VMware NSX Portal | 仮想環境をUTMでがっちり守る!
内部トラフィック制御は、NSX+FortiGate-VMX
企業のセキュリティの意識が高まり、現在ではほとんどの企業でファイアウォールが導入されています。しかし、ファイアウォールが導入されているからと言って安全と言えるでしょうか。残念ながら、多く普及している境界型ファイアウォールによる侵入防止対策だけでは、マルウェアの侵入を防ぐことはできません。それは、全てのトラフィックがゲートウェイを通過するわけではないからです。
たとえば・・・、
- SSL-VPNを使用し自宅や外出先からアクセスする
- USBメモリなどを介して内部ネットワークに直接アクセスする
- 悪意のあるファイルが添付されたメールを受信する
というようなケースでは、これまでの境界型ファイアウォールではマルウェアの侵入を検知することができません。
内部トラフィックのセキュリティレベルを向上させるためには、VMware NSXのマイクロセグメンテーションが有効ですが、Fortinet社が提供する「FortiGate-VMX」を用いる事で、データセンター内の更なるセキュリティ強化が可能になります。FortiGate-VMXは、VMware NSX専用のセキュリティソリューションで、UTM(Unified Threat Management:統合脅威管理装置)の機能を“仮想的に”提供します。
FortiGate-VMXは、VMware NSXの分散ファイアウォールと連携する事で、仮想マシン毎のセキュリティを拡張し、侵入検知・防御、アプリケーション制御、アンチウイルス、URLフィルタリングといったUTM機能を提供します。これまでUTMアプライアンスでしかできなかった通信検閲を、仮想マシン1台1台に対して行うことができるようになります。
さらには、
- FortiGate-VMXセキュリティノードを新しいESXiホストに自動的に配備/プロビジョニング可能
- 新しいVMワークロードを瞬時にリアルタイムで保護
- ライブマイグレーションイベント(vMotion)間でセッション状態を維持
- マルチテナント環境をサポート
- 次世代セキュリティ機能を1つのプラットフォームに集約
といった機能も提供します。
NSX&FortiGate-VMXで内部対策の強化
FortiGateコンポーネントについて
ForiGate-VMXのコンポーネントは、FortiGate-VMX サービスマネージャとFortiGate-VMX セキュリティノードで構成されています。
それぞれの役割は、
- FortiGate-VMX サービスマネージャ
- FortiGate-VMX環境を集中管理する、管理用仮想アプライアンス
- NSXへのセキュリティサービス定義や、ライセンスの集中管理、構成の同期を実行
- FortiGate-VMX セキュリティノード
- 各ESXiホスト上で稼動する仮想アプライアンス
- リダイレクトトラフィックの受信と、トラフィックへの保護ポリシーの適用を実行
FortiGate-VMXでは、VMware NSX API および NSX Service Composer との統合により、独自のリダイレクトセキュリティポリシーを有効化して、 ESXi クラスタ内のVMワークロードで送受信されるアプリケーショントラフィックを保護することができます。
もちろん、手作業によるネットワークフローの構成なども不要になります。
FortiGate-VMX のリダイレクトトラフィックフロー
FortiGate-VMXのリダイレクトトラフィックは全てVMKernel内でやり取りされ、ESXiホスト内で完結します。このため、リダイレクトによるネットワーク帯域の消費や、ネットワーク遅延はありません。
リダイレクトトラフィックフローについては下図をご覧ください。
VDOMとNSX Service Profileによるマルチテナント対応
仮想UTM(VDOM)機能により、1つのFortiGat-VMXセキュリティノード上に、標準で10台の仮想FortiGateを構築することが可能です。
一元的な管理のもと、各ユーザ企業や部門ごとに独立した機能、ポリシーの設定や運用が可能になります。
この機能のユースケースは以下のようなものがあります。
- マルチテナント対応で、ホストの台数に限らずたくさんの顧客に対して、それぞれ独立したUTM機能を提供
- 部門毎に必要なセキュリティ要件を提供する機能別セグメンテーションの実現
また、セキュリティ機能の提供も簡単で、各VDOMに提供するセキュリティ機能を定義する「セキュリティポリシー」を設定して、NSXのセキュリティグループをアサインするだけです。
さらに、セキュリティグループのメンバー(仮想マシン等)は動的に更新されるので、例えば、新規仮想マシンを作成しても、条件に該当するセキュリティグループに自動的に加わり、セキュリティ機能がアサインされます。これまでセキュリティ担当者が手動で行っていた各仮想マシンのセキュリティ設定が自動で適応されます。
FortiGate-VMXのVDOM機能でマルチテナント対応
これにより、例えば共通の仮想化基盤を利用した開発用クラウドに対して、トラフィックが分かれる全く別の環境として運用可能です。
- テナントA~Cの3つのマルチテナント環境を構築
- 各テナントではプロジェクト1、プロジェクト2…といった単位でNSXのセキュリティグループを定義
- セキュリティポリシーで定義されたFortiGate-VMXのUTM機能を提供
UTMアプライアンス次世代ファイアウォール
FortiGate-VMX は、VMware 環境に特化したセキュリティソリューションです。バーチャルアプライアンスとしてUTMの機能を仮想化インフラ環境に提供します。VMware NSX および vSphere との相互運用を実現し、API を直接統合することで仮想化されたネットワークトラフィックを、ハイパーバイザレベルで可視化して保護します。
また、従来のハードウェアベースのFortiGateアプライアンスに共通するすべてのセキュリティおよびネットワーキングサービスが備わっており、動的なネットワークやインフラストラクチャのワークロードにおいてソフトウェアによってセキュリティを確保し、確かな保護対策および法規制のコンプライアンスを可能にします。
(Fortigateの詳細については、こちらをご確認ください)
FortiGate-VMXの主な機能
FortiGate-VMXのライセンス体系
VMware NSXとの連携には、下記の2つの製品が必要となります。
- FortiGate-VMX サービスマネージャ
- 1つのNSX環境に1つのライセンスが必要
- FortiGate-VMX セキュリティノード
- セキュリティノードを使用するESXiホストの台数分ライセンスが必要
リソースや保護されるVMワークロードの数は、ラインセンスと関係なく無制限です。
FortiGate-VMXのライセンス体系
第3回では、同一ポートを利用した通信でもアプリやユーザーごとにセキュリティ設定を行える連携ソリューションを紹介します↓