“クラウド時代のファイアウォール”に不可欠な「3つの要素」とは?ネットワークのセキュリティとパフォーマンスをどう両立するか

Office 365をはじめSaaS利用が多くの企業に浸透し、トラフィックが増大・複雑化している近年、ネットワークのパフォーマンスとセキュリティを両立する手段にも新たなアプローチが求められている。では具体的に、企業は既存のネットワークアーキテクチャをどのように刷新すればよいのだろうか? 多くの企業の支持を獲得してきたJuniper Networksのネットワークセキュリティアプライアンス「SSGシリーズ」のサポート終了も2020年1月と間近に迫った今、同社が提供する次世代ファイアウォール「SRXシリーズ」ならではのアドバンテージに、その解を探る。

» 2018年07月23日 10時00分 公開
[PR/@IT]
PR

「次の10年」を支えるネットワークセキュリティ製品とは

 SaaSに代表されるクラウドサービスの企業利用が広がる中、企業ネットワークは新しい課題に対応していく必要に迫られている。SaaSの普及に伴い、ネットワークトラフィックが複雑化し、負荷をうまくさばけない問題が多くの企業で生じている。アプリケーションごとに利用状況を可視化して、ネットワーク品質を担保する新たなアプローチが求められているのだ。

 10年ほど前は、「安定性」「安全性」が企業ネットワークの中心テーマだった。安定性については、社内ネットワークのネットワーク帯域が100Mbps、1Gbpsと高速化していく中で、「いかに安定的に高速なサービスを提供するか」が問われていた。安全性については社内ユーザーのセキュリティを担保するために、ファイアウォールやウイルス対策に加えて、アンチスパム、IPS/IDS、VPN、Webフィルタリングなどの機能をネットワーク上のサービスとして提供することが求められた。

 実際、こうした機能を備えた製品として、Juniper Networksのネットワークセキュリティアプライアンス「SSGシリーズ」などが多くの企業の支持を獲得したのは周知の通りだ。だが今日、企業ネットワークの中心テーマは「クラウド」だ。安定性・安全性は当然のこととして、いかにクラウドに対応したネットワークを構築し、運用していくかが問われている。

 そんな中、SSGシリーズの後継製品として、市場から高い評価を得ているのが次世代脅威防御型のインテリジェントファイアウォール「Juniper SRXシリーズ」(以下、SRXシリーズ)だ。SSGシリーズが2020年、2021年にサポート終了するという背景もあり、「次の10年の企業ネットワークを支えるネットワークセキュリティ製品」として注目度が高まっている。

 ではSRXシリーズは、クラウド時代のネットワーク課題にどのように応えてくれるのか。SSGシリーズのユーザーも納得できるであろうSRXシリーズの特長を紹介しよう。

ネットワークとセキュリティの両面から企業のビジネスを支える

 SRXシリーズの優位性を知るためには、SaaSの代表的存在である「Office 365」への対応状況を確認するのが分かりやすい。優れた操作性と機能性で人気のOffice 365だが、ネットワークセキュリティの点では「エンジニア泣かせ」の面もある。サービスを提供するグローバルIPアドレスの範囲が頻繁に変更されるため、社内からOffice 365アプリケーションを特定し、何らか特定の処理をすることが面倒なのだ。

 例えばファイアウォールやProxy、WebフィルターなどでOffice 365へのIPアドレスベースでの接続制限を行っているとする。サービスのIPアドレス範囲が変わると、突然、Office 365につながらなくなる現象が発生する。そのため企業の中には、Office 365のサービスアドレスが変更されたことを認識して、設定を変える仕組みを個別に構築しているケースもある。

 Office 365と連携して動作する独自アプリケーションがある場合は、さらにやっかいだ。例えば、「社外からExcel Online上にデータを入力してもらい、それを社内のスクリプトでバッチ処理して、基幹システムなどに送る」といった簡単なものでも、IPアドレスが変更されるたび、アクセス制限のたびに設定変更が必要になる。独自アプリケーションはセキュリティ機器側で認識できないという課題もある。

