この記事は、ジェームズ・トロサ(James Tolosa)による投稿です。

Barracuda NextG Firewallといえば、話題の中心になるのはアプリケーションアウェアネス(対応)とアプリケーションコントロールです。そこで今日は、アプリケーションコントロールとは何か、なぜネットワーク境界に配備しなければならないのか、についてお話ししましょう。

簡単に言うと、アプリケーションコントロールとは、クラウドベースのWeb 2.0アプリケーション環境で行う制御、識別、インテリジェンス機能を指します。このような機能により、アプリケーション帯域幅の優先度を設定し、管理することが可能になります。また、ネットワーク境界にアプリケーションコントロールを配備することで、Web 2.0アプリケーションがネットワークにアクセスする方法をきめ細かく制御できるようになります。

ここでは、ABC社という会社を例に説明しましょう。ABC社は次のような会社です。

  • マーケティングチームはFacebookページを使ってABC社ブランドのプロモーションを行っています。
  • エグゼクティブチームはビデオ会議を使用しています。
  • オフィスにはVoIP電話システムが設置されています。
  • メディアストリーミングは禁止されています。
  • リモートアクセスは、セキュアなVPN経由のみのアクセスが許可されています。
  • ミッションクリティカルなアプリケーションがクラウドで稼働しており、常に使用できる高可用性が求められます。

このようなシナリオの場合、適切に管理を行わなければ悲惨な状況に陥るでしょう。そこでまずIT管理者は、アプリケーションコントロールにより、ネットワークニーズに応じてアクセスポリシーを設定します。たとえば、「Facebookページへのアクセスは許可するが、チャットとゲームは禁止」というような設定を行います。さらにビデオ会議は、エグゼクティブグループのみに許可します。VoIPとミッションクリティカルなトラフィックの優先度を高く設定し、ストリーミングメディアはブロックします。このようにきめ細かなポリシー設定は、アプリケーション対応のファイアウォールにしかない機能です。

アプリケーションコントロールは比較的新しいテクノロジであり、従来型のファイアウォールと次世代ファイアウォールの大きな相違点の1つです。従来型のファイアウォールでは、ステートフルパケットインスペクションと呼ばれるテクノロジが使用されています。このテクノロジはパケットの接続状態を監視し、接続状態に基づいて正常なトラフィックと不正トラフィックを識別します。ステートフルファイアウォールは、アプリケーション対応ではありません。

次世代ファイアウォールの導入を検討されている方は、次のように高度な機能に注目してください。

次世代機能:従来型のUTMテクノロジの中にはアプリケーションコントロール機能を備えたものもありますが、プロセッサに大きな負荷を与えるのが欠点です。これに対して次世代アーキテクチャはシングルパスを採用しているので、トラフィックの検査は1回しか行いません。アプリケーションコントロール機能を備えた従来型のUTMは、設定されたサービスによってはトラフィックの検査を複数回実行することがあり、ハードウェアのパフォーマンスが低下する原因にもなります。このように次世代ハードウェアでは、アプリケーションコントロールによるトラフィック検査のパフォーマンスも向上しています。

大規模なアプリケーションデータベース: アプリケーションコントロールは、既知のアプリケーションのデータベースを元に実行されます。ファイアウォールは、すべてのトラフィックをデータベースと照合し、未知のアプリケーションをブロックします。したがってこのデータベースは、ウイルス定義のDATファイルと同様に更新可能でなければなりません。

きめ細かいポリシーの作成: アプリケーションコントロールのルールとポリシーは、ファイアウォールのルールと類似しています。ルールでは、許可するアプリケーション機能とブロックするアプリケーション機能を定義します。ポリシー設定では、ユーザと日時をベースにしたきめ細かい制御も可能です。

帯域幅制御:この機能は、クラウドアプリケーションへのアクセスを許可する環境で、アプリケーションが消費する帯域幅を制限したい場合に便利です。Skypeなどのサイトはビジネスでよく利用されますが、リソースを大量に消費します。そこでアプリケーションコントロールと次世代ファイアウォールのQoS(Quality of Service)機能を統合します。これにより、アプリケーションのアクセスを許可しながら、消費できる帯域幅を制限できるようになります。また、ユーザや時間ベースの管理も可能です。

次世代ファイアウォールの導入を検討されている方には、もちろんBarracuda NextG Firewallをお勧めします。強力なアプリケーションコントロール機能に加えて、ファイアウォール、IPS、URLフィルタリングも備えたこのソリューションを是非ご検討ください。

※本内容はBarracuda Product Blog 2014年5月19日How are you handling application control?を翻訳したものです。

本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』6月10日付の記事の転載です。