VMware NSX Portal | アプリやユーザーを識別する次世代ファイアウォール

アプリケーショントラフィック制御の必要性

現在、企業や官公庁を標的にしたサイバー攻撃は増加の一途をたどっています。外部からの悪意ある攻撃や、内部ネットワークへ侵入してからの情報漏えいなど、機密情報を狙ったセキュリティリスクは日々高まっています。

このような状況においても、サイバー攻撃対策の基本は依然、HTTPS通信による暗号化と、ポートベース/プロトコル対策中心のファイアウォールとなっています。しかし、暗号化されているからという理由でHTTPS通信を許可してしまっている状況は安全といえるのでしょうか？

HTTPS通信という1つのポート（TCP 443）の中にはじつに様々なトラフィックが流れています。WEBアプリケーションがその良い例です。ブラウザを介して使用するWEBアプリケーションですが、多くのものが、HTTPやHTTPSを使用して通信を行います。

「WEBアプリケーションがHTTPS通信をしているから」 という理由でファイアウォールを許可してしまうと、HTTPS通信を装った悪意ある通信をも通過させてしまい、セキュリティインシデントの発生につながってしまいます。

今回は、VMware NSXとパロアルトネットワークスのVM-Series VM-1000-HV（以下VM-1000-HV）が連携し、HTTPS通信を流れるトラフィックをアプリケーション単位で識別し、制御を行う「次世代ファイアウォール」機能をご紹介します。

VMware NSXとの連携コンポーネントについて

パロアルトネットワークス社のVM-1000-HVは、仮想環境やクラウド環境に対応した次世代セキュリティプラットフォームで、VMware NSX と緊密に連携します。

アプリケーションレベルで通信を判断できる「次世代ファイアウォール」 機能により、アプリケーションを識別して個別に制御を行うことで、HTTPS通信を偽装するといった巧妙化した脅威にも適切に対処することができます。

VMware NSXとの連携は以下のコンポーネントで実現できます。

• Panorama
  
  • Panoramaは、パロアルトネットワークス製品の集中管理プラットフォームです。
    Panoramaにより、仮想ファイアウォールと物理ファイアウォールの分散ネットワークを一元的に管理することができます。また、NSX Manager とオブジェクト情報を連携することで、動的なポリシー制御が可能になります。それに加え、Panorama上で管理しているファイアウォールをグループとして管理し、グループ毎にセキュリティポリシーの設定と共有、ログやライセンスの統合管理を行うこともできます。
    新たな仮想マシンが作成された場合など、仮想環境の構成変更があった場合でもVMware NSXとPanoramaが連携し、情報を共有することでリアルタイムに全てのVM-1000-HV 仮想マシンに対して変更が反映されます。
• VM-1000-HV
  
  • 各ESXiホスト上で稼動する、仮想アプライアンスです。
    リダイレクトトラフィックの受信と、トラフィックへの保護ポリシーの適用を行います。
    OSは、次世代型ファイアウォールPalo Alto Networks PAシリーズで使用される PAN-OS™を採用し、PAシリーズと同じ機能を実装しています。
    また、VM-1000-HVはNSXが管理するESXiホスト全てに配置されローカルで通信処理を行います。このため、どのESXiホストに仮想マシンを移動しても、必ず同じセキュリティポリシーを適用することが可能です。

VM-1000-HV リダイレクトトラフィックフロー

VM-1000-HVでは下図のフローで仮想マシンのトラフィックを保護しています。

VM-1000-HVのユースケース

VMware NSXのファイアウォール機能は IPアドレスやポート番号による制御のみ可能なため、HTTP(S) 内のアプリケーションを識別して制御することはできませんでした。

しかし、VM-1000-HV と連携することで、IPアドレスやポート番号より上位レイヤーで、HTTP(S)内を流れるアプリケーションを識別し、脅威となる通信をブロックすることが可能です。検出可能なアプリケーションは、2016年5月の時点で2000個を越えました。

インターネットとの境界線に物理ファイアウォールを置くことで、ある一定のセキュリティは担保することができます。しかし企業内部のIT利用が活発になるにつれて、社内ネットワーク（あるいはデータセンター内）でのトラフィック量は増加の一途をたどっており、企業内部ネットワークに流れる様々なアプリケーションを識別し、可視化し、そして制御する必要性が高まっています。VMware NSX と VM-1000-HV を組み合わせることで、こうした内部ネットワークのセキュリティ強化につながります。

セキュリティポリシーの適用についても、NSXのセキュリティグループと連携させる事により、IPアドレスを用いたセキュリティポリシーの定義ではなく、仮想マシンの名称や、仮想マシンのグループに対してのセキュリティポリシーの適用が可能になります。これにより、新しく作成した仮想マシンに対しても、定義された次世代ファイアウォールのポリシーが自動適用されるため、セキュリティポリシーを確実に仮想マシンに適用し、ファイアウォールの運用負荷を下げることができます。

VM-Series VM-1000-HV概要

VM-Series VM-1000-HV は、シングルパスソフトウェア構造により、データセンター環境内の遅延を最小化します。複雑化するセキュリティポリシーであってもパフォーマンスの劣化なく実行することが可能です。セキュリティに特化した専用のオペレーティングシステムPAN-OS™によって、組織や企業は App-ID、User-ID、Content-ID、および WildFire を使用してアプリケーションを安全に使用できます。

VM-Series ライセンス

NSXとの連携には、2つの製品が必要となります。

• Panorama
  
  • パロアルトネットワークスの集中管理プラットフォームです。
    仮想ファイアウォールと物理ファイアウォールの分散ネットワークを一元的に管理することができます。
    ※VMware NSXとの連携の際にはPanoramaが必須。
• VM-1000-HV
  
  • 各ESXiホスト上で稼動する、仮想アプライアンスです。
    リダイレクトトラフィックの受信と、トラフィックへの保護ポリシーの適用を行います。
    ※図の例は、ESXiホストが3台なので、3つのライセンスが必要。

ネットワークには、仮想化できないアプリケーションやサービスも存在します。第4回では、Arista Networks CloudVisionとの連携でハイパフォーマンスな仮想－物理ネットワークの接続について紹介します↓