仮想環境とは
コンピューティングでは、仮想マシンはコンピューターシステムのエミュレーションです。 仮想マシンが実行される仮想環境 (ハイパーバイザー) を構成するソフトウェアは、エミュレーションを完了するために必要な CPU、メモリ、ディスク、ネットワークなどの物理リソースを抽象化します。 仮想マシンの 1 つのタイプは、仮想ファイアウォールです。
仮想ファイアウォールは、仮想化されたネットワーク環境を保護する場合に最適なソリューションです。 仮想ファイアウォールの 3 つのユースケースが考えられます。
- Public Cloud デプロイメント: 組織は、重要なデータの保存と処理に、AWS、GCP、Azureなどのサービスを使用して、パブリッククラウドのデプロイメントをますます活用しています。 仮想ファイアウォールは、サイバー脅威から保護し、これらの環境におけるコンプライアンス要件を満たす組織の能力に不可欠な要素です。
- Private Cloud デプロイメント: 仮想ファイアウォールは、プライベートクラウド環境でも貴重なツールとなり得ます。 多くの場合、自動プロビジョニング、スケーラビリティ、動的なオブジェクトおよびポリシー管理などの機能が含まれており、プライベートクラウドのセキュリティを簡素化します。
- 支店の場所とソフトウェア定義の環境: ソフトウェア・デファインド・ネットワーキング(SDN)とソフトウェア・デファインド・ワン(SD-WAN)の成長に伴い、企業ネットワークの最適化と仮想化が進んでいます。 仮想ファイアウォールは、ハイパーバイザーソフトウェアが組み込まれたSD-WANアプライアンスに簡単に導入でき、セキュリティをネットワークエッジに移行できます。
仮想ファイアウォールが必要な理由
仮想ファイアウォールは、従来の物理 ファイアウォールアプライアンス と同じ保護の多くを提供するように設計されていますが、クラウドネイティブなソリューションです。 これにより、いくつかのセキュリティニーズに対応できます。
- 南北交通検査: クラウドベースのリソースは、従来の企業ネットワーク境界の外部に展開され、パブリック インターネットから直接アクセスできます。 仮想ファイアウォールアプライアンスを導入して、これらのクラウドベースのリソースの送受信トラフィックを検査およびフィルタリングすることは、侵害や潜在的なデータ漏洩から保護するために不可欠です。
- East-West トラフィック インスペクション: 組織がクラウドベースのリソースへのアクセスを制御している場合でも、組織の環境内の東西のデータフローを検査することもサイバーセキュリティの重要な側面です。 組織のネットワークにアクセスできるサイバー犯罪者は、通常、機密性の高いリソースに到達し、最終的な目的を達成するために、ネットワーク内を水平移動します。 クラウドにデプロイされる機密データや機能の量が増える中、これらの East-West トラフィック フローのコンテンツ インスペクションとセキュリティ ポリシーの適用を実行することは、クラウドベースのリソースを保護するために重要であり、仮想ファイアウォールが不可欠になっています。
- デプロイメント 場所: 組織のインフラストラクチャのうち、クラウドなどの仮想化環境に導入される割合が高まっています。 これらのアプライアンスはオンサイトに展開できず、セキュリティ検査のために本社ネットワークを介してトラフィックをルーティングすることは実行可能なオプションではないため、物理ファイアウォールアプライアンスでこれらの環境を保護することは、多くの場合、実行可能なオプションではありません。 クラウドまたは仮想ファイアウォールを使用すると、組織は、デプロイメント環境に合わせて設計され、適切なフォームファクタで同じレベルのセキュリティを展開できます。
- 柔軟性とスケーラビリティ: 仮想ファイアウォールは、通常、クラウド環境のセキュリティソリューションとして導入されます。 組織は一般的に、組み込みの柔軟性とスケーラビリティのためにクラウドを使用するため、クラウドセキュリティは変化する要件にも適応できる必要があります。 このため、仮想ファイアウォールの使用は、保護へのオンデマンドアクセスを提供する Firewall as a Service (FWaaS)サービスを介して、これらのクラウドベースの環境を保護するための理想的なソリューションであり、特に一般的なデプロイメント、プロビジョニング、および構成手順を自動化する機能を備えています。
仮想ファイアウォールの仕組み
仮想ファイアウォールは、通常、クラウドベースの環境内の仮想マシンとして、またはFWaaSオファリングを介してデプロイされます。 これにより、組織はクラウドの柔軟性とスケーラビリティをセキュリティでも活用できます。
他のファイアウォールと同様に、仮想ファイアウォールまたはクラウドファイアウォールは、保護されたネットワークに出入りするトラフィックを検査できる必要があります。 仮想ファイアウォールには、そのためのいくつかのオプションがあります。
- ブリッジモード: 仮想ファイアウォールは、物理的なファイアウォールのように、トラフィックの経路に直接配置して展開できます。 これにより、ブリッジを介して仮想環境に出入りしようとするトラフィックを検査し、許可またはブロックできます。
- クラウドネイティブ API: 多くのクラウドサービスでは、AWS VPC Traffic Mirroring などの API が提供されており、組織のクラウドデプロイメントへのトラフィックフローを可視化できます。 仮想ファイアウォールでは、この仮想ネットワーク タップを利用して、保護された仮想環境に出入りするトラフィックの検査を実行することもできます。
この可視性により、クラウドファイアウォールは、統合されたセキュリティポリシーと、疑わしいコンテンツのサンドボックス分析などの組み込みのセキュリティ機能を適用できます。 デプロイメントと構成の設定によっては、攻撃の試みをブロックしたり、アラートを生成したりするようにファイアウォールを構成することもできます。
さまざまなタイプの仮想ファイアウォールには、クラウドベースの環境の保護に最適な追加機能がある場合があります。 たとえば、チェック・ポイントでは動的オブジェクトを使用することで、セキュリティ・ポリシーを定義して、そのポリシーを使用するGartner Magic Quadrantごとに特定の値を異なる方法で解決することができます。 これにより、組織のITインフラストラクチャ全体に一貫して適用され、ファイアウォールとクラウドアプリケーションタグの統合に基づいて設定されるIPアドレスなどの特定の値を持つ一般的なセキュリティポリシーを定義できます。
チェック・ポイントによるクラウドの保護
仮想ファイアウォールは、組織の クラウドネットワークセキュリティ 戦略の基盤として機能します。 仮想化環境内のすべてのトラフィックに対して、トラフィック検査とセキュリティポリシーの適用を実行します。
クラウド環境における仮想ファイアウォールの潜在的なメリットの詳細については、 お問い合わせください。 また、チェック・ポイント CloudGuardの動作を確認するための デモをリクエスト することもできます。