 さらに、さまざまなSaaSが混在する中で、ネットワークのパフォーマンスとセキュリティをどう両立させるかも課題になっている。社内ネットワークでも動画コンテンツやビデオ通話など、帯域を逼迫(ひっぱく)させるアプリケーションが広く利用されるようになっている。古いネットワーク機器の中には、こうした高負荷なアプリケーションがネットワークを占有すると、パケットのスキャン機能がうまく動作しなくなるものも存在する。

 SRXシリーズはこうした「クラウド時代特有の課題」に対して、アーキテクチャレベルから見直しを図った製品だ。一般に、SRXシリーズというと、最新の標的型攻撃にも多層防御に対抗できるセキュリティソリューションとして理解されることが多い。だが、セキュリティ機能だけではなく、ネットワーク製品としてもビジネスにさまざまな貢献ができるのである。

 では、なぜクラウド時代に適した製品なのか。その理由はSRXシリーズが備える“3つのアドバンテージ”にある。

「SNI」でアプリケーションを識別

 SRXシリーズの特長の1つとして、アプリケーション単位でのルーティングを定義できる「APBR (Advanced Policy-Based Routing)」機能がある。これにより、Office 365をはじめアプリケーションのトラフィックを最適化することができる。

 第1のアドバンテージは、アプリケーションを識別する際にSNI(Server Name Indication)情報を用いることができる点だ。

※SNIとは、SSL/TLSの拡張仕様の1つで、グローバルIPアドレスを持った1台のサーバで、異なる複数の証明書を使い分けられるようにする仕組みのこと

ALT 図1 アプリケーションのトラフィックを最適化するAPBR (Advanced Policy-Based Routing)機能。このアプリケーション識別にSNI(Server Name Indication)情報を用いることで運用を大幅に効率化できる《クリックで拡大》

 Office 365をはじめとするSaaSはHTTPSでのWebアクセスが基本だ。Office 365では、IPアドレス範囲が頻繁に変わるのに比較して、HTTPSでのWebアクセスで利用するSNI情報はほとんど変わらない。そこで、このSNI情報をWebフィルタリングやSSL Proxyの接続に利用することで、IPアドレスの変更に手間なく対応できるようにする。具体的には、これまでWebフィルタリングなどをIPアドレスで設定していたところをSNIで対応するようにSRXの設定を変更する。するとこれだけで、Office 365のIPアドレス範囲が変わっても、従来とまったく同じように運用を続けられるようになる。

 こうした機能は、ソフトウェア制御によってWANを動的に管理・運用するSD-WAN(Software-Defined Wide-Area Network)でも高い効果を発揮する。SaaSなどのクラウドアプリケーションは、社内ネットワークよりも、WANのような社外にあるネットワークの影響を受けやすい。WANを効率的に管理し、ネットワーク品質を確保していくSD-WANは、クラウド時代における重要なキーワードの1つだ。

 SRXシリーズでは、SNI情報に対応したアプリケーション識別に対応することで、SD-WANによる管理効率化や柔軟性確保に貢献することができる。例えば、WANをまたがったネットワークトラフィックをユーザーのポリシーに応じて動的にルーティングしたり、ある拠点からはクラウドに直接アクセスして社内に十分なトラフィックを確保したりといったことができるようになるのだ。

コマンドラインベースで企業独自のアプリケーションも認識

 SRXが備える第2のアドバンテージは、企業独自のアプリケーションも識別できることだ。SRXにはアプリケーションを可視化・制御・保護する機能として「AppSecure 2.0」という機能が備わっている。SaaSを中心に3500種類以上のアプリケーションを識別できるが、登録されていないアプリケーションもカスタマイズすることで識別が可能になる。

 例えば、企業独自のWebアプリケーションをWebフィルタリングやProxyで識別したい場合、アプリケーションのシグニチャをアプリケーション識別エンジンのAppIDに登録する。これにより、他のSaaSと同じように企業独自のアプリケーションの制御が可能になる。

