時代は変わり、セキュリティも進化が必要
2000年以降、企業のICT環境は劇的に変化し、BYOD、ソーシャル・ネットワーキング、クラウド・コンピューティングなどの新しいテクノロジーは、企業のビジネスをより自由に、より効率的に、より便利にする一方で、境界の曖昧化、アイデンティティの混在、データ漏洩などの新たなセキュリティ上の課題ももたらしています。そのため、セキュリティ・デバイスの保護機能に対する要求も高まっています。
フォレスター社の "Zero Trust Network "と "Network Isolation Gateway"
フォレスターは、脅威が外部からのものだけでなく、データ中心の現在の世界では、安全なネットワークを構築するために「ゼロトラスト」モデルが必要だと考えています。ゼロ・トラスト」ネットワークでは、もはや信頼できるデバイス、インターフェイス、ユーザーは存在せず、すべてのトラフィックは信頼されません。これは現実にも当てはまります。高度なスキルを持つAPT攻撃者は常に企業ネットワークに侵入する手段を持っており、社内の従業員は故意または無意識に情報セキュリティに損害を与える可能性があるからです。どのような地域、デバイス、従業員からのアクセスもセキュリティ上の危険となり得ます。したがって、「ゼロ・トラスト」は現在のネットワークに対する最新のセキュリティ要件であり、厳格なアクセス制御とセキュリティ・テストを実施する必要があります。ゼロ・トラスト」ネットワークにより、ネットワークとセキュリティの専門家は、複数の並列スイッチングコアでネットワークを構築し、ネットワークを安全にセグメント化し、セキュリティ保護を実現し、コンプライアンス基準を満たし、ネットワークを一元管理することができます。
ゼロ・トラスト・ネットワークでは、ネットワーク・アイソレーション・ゲートウェイがネットワークの中心に位置します。この新しいタイプのセキュリティ・アプライアンスは、ファイアウォール、IPS、コンテンツ・フィルタリング、アンチウイルス、Webセキュリティ、VPNなど、現在のスタンドアロン型セキュリティ・アプライアンスのほとんどの機能を統合しています。現段階では、NGFWは一時的にネットワーク・アイソレーション・ゲートウェイの役割を果たしていますが、この2つは同じではありません。
図1 ネットワーク分離ゲートウェイ
Forrester 社によると、「ネットワーク・アイソレーション・ゲートウェイは NGFW よりも多くの機能を必要とする」そうです。これは NGFW よりも多くの機能を統合する必要があるためだけでなく、"ゼロ・トラスト "モデルではネットワーク・アイソレーション・ゲートウェイがネットワークの中心に位置し、よりデータに近い場所に設置されるためです。ネットワーク・アイソレーション・ゲートウェイはすべてのネットワーク・トラフィックを処理する必要があるため、より高いパフォーマンスとより多くの10ギガビット・インターフェースが必要になります。ネットワーク・アイソレーション・ゲートウェイを導入する基本的な目的は、データの種類と機密性に基づいてネットワークを分離することです。ゼロ・トラスト・モデルと組み合わせてネットワーク・アイソレーション・ゲートウェイを使用することで、より信頼性の高いネットワークを構築し、重要なデータを保護し、最新の脅威から防御することができます。ゼロトラストモデルを使用すると、ネットワーク・アイソレーション・ゲートウェイは SDN (Software-Defined Networking) セキュリティの中核とみなすことができます。集中管理できること。
「ネットワーク・アイソレーション・ゲートウェイ」の説明
Forrester社は製品が「ネットワーク・アイソレーション・ゲートウェイ」の要件を満たしているかどうかを評価するために21の基準に注目しています。これらの基準は大きく3つの分野に分類されます。
セキュリティ機能:ファイアウォール機能、IPS機能、アプリケーション認識、Active Directory統合、ユーザー認識、コンテンツフィルタリング、行動監視、コンプライアンスレポート、VPNゲートウェイ機能、DLP(データ漏洩防止)、暗号化トラフィック検出、サードパーティテスト、DDoS対策機能、高度なマルウェア検出
管理機能:集中管理、ウェブベース管理、シグネチャの自動アップグレード、ソフトウェアVMファイアウォール。
性能とインターフェイス:10Gの性能とインターフェイス、複数のインターフェイス、独自のハードウェア。
14ものセキュリティ機能があります。包括的で完全なセキュリティ機能が Network Isolation Gateway の基盤であることがわかります。このうち、DLP(データ漏洩防止)とコンテンツフィルタリングに関する要件は NGFW の定義にはなく、Network Isolation Gateway におけるデータ保護の重要性を示しています。基準のうちの 4 つは将来の SDN ネットワークの要求に適応するための集中管理や仮想化といった管理性の要件です。残りの 3 つの基準はパフォーマンスとインターフェースの豊富さを測定し、その製品がネットワークのコアへの展開に適しているかどうかを評価するために使用されます。
ネットワーク分離ゲートウェイ」のセキュリティ機能の主張
全てのアクセス・トラフィックが信頼できない "ゼロ・トラスト "モデルでは、アイソレーション・ゲートウェイはネットワークが2つのレベルの要件を満たしていることを保証しなければなりません:
まず、アクセスが合理的かつ合法的であることを確認します。最小権限の原則は、常にネットワーク・セキュリティの最初の原則です。アクセス元がどこであろうと、厳格な管理ポリシーに従い、業務に必要なアクセスのみを許可する必要があります。これにより、APT攻撃の手段を大幅に減らすことができ、また内部関係者の意図的・非意図的な行動によるセキュリティ侵害の可能性も防ぐことができます。モビリティとソーシャリゼーションのトレンドはより詳細な制御粒度を必要とします。 アイソレーション・ゲートウェイはアプリケーションとユーザに基づいたアクセス制御を実行でき、不正アクセスの異常をタイムリーに検出できなければなりません。将来の行動監査に備え、全てのアクセス行動のログを記録しておく必要があります。
