VMware で構成するSoftware Defined Data Centerの優位性と連携手法～第4回 VMware NSXとPalo Alto Networksの連携によるファイアーウォールの拡張～

ビジネス推進本部 第2応用技術部
クラウドソフトウェアチーム
新林 辰則

本コラムでは、全4回としてクラウド基盤への要求、ITライフサイクルの現状の課題等を挙げながら、具体的なシステムの連携手法を解説し、SDDC(Software Defined Data Center)を実現するための技術を紹介します。

今回ご紹介する内容

今回はSDDCを構成する要素の内、下図にあるVMware NSX、PAN VM-1000-HVの特徴と、それぞれの要素間の連携についてご紹介します。

図1：今回ご紹介するSDDCの中の構成要素と役割 (NSX, PAN VM-1000-HV)

Palo Alto Networks PAシリーズの特徴

Palo Alto NetworksのPAシリーズファイアーウォールは、次世代ファイアーウォール（NGFW）の先駆けとして従来のIPアドレス、TCP/UDPポート番号によるトラフィックの識別と防御に加え、アプリケーションやユーザーを識別する機能を備え、今日の多様化する脅威を適切に阻止できます。また、より複雑なセキュリティポリシーをパフォーマンスの劣化なく実行することが可能です。

PAシリーズの特徴的な機能

アプリケーションを識別しトラフィックを制御 (App-ID)
全てのトラフィックに対して、IPアドレス、ポート番号、プロトコルに加え、アプリケーションを識別することができます。脅威となるアプリケーションがTCPの80番ポートなど広く用いられるポート番号を使用して通信を試みた場合も、そのアプリケーションの振る舞いを検知し、脅威となるアプリケーションのみをブロックすることが可能です。1900種類以上のアプリケーションを識別可能で、その数は毎週のアップデートによって増加していきます。また、暗号化された通信に対しても、復号化を実施した後でアプリケーションの識別を実行することができます。

アプリIPアドレスからユーザーを自動的に識別 (User-ID)
Active DirectoryやLDAPサーバーなどと連携し、ユーザー名、グループ名といった所属情報とパケットに含まれるIPアドレスを自動的にマッピングします。取得したユーザーやグループに対してセキュリティポリシーの適用や、ログの生成が可能です。

コンテンツをスキャンし中身を分析(Content-ID)
通信しているアプリケーションの識別とは別に、コンテンツを3つの観点で分析して脅威が潜んでいないか判断します。

• URLフィルタリング：内部のURLデータベースを使用したURLフィルタリングを実行することが可能となり、ユーザー識別と組み合わせ、ユーザー毎にWeb利用のポリシーを作成可能です。
• 脅威防御：特定のウィルス、スパイウェア、脆弱性攻撃が含まれているか否かを検査します。プロトコル動作上の通常とは異なる振る舞い(アノマリー)の検出も実施します。また、サンドボックス型のマルウェア検知システム(WildFire)を使用して、未知のマルウェアを検知可能です。
• ファイル・データフィルタリング：特定のファイルやデータをフィルタリングすることが可能です。拡張子での判断でなく、実際のファイルタイプを判別したブロックや、クレジットカード番号など機密性の高い情報がデータの中に含まれている場合に、データの流出を阻止することが可能です。

IPアドレスの動的グルーピング (Dynamic Address Group)
仮想環境向けに開発された機能で、動的なアドレスグループ(Dynamic Address Group)を作成し、グループに対して複数のタグ情報を付与することができます。例えば“DB”というタグが付与されたDynamic Address Groupがあり、新規に作成された仮想マシンのVMwareのSecurity Groupが“DB”の場合、この仮想マシンのIPアドレスは、自動的にDynamic Address Groupに追加され、セキュリティポリシーが適用されます。

