Zscaler Cloud Platform

次世代ファイアウォールがプロキシになれない理由:最適なアーキテクチャの重要性

abstract movement

ビジョンを持ち、不屈の精神と実行力で、そして運も味方にして、一企業が従来にはない考え方で重大な課題に挑んだ結果、業界全体に変革をもたらすことが稀にあります。かつて、エンタープライズアプリの増加を受けて次世代ファイアウォールが登場しました。従来の城と堀の形式をとったセキュリティモデルが十分に通用していた時代に必要とされたアーキテクチャですが、時代の要請を受けて生まれた考え方であり、ネットワークセキュリティのあり方を変えることになりました。

今日、私たちは同じような転換期を迎えています。過去1年間でクラウドやデジタルトランスフォーメーションの導入に拍車がかかり、アプリ、ユーザ、ワークロードがあらゆる場所に点在するようになったことで境界線が消滅しました。今日のクラウドファースト、モバイルファーストの世界では、従来のアプローチがネットワークセキュリティに通用しなくなっています。企業は、サイバー脅威の防御とデータ保護をより高度に実現できる、単なる性能向上を超える画期的な変革を求めています。従来のファイアウォールからNGFWに進化した時とは異なり、WANのファブリックを再定義し、インターネットが新しい企業ネットワークになり、データセンタからクラウドにビジネスの中心が移ったことに対応できるアーキテクチャが必要となっています。かつて通用していたアプローチでは、現在のネットワーク境界に対応できないのです。

レガシーなベンダは、これまでの変化への対応と同様に、ファンレス設計や物理ネットワークポートの廃止といったハード面を除き、アーキテクチャを根本的に変更せずに従来製品のリフト&シフトでクラウド移行に対応しようとしています。ファイアウォールベンダがプロキシアーキテクチャの重要性を認識していることは良いのですが、一部のベンダは、「クラウド上のファイアウォール」へトラフィックをリダイレクトするためだけにプロキシを使用しようとしています。これでは、クラウドネイティブで、真のエッジとして、高いスケーラビリティを持つプロキシアーキテクチャが持つパフォーマンスとセキュリティの利点を否定することになります。

私たちが10年以上前にネットワークとセキュリティを再定義する取り組みを開始した際に重視したのは、従業員、クラウド、顧客、そしてパートナーの間を接続する真のプロキシを中心にして、包括的なクラウドネイティブなアーキテクチャを構築することでした。これを正しく実現できれば、SSLを含むすべてのトラフィック全トランザクションに対して高速のインスペクションが可能になります。境界線やデータセンタの端に強固な扉を付ける方法は、もはや効果がありません。今回のブログでは、クラウドファーストでデジタル化が進む今日の世界で、適切なアーキテクチャが重要になる理由を説明しようと思います。

  1. 適切なインスペクションがなければ、セキュリティは確保できない。ゼットスケーラーのZero Trust Exchangeような真のプロキシは、すべてのSSL/TLSトラフィックを含めたあらゆる接続をインラインで完全にインスペクションして接続を終了させ、サイバー攻撃とデータ損失を徹底して防ぎます。プロキシを単にトラフィックの転送に使用するファイアウォールベースのパススルーアーキテクチャとは異なり、ゼットスケーラーのプラットフォームは、AIを活用して脅威やデータ漏洩のシグネチャをパケットごとに分析して判定し、しかもすべてを、ラインレートの速さで処理します。

    すべてのファイアウォールはストリーム単位の処理を行うため、ポリシの適用には一定数のパケットを読み込む必要があります。この場合、対策の実施前に、コマンド&コントロール、データ、あるいは不正ペイロードが、ふるいからこぼるようにすり抜けることがあります。その点において、ゼットスケーラーの真のプロキシアーキテクチャは、1つのパケットも漏らしません。さらには、プラットフォームで未知のファイルを保持し、隔離してインスペクションを実施して、攻撃者が毎日大量に送りつけてくる未知のマルウェアを阻止します。適切なインスペクションが実施できなければ、巧妙な攻撃者は、「きめが粗く遅い」ことによるパケットの漏れや、最初の被害者にして感染源となる、ペイシェントゼロの保護がないことを利用して、破壊的な攻撃をしかけてくることになります。
     
  2. リフト&シフトではない、真のクラウドネイティブアーキテクチャの必要性。ゼットスケーラーのクラウドネイティブなマルチテナントプラットフォームは、独自に設計されたアーキテクチャを採用し、数十億件のトランザクションに対応し、AIや機械学習を用いて数兆のシグナルを処理して、暗号化トラフィックに対して制限なくインスペクションを実施しています。これは、仮想アプライアンスをパブリッククラウドに展開するシングルテナントのアーキテクチャとは一線を画すものです。実証済みの拡張性、パフォーマンス、信頼できる明確なSLAによって、世界最大規模の企業をいくつもサポートしています。仮想ファイアウォールのアプローチでは、SSLインスペクションの性能が限界に達すると、利用者はセキュリティを外すか、接続を中止するかのいずれかの選択を迫られますが、真のプロキシアーキテクチャではこのようなことは決して発生しません。

    ゼットスケーラーのプラットフォームは、ガートナーのSASE(Secure Access Service Edge) フレームワークをベースに、あらゆるトラフィックを、全機能にわたってすべてシングルパスで処理します。これは、デイジーチェーン方式のプロキシのように、ポリシ適用のためにレガシーな仮想ファイアウォールアプライアンスにトラフィックを転送し、データ損失防止には、また別のプロキシに転送するというアプローチではありません。優れたセキュリティの実現に、複雑性は敵です。異なるテクノロジースタックをネイティブに統合できなければ、パフォーマンや、セキュリティ、信頼性は当然のことながら低下します。  

デジタルトランスフォーメーションによって従来のネットワークセキュリティが効力を失いつつある中、ゼットスケーラーは、真のクラウドネイティブプロキシアーキテクチャに基づき、クラウドセキュリティの技術革新を加速させています。プロキシ革命に新たな企業が参入することは、クラウドがネットワークに代わって将来のデジタルビジネスの基盤になることをさらに証明することであり、喜ばしいことです。私たちは、しばらくの間クラウドセキュリティを牽引する立場にありましたが、健全な競争は、私たちが第一に重視するお客様にとっても良いことだと理解しています。ゼットスケーラーが2020年のガートナー「Secure Web Gateway」マジッククアドラントで、唯一リーダーとして評価されました。その選出理由、そしてZero Trust Exchangeの詳細を是非ご覧ください。

次回のブログでは、NGFWがクラウドでゼロトラストアーキテクチャを実装できない原因、クラウドホスト型の仮想ファイアウォールの最新機能の更新に6~9ヵ月要する理由、そして堅牢なクラウドネイティブエッジについてご紹介する予定です。

最適なアーキテクチャがすべてを変えることができます。

最新のデジタルトランスフォーメーションのヒントやニュースをご覧ください。

送信ボタンをクリックすると、ゼットスケーラーの プライバシーポリシーに同意したものとみなされます。