラウドネイティブのセキュリティゲートウェイをプログラム的に操作・制御しながら、IaC（infrastructure as code）を実現し、CI/CD手法を加速できるとのことだ。

コンプライアンスをシンプルに実現

　CloudGuard Network Securityは、Google Cloudなどのクラウドプロバイダーとシームレスに統合できる主要機能を提供しているため、セキュリティに関するコンプライアンスのコストを簡素化、低減するという。ネットワークセキュリティポリシーをきめ細かに設定できる一方で、グローバルにも定義でき、Google Cloud VPC（仮想プライベートクラウド）、リージョン、ゾーン内にあるチェック・ポイントのすべてのゲートウェイとファイアウォールに適用することも可能とのことだ。

　加えて、展開先がいかなるパブリッククラウドまたはプライベートクラウドであるかにかかわらず、チェック・ポイントの単一のコンソールからすべてのセキュリティポリシーとログに直接アクセスでき、統合管理の利点を享受できるという。すべてのネットワークで何が起きているかを完全な形で把握するため、複数のセキュリティツールを運用・維持したり、専用のダッシュボードを作成したりする必要はないとしている。

【関連記事】
・チェック・ポイント、NVIDIAと共同で「AI Cloud Protect」発表　パフォーマンスへの影響もなし
・チェック・ポイント、“プラットフォーム型セキュリティ”を日本国内に浸透へ　包括契約でサイロ解消目指す
・過去1年以内に65％の組織がクラウド関連のセキュリティインシデントを経験──チェック・ポイント調査