図2： Dynamic Address Groupsイメージ図

Palo Alto Networks PAシリーズ及びPanoramaとNSXの連携

複数のPAシリーズを統合的に管理、制御できるバーチャルアプライアンス製品がPanoramaです。VMware NSXとの連携の際にはPanoramaが必須になります。Panorama上で管理しているPAをグループとして管理し、グループ毎にセキュリティポリシーの設定と共有、ログやライセンスの統合管理を行うことができます。新たな仮想マシンが作成された場合など、仮想環境の構成変更があった場合でもVMware NSXとPanoramaが連携し、情報を共有することでリアルタイムに全てのPAに対して変更が反映されます。

Palo Alto Networks PAシリーズ及びPanoramaとNSXの連携設定

初めにPanoramaからNSXに対して自身をサービスとして利用可能であるという登録の設定を行います。NSXはそれを受け、自身が管理しているESXiホスト全てに対してPAのVM-シリーズをデプロイします。デプロイされた各ESXiホスト上のPAはPanoramaに対して自動的に登録され、ライセンス登録と初期ポリシーの設定が適用されます。

NSXではネットワークインストロペクションサービスと呼ばれる機能によりPAにリダイレクトする通信を指定するためのルールを定義します。このルールは、送信元、送信先、ポート番号等により構成されます。ネットワークインストロペクションサービスは、NSXのセキュリティポリシーの一部として設定され、条件に一致したトラフィックが、ハイパーバイザーレベルで同一ホスト内のPA VM仮想アプライアンスにリダイレクトされ、パケットのインスペクションとPanoramaで定義したファイアーウォールポリシーの適用が実行されます。また、このネットワークインストロペクションサービスを有効にするには、対象となる論理スイッチ(VXLANもしくは分散ポートグループ)を明示的に指定する必要があります。

VMware NSX と Palo Alto Networks の連携によるメリット

PAシリーズ及びPanoramaとNSXの連携により、より高いレイヤーでのパケットの制御と、ファイアウォールルールの簡素化が可能です。

NSXのファイアーウォール機能を拡張
App-ID、User-ID、Content-IDといった単にIPアドレス、ポート番号だけでなく、通信しているアプリケーションやユーザーの識別、その他にもウィルス/マルウェアのチェック、URLチェック、データチェックといった様々な観点からトラフィックを分析し防御できる機能を利用可能になります。これにより対応可能な脅威の幅が格段に広がり、一層の安全性が確保されます。

NSXのSecurity Groupと連動し、PAシリーズのファイアーウォールポリシー設定の自動化
NSXが持つSecurity Group機能は、vSphereのインベントリ情報を活用することができます。データセンターやクラスタ、仮想マシンなどvSphere上のオブジェクトをメンバーとして登録することができます。さらに、動的なメンバー変更にも対応するため、特定のOS種類や仮想マシン名など、条件に一致する仮想マシンをメンバーとして動的にグループに登録することも可能です。ファイアーウォールポリシーは、このSecurity Groupを送信元・送信先として定義することできるため、IPアドレスを意識することなくルールを定義することが可能です。このNSXで提供するSecurity GroupとPanoramaのDynamic Address Groupが連動することで、グループをベースとしたポリシーを作成しておけば、新規に仮想マシンがデプロイされた際に動的に仮想マシンがSecurity GroupとDynamic Address Groupに所属し、各々のグループに関連したファイアーウォールポリシーを即座に反映することができるようになります。作成された仮想マシンのIPアドレス調査や、IPアドレスをポリシーに手動で追加する必要はありません。

まとめ

これまでご紹介させていただいたように、システム全体を連携させ、利用者に対してシンプルなオペレーション、迅速な環境提供、幅広い選択肢を全て提供しながら、運用管理者にとってはオーケストレーションされたシステムを実現することにより、運用の簡素化を行います。VMware SDDCにより、「迅速性」、「柔軟性」、「管理・効率性」を全て高め、ITライフサイクルの改善を実施することが可能となります。
今後、SDDCは更に拡張され、仮想デスクトップのオペレーション、バックアップに関わるオペレーション、災害対策等、様々なインフラストラクチャに関わる操作を自動化し、提供の迅速化を行います。更に、利用者の権限追加等のITに関わるオーダーも自動化することにより、利用者に対してITを意識させない透過的且つ統合的なインフラストラクチャの実現も近づいています。

ナレッジセンターを検索する