第二に、アクセスされるデータの安全性です。アイソレーション・ゲートウェイは正当なアクセス・トラフィックを検知する必要があり、これには基本的なIPSやAVの検知だけでなく、データの保護が最優先されます。コンテンツ・フィルタリングやDLPの機能を通じて、重要な情報資産の漏洩を防ぐ必要があります。ここでもアクセスチャネルの安全性を確保します。現在、企業のコミュニケーションやコラボレーションに対する強い需要によってネットワークの境界が曖昧になっており、協力会社や顧客、サプライヤーによるネットワークへのアクセスは通常インターネットから行われます。アクセスがどこから来るかに関わらず、アイソレーション・ゲートウェイは VPN を通してデータを暗号化し、送信プロセス全体におけるデータのセキュリティを保証する必要があります。
ネットワーク・アイソレーション・ゲートウェイ "の管理および性能要件
従来のネットワークでは、ネットワーク・セキュリティは多数の分離された機器によって共同で確保されていました。機器間の情報の同期は深刻な管理問題です。例えば、ネットワーク内のデバイスのIPを変更する必要がある場合、管理者はファイアウォール、IPS、AV、アンチDDoS、DLPなど多くのデバイスの設定変更を同期させる必要があり、大変な作業量になります。いったん設定変更が不完全になると、デバイス間で情報の矛盾が発生し、ネットワーク全体のセキュリティ保護の効率が大幅に低下します。ネットワークに新たなセキュリティ保護要件が追加され、独立したデバイスが追加されると、ネットワークはより複雑になり、管理・運用コストは雪だるま式に膨れ上がります。
SDN はネットワーク管理の複雑さへの解毒剤であり、ビジネスの俊敏性と柔軟性を保証します。「ネットワーク・アイソレーション・ゲートウェイも同様の考え方、つまり集中管理、統合、仮想化を採用しています。ネットワーク・アイソレーション・ゲートウェイは、セキュリティ機能を単一のデバイスに統合し、各セキュリティ保護機能間で共有される情報を自然に一貫したものにします。 セキュリティ機能によるトラフィックの処理を一律にスケジューリングすることで、独立したデバイスの機能が重複することで発生する追加の遅延を回避します。同時に、ネットワーク構造を大幅に簡素化し、管理の複雑さを効果的に軽減します。ウェブによる集中管理は、ネットワーク・アイソレーション・ゲートウェイのリソースをプールし、すべてのセキュリティ・リソースを統一されたビューで管理します。
前述のように、ネットワーク分離ゲートウェイは SDN ネットワークのセキュリティ要件に適合する必要があります。それはデータの近くのネットワークのコアに配置され、当然、高密度の高速インターフェースと強力な処理能力を必要とします。パフォーマンスを保証するために、ネットワーク分離ゲートウェイは通常統合処理ソフトウェアアーキテクチャと専用のサービス処理ハードウェアを採用する必要があります。
ファーウェイの次世代ファイアウォールUSG6000:ネットワーク分離ゲートウェイのベストチョイス
ファーウェイのUSG6000シリーズNGFは、フォレスターがネットワーク・アイソレーション・ゲートウェイに関する21の基準のうち20を満たし、主要な国際的セキュリティ・ベンダー15社の中で、能力の一致度においてトップ3にランクされました。
セキュリティ機能の面では、USG6000はForrester社のレポートが求める「ネットワーク分離ゲートウェイ」のセキュリティ機能をすべて統合しているだけでなく、きめ細かなアクセス制御にもさらに優れています。ネットワークビジネス環境を感知して6つの側面からアクセス制御を行い、業界最多の6,000以上のアプリケーションを識別します。業界最多の6,000以上のアプリケーションを識別し、アプリケーションのさまざまな機能を区別して、より精密な制御を求めるユーザーのニーズに応えます。また、世界各地にあるファーウェイのセキュリティセンターに依存し、サンドボックス技術を使用してクラウド内の疑わしいサンプルの動作を監視し、未知の脅威を効率的に発見し、APT攻撃を撃退します。
管理機能の面では、USG6000は集中型Webベース管理とハードウェア仮想ファイアウォールをサポートしています。ファーウェイのアジャイルネットワークの重要なコンポーネントとして、ビッグデータ分析技術と連携し、セキュリティのためのインテリジェントな連携と協業を提供します。独自の「インテリジェント・ポリシー・ジェネレーション」技術により、USG6000はネットワーク内の実際のトラフィックを積極的に分析し、最小権限の原則に従って展開されたセキュリティ・ポリシーの最適化提案を行うことができるため、ポリシー管理の複雑さの問題を解決できることは特筆に値します。
性能とインターフェースの面では、USG6000シリーズは同クラスのデバイスの中で最も豊富なインターフェース機能を備えており、デバイスの高性能を確保するために次の3つの手段を採用しています。1.特徴記述の面では、アプリケーション、IPS、ウイルスの特徴を記述するためにファーウェイが独自に開発したPCREX言語を採用し、電文を解析する際に統一されたインテリジェント知覚ソフトウェアエンジンを使用して特徴マッチング分析を行います。ハードウェア:マルチコアアーキテクチャを採用し、CPUのパフォーマンスを消費する特定の反復的なサービスを個別に処理するために独自のハードウェアを使用し、シリアル処理メカニズムを使用するスタンドアロンのセキュリティアプライアンスやUTMアプライアンスよりもはるかに高いパフォーマンスを実現します。
USG6000製品の詳細については、こちらをご覧ください:
