.png)
次世代ファイアウォールの歴史と課題
約16年前の2007年、パロアルトネットワークスは最初の製品を発表し、ネットワークセキュリティを一変させました。この用語 「次世代ファイアウォール」または NGFW、まだ造られていませんでした。ガートナー社が 2009 年にこの用語を導入したときに、このようなことが起こりました。当時、パロアルトの製品は以前の「統合スレッド管理」(UTM)という用語に該当していました。パロアルトはUTMやNGFWを発明したわけではありませんが、それ以来、それらはその分野の決定的な製品となり、すべての競合他社の評価の対象となっています。この投稿では、簡単にするために NGFW というモニカだけを使用します。
現在「クラウド」と呼ばれているものは確かに2007年には存在しましたが、データセンターの大部分は従来の方法で構築されていました。つまり、柔らかくべたべたしたデータセンターの周りに、硬くてカリカリのセキュリティシェルが構築されていました。資産を AWS (アマゾンウェブサービス) やその他の新しい組織に移行していたのは、最も大胆な組織だけでした。 クラウドサービス。データセンターにはまだ明確な既知の境界がありました。データセンター内の資産と外部の資産の間には明確な境界線がありました。
NGFW: データセンターの境界を保護するのに最適
強力なセキュリティ機能を多数備えたNGFWは、このモデルにぴったりでした。NGFWはすぐにデータセンターの門番となり、特定のネットワークから入ってくるもの(そして程度は低いものの、出てくるもの)を注意深く制御していました。強力なカスタムCPUは、途中でパケットを迅速に分析して転送しました。セキュリティ担当者は、資産が一連の新しいツールによって保護されていることを知っていたので、夜は少しだけぐっすり眠れるようになりました。
NGFW 次のようなベンダー パロアルトネットワークス、チェック・ポイント、フォーティネットは現在、新たな目標を設定しています。それは、データセンター内の優位性を保ち、アプリケーション間のトラフィックを監視および制御することです。 ネットワークセグメンテーション 「ホット・ニュー・シングス」として流行しました。
しかし、ここで彼らははるかに大きな課題に直面しました。データセンターの境界を保護するには、NGFW が当然の選択でした。ハードウェア、ライセンス、およびサポートにかかる法外なコストは、明らかなメリットによって正当化されました。また、データセンターへのインターネット接続は内部の接続に比べて比較的低速であり、帯域幅とともに価格も上昇するという事実によって、価格は抑えられました。しかし、内部では、これほど明確な費用対効果の比率にはほど遠いものでした。かなりの割合の NGFW 機能DDoS緩和策やトラフィックシェーピングを例にとると、内部には何の価値もありませんでした。しかし、それでもあなたはそれらにお金を払ったのです。
10Gのスループットという目を見張るようなコストでは社内使用の妨げにならないかのように、冗長性のためにすべてのコストが2倍になりました。やり過ぎで、目前のタスクには関係ないことが多い一連の機能に対して、従来のファイアウォールの5倍の費用を費やすことを正当化することは非常に困難でした。
とはいえ、業界や政府の規制では、少なくとも特定のクラスのアプリケーションについては、内部に対する特定の制御が義務付けられています。HIPPA と PCI 傑出した例として思い浮かびます。そのため、お客様は、NGFWデバイスが境界といくつかの重要で特定のアプリケーションを保護し、従来のステートフルな非NGFWが内部保護の足りない部分を補うハイブリッドソリューションに落ち着きました。この新旧の不幸な結婚生活は、しばらくの間はうまくいきました。パブリッククラウドが主流に受け入れられるまでずっとそうでした。
クラウドにおける複雑な NGFW の管理
パブリッククラウドはセキュリティの世界を一変させました。しかし、すべての人に当てはまるわけではなく、常に明らかな方法であるわけでもありません。
