次世代ファイアウォールの歴史と課題

約 16 年前の 2007 年に、Palo Alto Networks はネットワーク セキュリティを永遠に変える最初の製品を発表しました。「次世代ファイアウォール」、つまり NGFW という用語はまだ作られていませんでした。それは、ガートナーが 2009 年にこの用語を導入したときに起こりました。当時、Palo Alto の製品は「Unified Thread Management」、つまり UTM という旧称に該当していました。Palo Alto 社は UTM や NGFW を発明したわけではありませんが、それ以来、この分野を代表する製品となり、すべての競合他社の基準となっています。この投稿では、簡潔にするために NGFW という名称を使用します。

現在「クラウド」と呼ばれるものは 2007 年にも確かに存在していましたが、データ センターは依然として主に従来の方法で構築されていました。つまり、データとコンピューティングの柔らかい中心部を、硬くて頑丈なセキュリティ シェルで囲むというものでした。最も大胆な組織だけが、資産を AWS (Amazon Web Services) やその他の新しいクラウド サービスに移行していました。データ センターには定義済みで既知の境界がまだありました。データセンター内の資産と外部の資産の境界は明確でした。‍

NGFW:データセンターの境界を保護するのに最適

強力なセキュリティ機能を備えたNGFWは、このモデルにぴったりでした。NGFWはすぐにデータセンターのゲートキーパーとなり、特定のネットワークから入ってくるもの(そして、程度ははるかに低いが、出てくるもの)を注意深く制御しました。強力なカスタムCPUがパケットを迅速に分析して移動し、セキュリティ担当者は、一連の新しいツールによって資産が保護されていることを知って、夜も少しだけよく眠れました。

パロアルトネットワークス 、チェック・ポイント、フォーティネットなどの NGFW ベンダーは、 ネットワークセグメンテーション が「ホットな新製品」として流行する中、データセンター内での優位性、アプリケーション間のトラフィックの監視と制御という新たな目標を自らに設定しました。

しかし、ここでは、彼らははるかに大きな課題に直面しました。NGFWは、データセンターの境界を保護するための当然の選択でした。ハードウェア、ライセンス、サポートの法外なコストは、明らかな利点によって正当化され、データセンターへのインターネット接続は内部の接続に比べて比較的遅く、帯域幅とともに価格が上昇するという事実によって価格が抑制されました。しかし、内部では、そのような明確な費用便益比には程遠いものは見つかりませんでした。DDoS緩和やトラフィックシェーピングを例にとると、 NGFW機能のかなりの割合は、内部には価値がありませんでした。しかし、あなたはそれに関わらず、それらの代金を支払ったのです。

10G のスループットという目を見張るようなコストでは内部使用の抑止力には十分ではなかったかのように、冗長性のためにすべてのコストが 2 倍になりました。過剰で、多くの場合、目の前のタスクに関係のない一連の機能に対して、従来のファイアウォールの5倍の費用を正当化することは非常に困難でした。

とはいえ、業界や政府の規制では、少なくとも特定のクラスのアプリケーションについては、内部で一定の管理が必要です。HIPPAと PCI が顕著な例として思い浮かびます。そのため、顧客は、境界を保護するNGFWデバイスといくつかの重要な特定のアプリケーションを使用し、従来のステートフルな非NGFWが内部保護の余裕を補うハイブリッドソリューションに落ち着きました。この新旧の不幸な結婚生活はしばらくの間うまくいきました。パブリッククラウドが主流に受け入れられるまで。

クラウドでのNGFWの複雑さの管理

パブリッククラウドは、セキュリティの世界をひっくり返しました。しかし、すべての人に当てはまるわけではなく、必ずしも明白な方法で行われるわけではありません。

NGFW は、シャーシを通過するすべてのパケットに対して驚異的な量の処理を実行することに注意してください。Intel アーキテクチャは、ユビキタスであるにもかかわらず、NGFW 内で実行される膨大な量の低レベルの作業には適していません。パロアルトは、低レベルのパケット検査と操作をすべて行うためにCavium Network Processorsを選択しました。フォーティネットは、この作業を行うために独自の社内顧客プロセッサを設計しました。

今日のNGFWは、わずか10年前の基準からすると、政府機関クラスのスーパーコンピューターであり、確かにコストの一部を占めています。NGFW ベンダーは、製品の仮想バージョンでクラウドへの移行に迅速に対応しましたが、Intel アーキテクチャの制限により、パフォーマンスは全体的にひどいものでした。

その結果、クラウドネットワークの境界でのセキュリティの処理方法に大きな変化が加えられました。多くの場合、数十の仮想ファイアウォールが負荷分散されていました。ネットワークは、実店舗の時代よりもはるかに多くのインターネットピアリングポイントを持つように再設計され、ファイアウォールごとのパフォーマンス要件が低くなりました。また、ファイアウォールベンダーは、1つまたは2つのファイアウォールでは機能しなくなったため、VM(仮想マシン)実装を6パックと10パックで販売し始めました。

構築と管理が複雑に思えるなら、資産の一部だけをクラウドに移行した典型的な企業を哀れんでください。IaaS (Infrastructure-as-a-Service)とPaaS (Platform-as-a-Service)の両方が普及するにつれて、ネットワークの境界はますます曖昧になってきました。IT 分野における「クラウド」の定義は、多数のコンピューター（水蒸気に類似）を遠くから見ると 1 つのコンピューターのように見えるという概念から派生していましたが、「覆い隠したり、傷をつけたりするもの」という別の定義を使用する方が適切になり始めました。

データセンターがクラウド内のアプリケーションとアプリケーションの一部をランダムにホストし始め、他のアプリケーション(およびアプリケーションの一部)がオンサイトに残るようになると、それらを保護し、セキュリティポリシーを適用することが非常に困難になりました。これは主に、セキュリティが通常適用される境界を定義することがほぼ不可能になったためです。そして、境界が明確な場合でも、セキュリティハードウェア、ソフトウェア、構成の膨大な量が圧倒的になりました。

その結果、セキュリティは大きく後退しました。

将来を見据えて:マイクロセグメンテーション環境におけるNGFWの機能

こうして、初期の頃は マイクロセグメンテーションとして知られていた領域が始まり、現在ではゼロトラストセグメンテーション(ZTS)と呼ばれることが多くなりました。

マイクロセグメンテーションの概念は単純で、すべてのサーバーにポリシーを適用(ファイアウォール)し、他のすべてのサーバーへのインバウンドトラフィックとアウトバウンドトラフィックの両方を制御します。基本的に、マイクロセグメンテーションは、ネットワークセグメンテーションのアイデアを究極に拡張したものにすぎません(サーバーごとに1つのファイアウォール)。マイクロセグメンテーションは、サーバーごと(または少なくともアプリケーションごとに)セキュリティに対処することで、データセンターの周囲および内部の「あいまいな境界」に対処するための強力な新しいツールをセキュリティチームに提供しました。

歴史的に、マイクロセグメンテーションは、NGFW機能に必要なディープインスペクションの領域に飛び込むことなく、ポートとプロトコルを扱ってきました。

CTO オフィスでは、私の仕事は「もしも?」を演じて、将来の潜在的な問題とその可能な解決策を見据えることです。したがって、イルミオの現在の研究には、マイクロセグメンテーション環境でNGFW機能を実装する可能性の検討が含まれています。

来週私のブログを読んで、イルミオの研究とマイクロセグメンテーションの将来の発展の可能性について詳しく学びましょう。