次世代ファイアウォールは1つの時代で活躍しましたが、すでに過去のものかもしれません。
従来型のステートフルあるいは次世代のファイアウォールでは、高度な脅威を検知して完全にブロックすことはできません。
暗号化されたトラフィックに潜む脅威
この数年で暗号化されたトラフィックが爆発的に急増したことで、ハッカーがSSLを利用してユーザに感染させ、データを密かに外部へと持ち出し、C&C通信を隠すようになりました。今日、高度な脅威の54%がSSLに隠されるようになったことから、オプションではなく、必須の機能としてSSLインスペクションを実施することで、ユーザを確実に保護する必要があります。
従来型ファイアウォールでは、暗号化トラフィックのインスペクションが困難
従来型のファイアウォールは、トラフィックの解読を考慮して設計されたものではありません。SSLインスペクションには大量のプロセッサリソースが必要とされるため、ほとんどのファイアウォールアプライアンスはこれを処理することができず、処理しようとすればパフォーマンスが大幅に低下します。その結果、アプライアンスでSSLインスペクションを実行するには、多くの場合ハードウェアのアップグレードが必要になります。
SSLで暗号化されたマルウェアを効率的に検知するには、プロキシベースのアーキテクチャをクラウドに採用する必要があります。
ZscalerのCloud Firewallは、大量のSSLインスペクションを処理する、高度にスケーラブルなプロキシアーキテクチャを基盤としています。このスケーラビリティを活用し、コストをかけてアップグレードしたり、インスペクションの範囲を縮小したりすることなく、増加するSSL帯域幅とセッションの処理を可能にしています。
ユーザ数に基づく料金体系で、すべてのポートを対象に上限なくSSLの復号を実行できるようになります。
従来型ファイアウォールに存在する死角
従来型ファイアウォールは、IPSやAVを活用し、脅威全体のほんの一部であるシグネチャベースの脅威からの保護を提供しています。しかしながら、シグネチャの90%近くはHTTPとDNSを前提に作成されたものです2。HTTPやDNSのトラフィックの完全インスペクションにはプロキシベースのアーキテクチャが必要であり、シグネチャベースの保護では不十分です。
出典:2 ThreatLabZによる、snort無料登録ユーザのルールセット、スナップショット2990:アウトバウンド、アクティブ、脆弱性の分析
最も脆弱なプロトコルの保護
ZscalerのCloud Firewallは、先進のディープパケットインスペクションエンジンとプロキシベースのアーキテクチャを使って、ポートに関係なく、HTTP/HTTPS、DNS、あるいはFTPのトラフィックと考えられるすべてのトラフィックのプロキシとして機能します。最も脆弱なプロトコルの脅威も検知することで、本社、支社、あるいはリモートからアクセスするユーザを保護します。
