クラウド時代に不可欠なデータセンターのセキュリティ基盤とは|データセンター|トピックス|Computerworld

パロアルトネットワークス合同会社
技術本部長
乙部 幸一朗氏

データセンターが抱えるセキュリティ課題を明らかに

　データセンターは今、仮想化や省電力の実現、パフォーマンスや柔軟性の確保、法令遵守など、さまざまな要件が求められている。そうした中でセキュリティをいかに確保すればよいのか。データセンターを運用する企業にとっては極めて頭の痛い問題である。

　現在のデータセンターが抱えるセキュリティの課題とは何か。パロアルトネットワークス 技術本部長の乙部氏によると、その1つは、アプリケーションやユーザーの単位できちんとしたトラフィックの識別や制御が難しいことである。「既存のネットワーク・セキュリティは、20年前に設計されたポート番号やIPアドレス・レベルでのトラフィック識別がベースになっており、データセンターのセキュリティ基盤としては構造的な欠陥がある」と乙部氏は指摘する。

　そして、SNSやIM、ファイル共有、Webメールといったアプリケーションを使った内部からの情報漏洩、APT（Advanced Persistent Threat）に代表されるような、特定の企業を狙って計画的かつ継続的に行われる高度なサイバー攻撃、ボットネット感染によってアプリケーションがスパム攻撃やDoS/DDoS攻撃の踏み台にされてしまうといった、新しいタイプの脅威に容易に対応できないことも課題の1つである。

　そして、もう1つの重要な課題は、サービスの多様化によりトラフィックが増大する中で、ネットワーク・セキュリティがデータセンターのパフォーマンスに大きな影響を与えてしまうことだ。

　ファイアウォールの後ろに、ウイルス対策や帯域制御、脆弱性管理などの機器を設置する従来型のセキュリティのアプローチについて、乙部氏は「トラフィックの識別・制御を限定的にしか行うことができず、そもそも新しい脅威には対応できない。構成も複雑になってパフォーマンスが犠牲になり、コストも高くつく」と説明する。また、複数の機器を1台にまとめたUTMのアプローチに関しても、根本的な解決策とはならず、実際には、パフォーマンスが低く、ファイアウォールの機能しか使っていない企業が多いという。

機能単位でトラフィックを可視化する次世代ファイアウォールの実力

　クラウド時代に対応する次世代ファイアウォールの要件とは何か。乙部氏は、ポート番号やIPアドレスに依存することなくアプリケーションと利用ユーザーを識別できること、脆弱性攻撃、情報漏洩、マルウェアなどの脅威をリアルタイムで防御できること、アプリケーションや機能単位できめ細やかな可視化とポリシー制御を実現できること、パフォーマンスを劣化させることなくマルチギガビットのインライン高速処理を実現できること、を要件として挙げた。

　乙部氏は次に、次世代ファイアウォールの有効性をデモを交えて紹介した。まず、ネットワーク可視化ツールを使えば、トラフィックの多い順に、使用頻度の高いアプリケーションやファイルタイプ、閲覧されるWebサイト、攻撃を試みる脅威などのランキングを参照することができ、これらをさらにドリルダウンしていって、その詳細を見ることが可能となっている。

　例えば、アプリケーションのランキングの中から特定のアプリケーションをクリックすると、使用するユーザーのランキングやアクセス先のランキングなどを参照できる。また、特定のユーザーをクリックすると、そのユーザーがアクセスしているソースやアクセス先などを知ることができる。そのため、問題の原因や前兆をリアルタイムで把握することが可能になるというわけだ。

　また、ポリシー制御では、例えば、個々のユーザーやグループに対して、特定のアプリケーションやコンテンツへのアクセスを禁止したり、アプリケーションの種類ごとに、将来出てくるものも含めてアクセスを禁止したりなど、さまざまなポリシーを柔軟に設定することが可能となっている。

　このほかに、データプレーンと管理プレーンを完全に分離してそれらの機能に特化した設計を施したハードウェアと、シングルパスのソフトウェア・エンジンを緊密に統合した新たなアーキテクチャの採用により、ネットワーク・スループットの最大化に取り組んでいることなども紹介された。