クラウド・セキュリティのパズルが解決!

Google Cloud Platform(GCP)にWebサーバなどのワークロードやバックオフィス・アプリケーションを移行する場合は、チェック・ポイントのクラウド・セキュリティ製品「vSEC」をご利用ください。GCPを利用するメリットである即応性やビジネスの弾力性を損なうことなく、短時間で安全な移行が実現します。vSECの高度なセキュリティ機能は、GoogleのAPIを使ってGoogleの環境に実質的に組み込まれます。Googleとチェック・ポイントが連携して提供する多層型のセキュリティ・ソリューションは高度な脅威対策機能を備え、クラウド上の資産やデータを包括的に保護します。

セキュリティを多層化する理由

クラウド・アーキテクチャを採用するメリットはよく知られていますが、即応性、拡張性、管理性、安全性のバランスを保つのは容易なことではありません。パブリック・クラウドへの移行に消極的な企業もありますが、クラウドに移行したワークロードのセキュリティに関する誤解が災いしているようです。一般的に、企業は自社のデータを自ら管理したいと考えており、業界の規制に違反しない範囲でデータを非公開にすることを望んでいます。

チェック・ポイントはセキュリティ・ベンダーとしての実績が評価され、Googleとパートナーシップを結んでいます。GCPを導入してハイブリッド・クラウド・アーキテクチャを展開した企業が、機敏性とセキュリティを両立できるよう連携してサポートすることが目的です。クラウド・プロバイダは物理的、ハード的、ソフト的、および運用面のセキュリティ・プロセスからなる多層型のアプローチでインフラストラクチャを保護していますが、それは「クラウド・セキュリティのパズル」の1ピースに過ぎません。

まずは、インターネット経由でサービスを提供する多くの従来型データセンターに適用されているセキュリティ対策を確認しておきます。基本的には、次のような対策が適用されているはずです。

  • アクセスを制御するファイアウォール
  • プロトコルとアプリケーションの脆弱性に対処するIPSとアンチウイルス
  • 企業のWebアプリケーションを保護するHTTPS検査機能を実装したWebセキュリティ
  • ローカル・ネットワークでボット感染したマシンを検出し、指令(C&C)センターとの通信を遮断するアンチボット
  • ゼロデイ攻撃、最新のマルウェア、APT(Advanced Persistent Threat)攻撃を検出するサンドボックス技術
  • ブロックされている可能性のあるトラフィックを報告し、問題を解決するメカニズム

次はクラウド・ベンダーが提供するセキュリティの内容を確認します。クラウド・ベンダーのファイアウォールはネットワーク・レイヤで環境をセグメント化します。たとえば、仮想マシンのインスタンスにアクセスしようとするトラフィックを選別する、アクセス制御リスト(ACL)のルールに則った、ステートフル・パケット・インスペクションなどの機能を使用します。ただし、これはパケットの状態に基づく単純なフィルタリングであり、パケットを深いレベルで検査するものではないことに注意が必要です。

ネットワークのファイアウォールには、プロトコルの検証機能やネットワークレベルのIPS機能がありません。クラウド・ベンダーが提供するネイティブのセキュリティ制御でデータを隔離しても、マルウェアなどの高度な脅威は阻止できません。ネットワーク・トラフィックやエンドポイントの保護、OS、ネットワーク、ファイアウォールの設定、アクセスの管理はすべて、ユーザ側で責任を持って行う必要があります。どのクラウド・プロバイダもユーザには、サードパーティ製の高度なセキュリティ・ソリューションを使って深いレベルのパケット検査、IPS/IDS、ネットワーク脅威対策などの機能を追加することを推奨しています。これがいわゆる、パブリック・クラウドの「共同責任モデル」です。

補完的な制御機能

どのような状況か理解しやすいように、クラウドベースのデータセンターを空港に例えてみます。空港では乗客(パケット)を安全地帯(データベース)に誘導し、さらに目的地へと送り出す必要があります。そのためには、安全地帯の周囲にフェンス(基本的なファイアウォール・ルール、またはセキュリティ・グループ)を設けて、チケットを持つ乗客全員が通過できるゲートも設置します。

