Zscalerのブログ
Zscalerの最新ブログ情報を受信
購読する時代遅れの次世代ファイアウォールを置き換える、クラウド世代ファイアウォール
私は過去20年間にわたり、多くの時間をファイアウォールの設計、開発、展開に費やしてきました。当初、業界は5タプルのポートベースのステートフル ファイアウォールで対応できていました。2000年代半ばになると次世代ファイアウォールが誕生し、ユーザー、グループ、アプリケーションなどの別の側面も対象として含まれるようになりました。URLフィルタリングと脅威対策およびデータ保護テクノロジーが進化し、次世代ファイアウォールに不可欠なアドオンとなったのです。しかし、アプリケーションがクラウドに移行し、従業員が場所を問わずにログインするようになるにつれて、これらの次世代ファイアウォールの効果はすぐに失われ、第3の進化の波であるクラウド世代ファイアウォールが求められるようになりました。
では、「一世代前」のソリューションと見なされることの他に、次世代ファイアウォールを置き換える必要性は何なのでしょうか。また、代わりとなるものは一体何なのでしょうか。この問いに、セキュリティ部門とネットワーク運用部門の観点から答えていきましょう。
ファイアウォールではゼロトラストは実現不可
最初に、次世代ファイアウォールはゼロトラストの原則に準拠していないという事実について考えていきましょう。ゼロトラスト アーキテクチャーの最も基本的な概念は最小特権アクセスです。この概念は、セキュリティ ソリューション、ネットワーク、セキュリティの担当者であっても無条件に信頼を与えるべきではないという考え方を指します。これを実現するには、無数の保護されていないネットワークを介して、さまざまな場所やデバイスで作業するユーザーのアクセス権を決定しつつ、暗号化されたトラフィックを検査することが求められます。しかし、ファイアウォールでは対応することができません。
対照的に、Zscaler Zero Trust Exchangeは、コンテキストベースのアイデンティティーやポリシー施行によって定義された最小特権アクセスを活用し、ユーザーやデバイスを特定のアプリケーションやワークロードに迅速かつ安全に接続します。これにより、従業員がどこからでも企業ネットワークを使用して作業できるようになります。この機能がなければ、極めて高いラテラル ムーブメントのリスクに対処する必要があります。
次世代ファイアウォールは幅広いネットワーク アクセスを許し、望ましくないラテラル ムーブメントを誘発
従来のエンタープライズ ファイアウォールは、ゾーンベースのネットワーク セグメンテーションを提供するもので、基本的なスプーフィング対策(なりすまし対策)の手法を備えていました。内部のIPアドレスがインターネットまたは非武装地帯(DMZ)から発信された場合、「スプーフィング攻撃」と見なされてブロックされます。ところがゾーンベースのセグメンテーションでは、幅広いネットワーク アクセスとラテラル ムーブメントが可能になり、ゾーン内のトラフィックが「許可」されてしまいます。残念ながら、攻撃者が1つのDMZサーバーへのアクセスを有していれば、すべてのDMZサーバーにアクセスできることになります。
したがって、例えば内部のプリント サーバーが侵害された場合、ゾーン内の暗黙的な「許可」を介して、「信頼ゾーン」の中にあるすべてのユーザーとデバイスにマルウェアを伝播してしまう可能性があります。実際のところ、「信頼ゾーン」という名称には語弊があり、先に説明したゼロトラストの原則とは矛盾しています。
次世代ファイアウォールは侵害の防止には不十分
物理的なファイアウォールとアプライアンスは、設定ミスが非常に起こりやすいのが難点です。実際、Gartnerはファイアウォール侵害の95%は設定ミスが原因であると報告しています。ファイアウォール管理ベンダーの特に一般的な設定ミスとしては、SMTPアクセスの許可やあらゆるサービスを厳しく制限しないこと、およびインバウンドICMPやpingなどが挙げられます。さらに、マルチベンダーのファイアウォールを使用すると設定ミスが増大してしまい、メリットよりもデメリットの方が大きくなります。ファイアウォールはインターネットに接続する必要があるため、それ自体が脆弱です。そのうえ、インバウンドHTTP/HTTPSを許可すると、支社の1つのサーバーだけにアクセスした場合であっても、分散型サービス拒否(DDoS)攻撃の発生につながる可能性があります。さらに、エンタープライズ ファイアウォールはWebアプリケーション ファイアウォールではなく、DDoS攻撃を受け止めるロード バランサーも備わっていません。
ハッカーが活用する検索エンジンであるShodanは、Webを巡って露出された脆弱なデバイスをリスト アップし、デフォルトのパスワードが設定されたファイアウォールや幅広く公開されたサービスなどの、露出されているデバイスを明らかにします。
