従来型のステートフル ファイアウォールや次世代ファイアウォールでは、今日の高度な脅威を検知してブロックすることはできません。
暗号化されたトラフィックに潜む脅威
現在、脅威の大部分は暗号化されたトラフィックに潜んでおり、攻撃者はこれを通じてユーザーを感染させたり、情報の窃取行為やC2通信を隠したりできます。TLS/SSLインスペクションは、もはやオプションではなく、ユーザーとデータを保護するために必須となっています。
暗号化されたトラフィックのインスペクションを前提にしていない従来型ファイアウォール
TLS/SSLインスペクションはプロセッサーに高い負荷をかけるため、ほとんどのファイアウォール アプライアンスはこれを処理しきれず、パフォーマンスが低下します。その結果、アプライアンスでTLS/SSLインスペクションをサポートすると、多くの場合、通常の5倍から10倍のハードウェアのプロビジョニングが必要になります。
完全なインスペクションにはクラウドベースのプロキシ アーキテクチャーが必要
Zscaler Firewallは、大量のTLS/SSLインスペクションを処理する、高度にスケーラブルなプロキシ アーキテクチャーを基盤としています。このスケーラビリティーを活用し、コストをかけてアップグレードしたり、インスペクションの範囲を縮小したりすることなく、増加するTLS/SSL帯域幅とセッションの処理を可能にしています。ユーザー数に基づく料金体系で、すべてのポートを対象に上限なく復号を実行できるようになります。
従来型ファイアウォールに存在する死角
従来型ファイアウォールは、IPSやAVを利用して、脅威全体のごく一部であるシグネチャーベースの脅威に対する保護を提供しています。しかし、シグネチャーの90%がHTTPおよびDNS向けに作成されているため、シグネチャーベースの保護では、もはや十分ではありません。HTTP、HTTPS、DNSのトラフィックの完全なインスペクションには、プロキシベースのアーキテクチャーが必要です。
最も脆弱なプロトコルの保護
Zscaler Firewallは、高度なディープ パケット インスペクション エンジンとプロキシベースのアーキテクチャーを使って、ポートに関係なく、HTTP/HTTPS、DNS、FTPのトラフィックと考えられるすべてのトラフィックをプロキシします。これにより、ユーザーが本社、支社、リモート環境のどこにいるかによらず、最も脆弱なプロトコルの脅威をより多く検知できるようになります。