Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ネットワーク仮想化でセキュリティのアプローチはどう変わるか? パロアルトとヴイエムウェアが共同開発ソリューション

  2014/08/12 13:00

 パロアルトネットワークスは8月7日、記者説明会を開催し、ネットワーク仮想化環境におけるセキュリティの考え方と、ヴイエムウェアのネットワーク仮想化製品VMware NSX向けに提供しているセキュリティ製品の特徴を解説した。

 VMware NSXのようなネットワーク仮想化製品を利用すると、物理ネットワークの制約に縛られないネットワーク管理が可能になる。当然、ネットワークセキュリティの実現の方法も、これまでとは異なるアプローチを採用することが可能になる。説明会ではこうしたアプローチを「ゼロトラストモデル」「マイクロセグメンテーション」といったキーワードを使って説明。さらに、それらを実現するための製品として、VMware NSX、NSX環境向けセキュリティ製品「VM-1000-HV」、ポリシー管理サーバ「Panorama 6.0」などの機能を紹介した。

 ヴイエムウェアのテクノロジーアライアンス担当部長の森田徹治氏
▲ヴイエムウェア
テクノロジーアライアンス担当部長
森田 徹治氏

 説明会には、ヴイエムウェアのテクノロジーアライアンス担当部長の森田徹治氏、ネットワーク&セキュリティ事業部の進藤資訓氏、パロアルトネットワークスのシニアSEマネージャ三輪賢一氏が出席。まず、ヴイエムウェアの森田氏が、パロアルトネットワークスとのパートナーシップについて、「Technology Alliance Partner」として密接な技術協力により、両者の技術を組み合わせた革新的なネットワークセキュリティ・ソリューションを開発、提供する関係にあることを説明。VMware NSX製品発表時から、エコシステムパートナーの1社としてソリューション開発に取り組んできたことを紹介した。

 NSXエコシステムには、セキュリティ企業でチェック・ポイント・ソフトウェア・テクノロジーズ、シマンテック、トレンドマイクロなどが参加するが、次世代ファイアウォール(Deep Packet Inspection)分野では、パロアルトネットワークスが現時点で唯一のソリューションという。米国市場では両社の提携による共同ソリューション提供は2月に開始しており、国内での提供もすでに開始している。

 ヴイエムウェア ネットワーク&セキュリティ事業部 進藤資訓氏
▲ヴイエムウェア 
ネットワーク&セキュリティ事業部 
進藤 資訓氏

 次世代ネットワークセキュリティの考え方については、ヴイエムウェアの進藤氏から簡単な説明があった。進藤氏によると、標的型攻撃やゼロデイ攻撃など、高度な攻撃が増加したことで、これまでのような「侵入防止型セキュリティモデル」では被害拡大を防げなくなったという。そこで、侵入されることを前提とし、侵入されても被害を最小限に抑える「拡散防止型セキュリティモデル(ゼロトラストモデル)」が必要になる。この考え方は、フォレスター・リサーチが「ゼロトラストネットワークセキュリティ」として提唱しているものだ。

 「被害の拡散を防止するためには、セキュリティゾーンをできるだけ小さくしていくことが望ましい。セキュリティゾーンはこれまで、ネットワークスイッチによるアクセスコントロールやファイアウォール設定の煩雑さなどを背景に、複数サーバで構成するシステム単位になっていた。だが、ネットワーク仮想化を使えば、セキュリティゾーンを仮想マシン単位にまで最小化できる。仮想マシンが感染した場合、即座にネットワークから隔離することで被害の拡散を防ぐことができる」(進藤氏)

 VM単位でのセキュリティゾーンの作成には、VMware NSXを使ったマイクロセグメンテーション(仮想スイッチによるセグメンテーション)や、VMware NSXに備わる分散ファイアウォール機能を利用するという。分散ファイアウォールは、ESXiハイパーバイザーのカーネルモジュールとして提供される機能で、ラインレートでのアクセスコントロールやVLAN/VXLANに依存しないVM単位でのゾーン作成が可能になる。

 
パロアルトネットワークス シニアSEマネージャ三輪賢一氏
▲パロアルトネットワークス 
シニアSEマネージャ
三輪 賢一氏

  続いて、パロアルトネットワークスの三輪氏が、ソリューションを構成する製品や機能を紹介した。三輪氏はまず、サーバ仮想化とプライベートクラウドの普及により、データセンター内のWeb3階層システム(Webサーバ、APサーバ、DBサーバ)の配置が少しずつ変わってきたと指摘した。サーバ仮想化の場合は、3階層の各層をWebならWeb、DBならDBごとに仮想マシンを作り、それらを1つのハイパーバイザーのうえで管理することが多かった。だが、プライベートクラウドが普及すると、スケールアウトなどを見越して、1つのハイパーバイザーのうえで、Web、AP、DBを同居させる構成が増えたという。そこで課題になってきたのが、VM間(Web、AP、DB間)でのセキュリティだ。

  「クラウドでは異なる信頼レベルのアプリケーションが1台のサーバ上で動作しており、ポートとプロトコルベースのセキュリティでは不十分だ。また、WebサーバとAPサーバ、APサーバとDBサーバといったVM間のトラフィックの検査もできていない。VM間のアプリケーショントラフィックを安全に利用できるようにすること、サイバー攻撃などから保護することが必要になってきた」(三輪氏)

 バロアルトネットワークスではこれまでESXi上で動作する仮想アプライアンス版の次世代ファイアウォールとしてVMシリーズ(VM-100、VM-200、VM-300)を提供してきた。共同開発ソリューションで新たに提供する「VM-1000-HV」は、このVMシリーズをNSXに対応させたエディションとなる。

 VM-1000-HVとNSXの分散ファイアウォールを連携することで、検査が必要なVM間のトラフィックをVM-1000-HVにリダイレクトしたり、新たに追加されたVMにVM-1000-HVのセキュリティポリシーを自動で適用したりできる。また、「ダイナミックアドレス グループ」と呼ばれるIPアドレスに依存しないグループを作成する機能と「VMモニタリング」というVMの監視機能を組み合わせることで、複数のVMを「SharePoint」「MySQL」といった任意のタグで管理し、それらにセキュリティポリシーを動的に適用することもできるという。また、Panoramaという管理ツールによって、外部ネットワークとの境界に配置されるファイアウォールとデータセンター内の物理、仮想のファイアウォールを集中管理できる。三輪氏は「VMの動きに追従するようなセキュリティ管理を実現し、すべてのアプリケーションを安全に実行できるようになる」と強調した。

 ソリューションの構成要素は、VMwareのコンポーネントがvCenter、NSX Manager、ESXiで、パロアルトネットワークスのコンポーネントがPAN-OS 6.0、Panorama、VM-1000-HVとなる。



著者プロフィール

  • 齋藤公二(サイトウコウジ)

    インサイト合同会社 「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

バックナンバー

連載:EZ Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5