人間が関わる限り、設定ミスが完全になくなることはないでしょう。クラウド アプリケーションへの移行により、クラウド保護の必要性はより明確になっています。では、どのようなアプローチが推奨されるのでしょうか。ゼロトラスト セキュリティを提供するクラウド世代ファイアウォールは、オンプレミスの攻撃対象領域を減らすのに役立ちます。そのため、ユーザー、デバイス、エッジ ルーターをZscaler Zero Trust Exchangeへと向けましょう。Zero Trust Exchangeのクラウド世代ファイアウォールは、Webと非Web両方のすべてのトラフィックを検査します。さらに、デフォルトのゲートウェイとして、適切なアクセス ポリシーを施行し、トラフィックにさらなるWebセキュリティや脅威対策およびデータ保護を適用することができます。一元的に調整された統合型ポリシーによってエラーが発生しにくくなり、DNSおよびIPS制御サービスと併せて優れた侵害防止の効果を発揮するのも特徴です。すべてのサービスはインラインであり、検査はSingle-Scan, Multi-Action (SSMA)テクノロジーを用いて行われるため、パケットの検査で遅延が増加しないよう徹底されます。
コンプライアンスに関する課題
エンタープライズ ファイアウォールは強化されたデバイスであり、Common Criteriaなどの追加のコンプライアンスが適用される場合があります。しかし、ほとんどのファイアウォールは、プロアクティブなセキュリティ コンプライアンス チェックの対象ではありません。セキュリティ部門がファイアウォールの侵入テストを委託することも多いですが、各企業で十分にプロアクティブかつ効果的に行われているとはいえません。一方、当社のクラウドはISO/Fedramp/SOC-2、CSA-Starなどの各種の認証に準拠しています。アプライアンス関連の標準でこのレベルのコンプライアンスによる安心感を提供できるソリューションは、他にはありません。
水平方向のスケーラビリティーの欠如と可用性の低下
一般的なファイアウォールのデータシートを見ることで、X Mbpsの制限がわかります。TLS検査を有効にすると、記載されているこのパフォーマンスは約半分に低下しますが、脅威対策によって本来のパフォーマンスの3分の1にまで引き下げられることになります。トラフィックの90%はTLSで暗号化されているため、ファイアウォールのパフォーマンスは常に宣伝されている値の半分になります。突然新しいセッション/秒が流れ込む際も、ファイアウォール アプライアンスはクラウド サービスのように水平方向に拡張されないため、輻輳が生じて遅延を招く恐れがあります。四半期ごとに計画済みのパッチ適用と計画されていないパッチ適用があり、およびメンテナンスがそれぞれ1〜3時間であると仮定すると、年間少なくとも6〜12時間のダウンタイムが発生し、可用性は99.86~99.93%となります。高い冗長性と可用性を有するファイアウォールであれば状況はわずかに改善されますが、それだけでは不十分です。
これを、水平方向に限りなく拡張できるクラウド サービスと比較してみましょう。クラウド ハードウェアにも制限があるのは確かですが、ロード バランサーとパブリック サービス エッジ インスタンスを追加することで、それらは簡単に克服できます。ZscalerはISO 27001認証を取得しており、99.999%の可用性を保証し、遅延とセキュリティについて別途SLAを定めています。同様のサービスを提供するベンダーは、他にありません。当社が公開しているクラウドのSLAを理解するためのガイドに、この点に関するインサイトがまとめられています。
従来型のファイアウォールとZscaler Zero Trust Exchangeとの比較
|
従来型のファイアウォール |
Zscaler Zero Trust Exchange | |
|
ユーザーとデバイス |
ユーザーが移動してもファイアウォールは移動しないため、出張先では従来型のファイアウォールで保護されません。 |
ユーザーは、全世界150か所以上のデータセンターのいずれかに接続されます。場所と時間を問わず、ユーザーとデバイスを保護します。 |
|
スケーラビリティーとパフォーマンス |
スケーラビリティーとパフォーマンスは限られており、SSLと脅威の検査が追加されるとパフォーマンスが落ちるなど、制限があります。 |
ロード バランサーが、ユーザーの近接性、現在のパフォーマンスと規模に基づいて、新しいセッション/秒をサービス エッジに分散します。 |
高い運用コスト
パッチ適用とメンテナンスにより、可用性が失われます。また、ファイアウォールのメンテナンス、パッチ適用、アップグレードのためにあらゆる拠点に専門のITスタッフが置かれるため、運用コストも高くなります。Secure Cloud Transformation, the CIO’s Journeyのレポートで言及されている研究によると、Zscaler Zero Trust Exchangeに移行することで、企業は支店のファイアウォールなどのセキュリティ アプライアンスを平均50〜85%節約できることがわかっています。Zscalerのエンジニアは、クラウドSLAに沿ってメンテナンスやパッチ適用、インシデント管理、すべてのクラウド サービスのアドバイザリーの発行を行います。これにより、すべての拠点でファイアウォールを維持するための運用コストが排除されます。
Zscaler Zero Trust Exchangeのクラウド世代ファイアウォールを採用するなら、今がそのときです。ご利用の次世代ファイアウォールをさっそく置き換えましょう。
