パロアルト、スケーラビリティ重視の次世代ファイアウォールを発表:社内をセキュアに分割し、情報漏えいを防げ
パロアルトネットワークスは安全とパフォーマンスを両立させた、次世代ファイアウォール「PA-7050」を発表した。
パロアルトネットワークスは2014年2月13日、同社ファイアウォール製品の新機種「PA-7050」を発表した。最大120Gbpsのスループットを実現し、エンタープライズ環境やデータセンターなど、パフォーマンスが必要なエリアでの利用を想定した製品としている。
これまでのファイアウォール製品は、DMZ/インターネットゲートウェイ部分での利用が多かった。だがコンテンツが多様化し大容量化するにつれ、より大きな帯域幅が必要とされている。また、社内でネットワークセグメントを分けるためにファイアウォールを利用するというニーズも増えてきている。社内を流れるトラフィックはインターネットゲートウェイ以上に広い帯域が必要であるだけでなく、セキュリティの機能も必須となる。
PA-7050は、同社が提供するクラウド型マルウェア分析仮想サンドボックス「WildFire」の実行が可能で、ポートベースのファイアウォールやシグネチャベースのIPSを含み、同社は次世代ファイアウォールと定義している。これまでの製品同様、クラウド型マルウェア分析仮想サンドボックス「WildFire」や同社の「PAN-OS」を搭載する一方、シャーシ設計は一新し、ロードバランシングの機能やログ取得専用サブシステムを搭載することで、最大120Gbpsのパフォーマンスとスケーラビリティを実現している。
パロアルトネットワークスが考える「本物の次世代ファイアウォール」とは
米パロアルトネットワークス ソリューションディレクターのダネル・オー氏は、次世代ファイアウォールの定義として「全てのポート、トラフィック、通信内容を問わずスキャンが行える」「脅威となるようなアプリケーションをブロックする」などの機能が備わっていることを挙げ、既知、未知の脅威を防ぎつつ、高いパフォーマンス要件を両立しなければならないとした。
オー氏は他社の“自称次世代ファイアウォール”について「さまざまな機能を切り貼りしただけ。それぞれが異なる要素となっているため、スケールアップしようとするとオーバーヘッドが無視できない」と述べる。同社のPA-7050はスケーラビリティを前提に設計しており、最大6枚追加できるカードを挿すだけで帯域幅を拡張できるとした。プロトコル問わず全てのトラフィックを安全かどうか調査することを前提として設計しており、セキュリティ機能をオンにしても性能を損なわなずに運用できるとした。
次世代ファイアウォールが必要とされる場所について、オー氏は米小売大手のTargetで発生した情報漏えいを例に「空調業者のネットワークを踏み台にして、顧客情報管理システムに入り込んだとされている。本来はそこを別セグメントとすべきだった」とした。従来のゲートウェイ部分の防御だけでなく、次世代ファイアウォールを活用してセキュアなセグメンテーションを作ることをパロアルトネットワークスは提案している。
PA-7050は2014年2月13日より、各パートナー経由にて提供を開始する。
Copyright © ITmedia, Inc. All Rights Reserved.