エクストリームのこだわりは内部セキュリティ保護
2004/6/1
エクストリーム ネットワークスは、ネットワーク内部の脆弱性への対策を強化したセキュリティフレームワーク「Extreme Security Framework」を5月31日に発表した。これまで各製品に組み込んできたセキュリティ対策機能をフレームワークとして統合。米エクストリームのSecurity Solutions Manager リチャード・ラングストン(Richard Langston)氏は「セキュリティはアプライアンスやソフトベンダの対応ではもはや不十分。ネットワークベンダも対応していく必要性がある」と述べ、セキュリティ機能を製品に積極的に組み込んでいく考えを強調した。
米エクストリームのSecurity Solutions Manager リチャード・ラングストン |
Extreme Security Frameworkの特徴は、PCやスイッチ、無線LANなどネットワークのエッジ部分の脆弱性と、新しく登場したワームや不正アクセスによる脅威「Day Zero」への対策にフォーカスしたことだ。
Extreme Security Frameworkは、「Secure Unified Access」「Secure Network Infrastructure」「Next-Generation Network Instrumentation」の3要素で構成される。
エッジ部分のセキュリティを強化するのは主にSecure Unified Access。Secure Unified AccessにはWebベースのログイン機能、802.1xの認証機能がある。またクライアントPCのネットワーク接続をポリシーベースで管理することが可能。アンチウイルスソフトがインストールされていないPCはネットワークにアクセスしても通信できないなどの設定ができる。エクストリームはこの「Trusted Network Connect」の仕組みを標準化することを目指している。シスコシステムズも別にアンチウイルスベンダなどと協力し、同様の仕組みを提案している。
Secure Unified Accessには、ほかにアクセスコントロールリストを作成し、ログオンするユーザーによってネットワーク内でアクセスできる範囲を設定できるようにしている。
「Day Zero」と呼ばれる未知の攻撃、脅威に対してはNext-Generation Network Instrumentationが対応する。同社のコアスイッチの最上位機種「BlackDiamond 10Kシリーズ」にはネットワークを流れるパケットの最初の128バイトを確認し、過去の統計情報と合わせて通信の正常、異常を判断する「CLEAR-Flow」の機能がある。内部からデータが大量に転送されるなど不信な通信がある場合、CLEAR-Flowが検知してIDSに通知。IDSは問題の通信をブロックする。通常のネットワークでは、すべての通信がIDSを通過し、異常のある通信を検知してブロックする。しかし、この仕組みではIDSのパフォーマンスによって通信速度が低下するケースがある。CLEAR-Flowでは、通信の監視と、パケットのブロックを分業する仕組み。IDSによって通信速度が低下することがなく、「ワイヤスピードのスケーラビリティが可能」とラングストン氏は説明した。
Secure Network Infrastructureは、主にネットワーク外部からの攻撃に対応する。DoS攻撃からネットワークを防御したうえでトラフィックを維持することが可能。不用意なセキュリティホールの検出、無断で取り付けられた無線LANのアクセスポイントを排除することなどができる。
Extreme Security Frameworkのうち、エクストリームの全製品に実装されているのはWebベースのログオン機能と、Secure Network Infrastructureの各機能。Trusted Network Connectやユーザーごとのアクセス範囲の割り当て機能は今夏にも全製品に展開する計画だ。CLEAR-Flow機能は今後もハイエンド製品への実装が中心となる。
(編集局 垣内郁栄)
[関連リンク]
エクストリーム
ネットワークス
[関連記事]
エクストリームが新対策、「セキュリティベンダに任せられない」
(@ITNews)
ファウンドリー創立者が鼻高々、「当社が日本で売れてる理由」
(@ITNews)
本当の10GbEを実現するスイッチ、エクストリーム
(@ITNews)
人間の自己免疫がモデル、シスコが新セキュリティ戦略発表
(@ITNews)
情報をお寄せください:
最新記事
|
|