米Juniper Networksは、ネットワーク機器ベンダー。ネットワークを簡素化するスイッチ製品群と、ファイア・ウォールなどのセキュリティ製品群に注力する。インプレスビジネスメディアは2011年3月8日、来日中のセキュリティ製品グループCTOに、企業ネットワークで求められている要件と、同社のセキュリティ製品の利点を聞いた。
---想定する典型的な企業ネットワークの姿は。
ネットワーク階層を単層化/簡素化したイーサネット・ファブリックが中心。このファブリックに、インターネットからアクセス可能なDMZ(非武装地帯)や社内サーバー群、セキュリティを一手に引き受ける専用装置(SRXシリーズ)がつながる。
インターネットから社内サーバーへのアクセスは、セキュリティを一手に引き受ける専用装置であるSRXへと向かい、ここで細かなセキュリティ上の診断を受けた上で、社内サーバーへと中継される。社内サーバーからインターネットへのアクセスや、社内サーバー同士のアクセスも、SRXを中継する。
---SRXにセキュリティ機能を集約するのか。
これまでの企業ネットワークでは、インライン・ゲートウエイ型のファイアウォールが要所要所に独立して分散配置されていた。インターネット境界の背後、Webサーバーの手前、アプリケーション・サーバーの手前、データベース・サーバーの手前といった具合だ。これらのセキュリティ機能を1カ所に集約する。
SRXは、ファイアウォールの基本的な機能から、パケットの内部解析、IDS/IPSなど、目的別のセキュリティ機能を必要に応じてモジュール形式で追加して利用するサービス・ゲートウエイ装置。インラインではなく、論理的に1本のネットワークでつながった状態で運用し、企業ネットワーク内のあらゆるVLANに対してセキュリティ機能を提供する。
---ファブリック以前からセキュリティ機能の集約を推奨してきたのか。
SRXを市場に投入した時から、セキュリティ機能を1カ所に集約するという考え方を推奨してきた。この手法によって、DBファイアウォールのように用途ごとに独立したセキュリティ機器をバラバラに管理する必要がなくなる。また、コア・スイッチにセキュリティ機能を持たせる必要もなくなる。
ネットワーク全体でセキュリティ機能のリソース・プールを共有する形態だ。リソース・プールの拡大も容易だ。SRXのミッドレンジ以上のモデルは、シャーシ型の構成をとっており、複数ブレードを論理的に1台として利用できる。ブレードの追加によって、処理性能やトラフィック性能がスケールする。
他社の場合、セキュリティ機能の集約方法として、複数のコア・スイッチにセキュリティ機能拡張用のブレードを追加する、というやり方がとられる。しかし、この場合、独立した外部リソース・プールではないため、コア・スイッチに対してバランスよく負荷を分散できない。
---セキュリティ機能の集約とファブリックの関係は。
パケット解析やアクセス制御などのセキュリティ機能を提供するという視点では、ネットワークがファブリック(単層)でも、ファブリック以前(2層、3層)でも、同一の管理手法や製品を適用できる。言い換えれば、これまで提供してきたセキュリティ機能を、ファブリックになってもそのまま使うことができる。
ネットワークがファブリックになることで、セキュリティ機能を使う上でも、ファブリックの利点が生きる。ファブリックなら、SRXの配置場所はどこでもよい。不正アクセスや攻撃などのシグネチャも、1カ所に配信すればよい。そもそも、ファブリックによって、サーバー間の通信遅延が小さくなり、利用可能なトラフィックが増え、管理コストが低減する。
---すべてのトラフィックをSRXに持っていくのか。
仮想サーバー環境向けには、SRX同等の機能をサーバー仮想化ソフト側に用意する仕掛けを用意した。これにより、SRXにトラフィックを流す必要がなくなる。SRX同等の機能を提供するのは、買収した米Altor Networksの「vGW」(Virtual Gateway)。VMsafe(セキュリティAPI)を用いてVMware ESXにファイアウォール機能を追加するものだ。
トラフィックの流れ(向き)には、南北(North-South、垂直型)と東西(East-West、水平型)がある。南北のトラフィックとは、アップリンクを介して外部ネットワークに向かうような縦方向の通信であり、東西のトラフィックとは、同一ネットワーク上のサーバー同士のような横方向の通信だ。
企業ネットワークでは、南北トラフィックの量が1に対して、東西トラフィックの量は10もある。このため、東西トラフィックを南北トラフィックに流すと、南北方向のトラフィックを大量に消費してしまう。vGWを使うことで、仮想サーバー同士の通信を東西トラフィックのまま処理できるようになる。
SRXで提供できる機能をvGWでも可能にし、SRXの管理とvGWの管理を一元化するための運用管理ソフトウエアが、「Junos Space Security Design」だ。また、ネットワーク上の問題やイベントを収集して管理し、レポートする「Security Threat Response Manager」(STRM)と呼ぶソフトウエア(主にハードウエア・アプライアンスとして提供)も用意している。
---企業内のネットワークで、細かなパケット解析などの強いセキュリティ機能に需要があるのか。
脅威は変化している。現在では、エンドユーザーのPCが攻撃の対象となり、エンドユーザーのPCが攻撃者となる。ここでは、エンドユーザーの通常時の振る舞いを細かく調べ、いつもと違う振る舞いを検知するといった需要がある。
セキュリティ機能を独立させてファブリックにつなぐことで、セキュリティに関する企業内の数多くの要望に応えられる。どのアプリケーションを監視するのか、どのくらいのトラフィックに対して、どれだけ高度な処理を施すのか、といったセキュリティの運用ポリシーを、需要に合わせて細かく運営できる。
米Juniper NetworksでSLT(Service Layer Technologies) Business GroupのCTO(最高技術責任者)を務めるOliver Tavakoli氏
