パロアルトネットワークスが1月27日に開催したデータセンター事業者向け次世代セキュリティセミナーでは、Palo Alto Networks シニアプロダクトマーケティングマネージャー ウェイド・ウィリアムソン氏がデータセンターにおけるセキュリティの変化と課題、それに対する次世代ファイアウォールの価値について講演した。同氏は、セキュリティ脅威の調査・分析・対応のエキスパートとして活躍している。
データセンターデザインにセキュリティモデルを組み込む
クラウドコンピューティングの台頭に見られるように、今やデータセンターの価値、重要性は飛躍的に高まった。多くのアプリケーションやデータは、オンプレミスかクラウドかに関係なくデータセンターに配置したものを利用する。
ウィリアムソン氏は講演の冒頭で、「これまでのデータセンターのモデルはパフォーマンスや可用性、環境配慮、コンプライアンス、システムリソースの効率性のための仮想化などに価値を置き、その上に脅威対策を積み上げてきた。しかしながら、対処療法的な脅威対策は時代遅れであり、セキュリティモデルを根本から見直し、データセンターデザインに組み込んでいかなければならない」と強調した。
多くのアプリケーションがインターネット上のデータセンターにあるが、さまざまなプロトコルとダイナミックかつランダムに使用されるポートを採用しており、そのことがネットワークセキュリティを根底から脅かしている。ウィリアムソン氏はこう指摘し、「ポートベースの制御は時代遅れであり、ファイアウォールにアプリケーションの可視性と制御能力を持たせることが必要だ」と述べ、同社の次世代ファイアウォールの特徴である3つのテクノロジー(App-ID、Uesr-ID、Content-ID)とSingle-Pass Parallel Processing(SP3)アーキテクチャについて説明した。
従来のファイアウォールはトラフィックの識別をポート番号とプロトコルに依存しているため、アプリケーションに埋め込まれている脅威には対処できない。「App-ID(アプリケーション識別)は、アプリケーションが使用するプロトコルの識別や復号化、アプリケーションプロトコルの暗号化、アプリケーションシグネチャーの検出、ヒューリスティックなどの複数の識別テクニックを用いてすべてのトラフィックを分析する。これにより、アプリケーションにおけるリスクがある通信の埋め込みの有無、SSLトンネリングで通信の中身、アプリケーションに付随するファイル転送の有無なども識別できる」(ウィリアムソン氏)
また、User-ID(ユーザー認識)は、ユーザー認証基盤と連携し、IPアドレスとユーザー、グループと紐付け、ユーザーの行動を識別し、それぞれに適切なポリシーを適用することが可能になる技術。Content-ID(コンテンツ調査)は、ストリームベースのアンチウイルス、アンチマルウェア、IPS、URLフィルタリング、情報漏えい防止など幅広い脅威の検知と防御を実現するものという。
一方、SP3アーキテクチャは、高スループット・低遅延でトラフィック識別、脅威検知するためのアーキテクチャだ。パケット1つ当たりの操作(トラフィック識別やコンテンツスキャン)を1度で行うシングルパスと、データとコントロールプレーンを分離し、特定機能専用のハードウェアエンジンで並列処理する2つの技術要素から成り立っていることを説明した。
いかなるデータセンターでも有用性を発揮する次世代ファイアウォール
そしてウィリアムソン氏は、こうした特徴を有する次世代ファイアウォールが今日のデータセンターでどのような価値をもたらすか、エンタープライズデータセンターとインターネットデータセンターについて説明した。
エンタープライズデータセンターは、利用される業務アプリケーションが多く、ユーザーは組織内に閉じられていることが一般的であるため、それほど多くないことが特徴。「マイクロソフトのプラットフォームを利用している場合、特定のポートが必ずオープンになり、業務アプリケーションを社内で開発していると、開発者は任意のポートにSQLインスタンスを構築することなどにより、意図しないポートがオープンになっていることがある。これは危険な状態で、ネットワーク侵害があったとき、重要なデータに容易に到達できるリスクがある」とウィリアムソン氏はエンタープライズデータセンターのセキュリティ上の危険性を指摘。
さらに、「次世代ファイアウォールによってアプリケーション層ですべてのトラフィックを理解できることを前提に構築すれば、リスクを伴うポートをSQL用に開ける必要はなく、特定のユーザーに対して特定のSQLインスタンスにアクセスできるように制御することが可能だ」と続けた。
その一例としてクレジットカード情報を扱うデータベースアクセスの例を挙げ、「特定部門のユーザーのみカード保有者ゾーンにアクセスを可能にする」、「許可するアプリケーションはOracleのみに限定する」、「カード保有者のデータの外部への送信を監視・ブロックする」といったことが、次世代ファイアウォールによって制御できるとした。
対するインターネットデータセンターでは、利用されるアプリケーションは少数に限られるが、多数のユーザーがアクセスする環境にある。それゆえ、パフォーマンスが最優先され、遅延が少ないことが条件となる。セキュリティ上の課題は、「アクセスユーザーが多いことは、攻撃者にとって魅力的。また、SSHを使ったリモートコンピューティング、トンネリングによるリモートシステム管理が行われていて、それが攻撃者の絶好の攻撃ポイントになり得るリスクがある」(ウィリアムソン氏)という。
こうした条件やセキュリティリスクに対し、次世代ファイアウォールは「ネットワークトポロジーを変更することなく透過モードで導入することができ、高パフォーマンス環境でのアプリケーション識別が可能。最初はアプリケーション識別とIPSとして運用し、マルウェアの侵入を検知した時点でアンチマルウェア機能をオンにするといった運用方法ができる」と、ウィリアムソン氏はその有用性を説明した。
あわせて、昨年発表された未知のマルウェアを識別する仕組みとして、疑わしいファイルをクラウド上に用意されたサンドボックス環境で実行し、その振るまいをもとにマルウェアを検知したり、特定されたマルウェアの本体やバックドア通信に対するシグネチャを自動的に生成・配信したりするソリューションが紹介された。
これまで、ネットワークの制御はもっぱらファイアウォールが担ってきたが、もはやポートベースの制御では企業ネットワークを守りきれなくなってきている。SNSにファイル共有といったWebアプリケーションは、アプリケーション層で制御を行う必要があるのだ。自社のアプリケーションの利用状況を把握していない企業は一度、自社の状況を確認されてはいかがだろうか。