ネットワークコントロール層1:
装置に応じたデータを選定して配分し、処理の効率化を促進
次に「ネットワークコントロール層」の課題と施策について紹介がなされた。ここでも同様にセキュリティ機器の増加に従って、パフォーマンス、拡張性、運用性について様々な課題に直面しているという。複雑化によるトラフィックの重複で不必要な分まで処理することになり、機器の処理能力が低下するだけでなく、装置の増設も柔軟にできないという問題がある。
そこで「ネットワークパケットブローカー」を導入することで、セキュリティ装置に必要なデータをフィルタリングして配分し、装置の性能を最大限に引き出していく。
具体的には、パッシブ構成の場合、前述したような「ネットワークTAP」で抜き出したトラフィックを「ネットワークパケットブローカー」に送り、そこから各セキュリティ機器に適したデータをフィルタリングして送付するという仕組みになる。また、個人情報データなどをマスキングして受け渡す機能などを持っており、分析機能を持つ装置に合う形式にしてデータを受け渡す「NetFlow」にも対応している。
さらにもう1つの課題であった、処理能力に応じた装置の増設や運用に関しても、容易に解決可能だという。インライン接続の場合、バイパススイッチとネットワークパケットブローカーで適切な配置が可能になり、構成がシンプルになることで、必要な機器を必要な分だけ導入することができ、運用の手間もコストも削減できる。他にも、コマンドラインによる入力ではなく、ドラック&ドロップのような直感的な操作が可能な専用UIが用意されており、運用負荷を削減できる。
なお、イクシアではパブリッククラウドにおけるトラフィック可視化の取り組みも行なわれており、日本でもAWS版が本年中に提供開始の予定だという。仕組みとしては、可視化したいソースとなるパブリケーションをDockerコンテナに配置することで、同じくDockerコンテナ上のモニタリングツールに対してトラフィックを安全・確実に流すことができる。従量課金制のため、要望・要件に応じて必要なだけトラフィックを抽出できるのも魅力の一つだろう。
ネットワークコントロール層2:
SSL暗号化通信を悪用した脅威への対策も不可欠
なおイクシアの「ネットワークパケットブローカー」は、新たにActive SSL機能をリリースし、SSLトラフィックの復号化にも対応している。
冒頭に紹介したように、既にSSLを使用した通信は7割、まもなく8割を超えようとしている。しかし、暗号化トラフィックの中身を見ることができないと脅威を見逃すことがあり、かといって装置側のSSL復号化機能を用いると、パフォーマンス低下の可能性が否めない。また、SSL復号化専用ツールでは、フィルタリングやロードバランス機能が使えないことも多い。「ネットワークパケットブローカーは、その辺りを考慮し、補完できるツールとして開発されている」と水澤氏は強調する。
ネットワークパケットブローカーの「Active SSL機能」により、SSL暗号化通信の復号化を一括処理し、各装置に適切に分配することで、セキュリティ装置のパフォーマンスを落とすことなく、暗号化されたデータについてもセキュリティ分析を担保できるというわけだ。具体的には、インターネットにつながる部分を「外部バイパススイッチ」を介して「ネットワークパケットブローカー」のActive SSL機能で復号化し、適切な形でフィルタリングしてセキュリティ装置に受け渡し、処理されたものを再び受け取って暗号化して返すという流れになる。
「ここでも各セキュリティ装置に適切な形でトラフィックをフィルタリングして受け渡せるので、暗号化データのセキュリティ処理にありがちなパフォーマンス低下を排除することができる」と水澤氏はその効果の高さを語る。
出所:イクシアコミュニケーションズ株式会社 小圷 義之氏、水澤 景太氏
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]
最後に、小圷氏により、北米の金融機関におけるイクシアのバイパススイッチとネットワークパケットブローカーの導入事例が紹介された。その事例では、メンテナンスや交換などの際も休日や深夜ではなく柔軟に行なえるようになったことで、有意義な業務時間を増やすことができたことが最も高く評価されたという。さらに複数のセキュリティ機器に対するフィルタリング、ロードバランシングにより、複雑なネットワーク構成を簡素化し、装置のパフォーマンスを向上することができた。
小圷氏は「複雑化したネットワークセキュリティ構成をイクシアのソリューションでシンプルに整理することは大きな価値を生み出す」と語り、そのための方策として「ネットワークTAPで100%のトラフィックを可視化し、セキュリティの盲点を解消すること」「外部バイパススイッチでダウンタイムを短縮し回復力を確保すること」「ネットワークパケットブローカーで、必要なデータを取捨選択してセキュリティ装置に分配し、性能を最大限に引き出すこと」の3点を改めて強調し、講演の締めくくりとした。