NGFW は、シャーシを通過するすべてのパケットに対して驚異的な量の処理を実行することを覚えておいてください。インテルのアーキテクチャーは、広く普及していますが、NGFW 内で行われる大量の低レベルの作業には適していません。Palo Alto は、このような低レベルのパケットの検査と操作をすべて行うために Cavium ネットワーク・プロセッサーを選びました。フォーティネットは、こうした作業を行うために、独自の顧客向けプロセッサを社内で設計しました。
今日のNGFWは、わずか10年前の標準からすると、政府機関クラスのスーパーコンピューターであり、確かにコストの一部を占めています。NGFW ベンダーは、自社製品の仮想バージョンでクラウドへの移行に迅速に対応しましたが、インテルのアーキテクチャーの制限により、全体的にパフォーマンスはひどいものでした。
その結果、クラウドネットワークの境界におけるセキュリティの取り扱い方法が大きく変わりました。多くの場合、何十もの仮想ファイアウォールが負荷分散されていました。ネットワークは、従来よりもはるかに多くのインターネットピアリングポイントを持つように再構築され、ファイアウォールごとのパフォーマンス要件が下がりました。そして、ファイアウォールのベンダーは、VM (仮想マシン) の実装を 6 個と 10 個入りのパックで販売し始めました。これは、1 つか 2 つのファイアウォールではもはやその役目を果たせなくなったためです。
その構築と管理が複雑に思えるなら、資産の一部のみをクラウドに移行した典型的な企業には同情すべきでしょう。両方として IaaS (サービスとしてのインフラストラクチャ) そして PaaS (サービスとしてのプラットフォーム) 急増し、ネットワークの境界はますます不明瞭になり始めました。IT 関連の「クラウド」の定義は、多数のコンピュータ (水蒸気に似ています) を遠くから見て 1 つとして見るという考え方から派生していましたが、「見えにくくなったり傷がついたりするもの」という別の定義を使用する方が適切になり始めました。
データセンターがランダムに選択したアプリケーションとアプリケーションの一部をクラウドでホストし始め、他のアプリケーション(およびアプリケーションの一部)はオンサイトに残っていたため、それらを保護してセキュリティポリシーを適用することが非常に困難になりました。これは主に、セキュリティが一般的に適用される境界を定義することがほぼ不可能になったためです。また、境界がはっきりしている場合でも、膨大な量のセキュリティハードウェア、ソフトウェア、および構成が圧倒的になりました。
その結果、セキュリティは大きく後退しました。
将来を見据えて:マイクロセグメンテーション環境におけるNGFW機能
こうして、初期には次のように知られていた分野が始まりました マイクロセグメンテーション、そして現在ではゼロトラストセグメンテーション(ZTS)と呼ばれることが多くなっています。
マイクロセグメンテーションの概念は単純です。すべてのサーバーにポリシーを適用し(ファイアウォールなど)、他のすべてのサーバーへのインバウンドトラフィックとアウトバウンドトラフィックの両方を制御します。基本的に、マイクロセグメンテーションはネットワークセグメンテーションの考え方を究極の (サーバーごとに 1 つのファイアウォール) まで拡張したものです。マイクロセグメンテーションは、サーバーごと (または少なくともアプリケーションごと) ごとにセキュリティに取り組むことで、データセンター周辺やデータセンター内の「あいまいな境界」に対処するための強力な新しいツールをセキュリティチームに提供しました。
これまで、マイクロセグメンテーションは NGFW 機能に必要なディープインスペクション領域に飛び込むことなく、ポートやプロトコルを処理してきました。
CTOのオフィスでは、私の仕事は「もしも?」を演じることです。そして、将来発生する可能性のある問題とその解決策を見据えるようにしています。そのため、Illumio で現在行われている研究には、マイクロセグメンテーション環境に NGFW 機能を実装する可能性の検討が含まれています。
来週の私のブログを読んで、イルミオの研究と、マイクロセグメンテーションに関するこれらの潜在的な将来の発展について詳しく学んでください。