ALT 図2 従来の次世代ファイアウォールでは識別できない「BitTorrent」「Tor」などの回避型アプリケーションも含めて、3500種類以上のアプリケーションを識別可能

 セキュリティアプライアンスは、独自アプリケーションの識別をIPアドレス単位でしか行えないものが多い。これに対し、SRXはアプリケーション単位で識別するため、よりきめ細かく柔軟な運用ができる。SNI情報のサポートと合わせて、Office 365と連携する企業独自のアプリケーションの管理も容易だ。

モジュラー型アーキテクチャ「Junos OS」の効果

 SRXシリーズが備える第3のアドバンテージは、モジュラー型アーキテクチャを備えたOS「Junos OS」にある。従来のSSGシリーズでは「ScreenOS」を採用することで、高い信頼性と安定性を提供していた。その後継に当たるSRXでは、Junos OSを採用して、さらなる信頼性と安定性を実現している。

 これを可能にした技術のコアが「モジュラー型アーキテクチャ」だ。モジュラー型アーキテクチャでは、カーネルとなるJunosの上で、各プロセスそれぞれにCPUリソースとメモリ領域が割り当てられる。各プロセスは独立したモジュールとして動作するため、他のプロセスでトラブルが発生した場合でも、OS全体は影響を受けない。トラブルが発生したプロセスだけを再起動して、正常な状態に復旧することができるのだ。

ALT 図3 高負荷なアプリケーションが混在する環境でも、確実な安定運用を実現するモジュラー型アーキテクチャを採用《クリックで拡大》

 モジュラー型アーキテクチャは、高負荷なアプリケーションが混在する今日のビジネスにおいて、特に大きな効力を発揮する。例えば、前述した「ネットワーク負荷の増大に伴うセキュリティ機能の停止」などは根本的に防ぐことができる。パケットスキャンなどのセキュリティ機能とルーティングなどのネットワーク機能をそれぞれ別のプロセスとして稼働させるため、「ネットワーク負荷が高まった結果、ルーティング機能を巻き込んでセキュリティスキャンが停止する」などといった事態が起こらないのだ。

 さらに、コントロールプレーンとデータプレーンを完全に分離して、それぞれに専用のリソースを確保する仕組みを持つ。このため、どちらか一方に問題が発生しても、もう一方のエンジンは稼働し続ける。これにより、ネットワークが完全に停止することなく、安定した信頼性の高いネットワークを提供することができる。

 ネットワークエンジニアの中には、ネットワーク負荷に伴うセキュリティ機能の停止といったトラブルに対して「問題外の事態」と憤る方もいるかもしれない。だが、それが現実に起こるほど、クラウド時代のネットワーク負荷は高い。モジュラー型アーキテクチャが力を発揮するシーンは今後ますます増えるはずだ。

 このように、SRXはクラウドやSD-WANといった新しい技術トレンドに乗るための3つのアドバンテージを備えることで、ビジネスを支える強力なネットワーク製品となっている。定評のあったSSGシリーズの後継製品として、さらにパワーアップしたことがお分かりいただけたのではないだろうか。

 最後に、SSGシリーズのサポート終了が間近に迫ってきていることにも触れておこう。2015年に販売が終了した小規模環境向けの「SSG 5」「SSG 20」のサポート期限は2020年1月23日だ。2016年に販売が終了した中規模・大規模向けの「SSG 140」「SSG 320M」「SSG 350M」「SSG 520M」「SSG 550M」のサポート期限は、2021年1月31日となる。

 Juniperでは、SSGの後継製品としてSRXへの乗り換えキャンペーンを実施している。「次の10年」に向けて、安定性と信頼性に加え、クラウド時代にふさわしい柔軟性と俊敏性を兼ね備えたSRXへの移行を検討してはいかがだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ソフトバンク コマース&サービス株式会社/ジュニパーネットワークス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年8月22日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。