これで安全が確保されたように思えますが、落とし穴もあります。正規の乗客と不審者(マルウェアやボットなど)はどうやって見分けるのでしょう。正確に区別するには、X線手荷物検査などのセキュリティ・チェック(深いレベルのパケット検査、アンチウイルス、IPS)を追加し、すべての乗客を対象に実施する必要があります。チケットを確認するだけで安全は担保できません。

現在の高度なネットワーク社会では、さらに何重ものセキュリティ・チェックが必要となる場面もあるでしょう。しかし多くのチェック機能を導入したとしても、不審者が通過してしまう可能性は否定できません。そのような場合に備えて、安全地帯(データベース)に到達する前に不審者を隔離できる補完的なセキュリティ・チェック(アンチボット)も追加する必要があります。

vSECでも、GCPのセキュリティ制御(組み込み型ファイアウォールなど)を補完するため、高度な多層型の脅威対策と深いレベルのパケット検査を使って、正規のトラフィックを装う高度な脅威を特定、ブロックしています(ネットワーク・スタックのレイヤ1~7が対象)。パブリック・クラウドでホストしている「荷物」を社内と同じレベルで保護し、ユーザとしての責任を全うするには、Check Point vSECのような高度なサードパーティ製セキュリティ・ソリューションを導入する必要があるでしょう。このような対策により、「クラウド・セキュリティのパズル」に高度なレベルで対処できます。

vSEC/GCP共同ソリューションの特長

共同ソリューションの主な特長:

  • ワンクリックですばやく導入:ウィザード方式を採用により、Google Cloud Launcher経由でvSECのゲートウェイをすばやく簡単に導入できます。続けてGoogleのクラウド環境でチェック・ポイントのすべての保護機能を有効にすれば、パブリック・クラウド上の資産を確実に保護できます。
  • クラウドに対応、動的なセキュリティ:vSECはユーザの環境を監視し、変化があればそれに合わせてセキュリティ・ポリシーを修正します。たとえば、vSECでは次のようなルールを定義できます。
    Googleの「Web-instance-group-google」から社内のVMwareグループ「DB-vApp-group-vmware」まではSQLベースのプロトコルのみ許可する一方、トランザクションは検証して脅威を排除する(IPS、アンチウイルス、脅威対策を使用)。Webサーバやデータベース・サーバがグループに追加された場合は、vSECが自動的にそのイベントを確認し、新しいインスタンスのIPを把握した上で、定義済みの適切なセキュリティ・ルールを適用する(サーバが削除された場合にも対応)。
  • 自動的な水平方向のスケール: vSECのインスタンス・グループを定義すると、ゲートウェイの負荷に合わせて自動的かつ直線的に規模がスケールされ、ビジネス上極めて重要なニーズを満たすことができます。
  • 共通のポリシー、一元的な管理: vSECでは、すべての物理アプライアンスとクラウド・ゲートウェイに共通のポリシーを適用できます。VMware vCenter、VMware NSX、Cisco ACI、OpenStack、Nuage Networks、AWS、Azureなど以前からさまざまなクラウド環境に対応していましたが、今回新たにGoogle Cloudにも対応しました。

一般的な導入パターン

この共同ソリューションは多くの一般的な使用事例に有効で、規模の大小にかかわらず、導入した企業は技術的な要件や各種の規制に従いながら主要なビジネス目標を達成することがができます。たとえば、次のような一般的な使用事例に活用できます。

  • パブリック・クラウドのインフラストラクチャの境界領域におけるセキュリティ対策
  • パブリック・クラウド・インフラストラクチャへのリモート・アクセス(モバイル・ユーザ)
  • 自社運用とクラウドのインフラストラクチャをサイト間VPNで安全に接続したハイブリッド・クラウド環境

vSECの主な機能や特長:

  • 包括的な脅威対策とトラフィックの可視化
  • セキュリティの自動化と連携
  • 変化への対応や必要なスケールが自動的に行われる、機敏で動的なセキュリティ

今後のブログ記事では、主要な2つの導入パターンについて深く掘り下げる予定です(Webアプリケーションとバックオフィス・アプリケーションのGoogle Cloud Platformへの移行)。各使用事例をご覧になれば、今日の動的なパブリック・コンピューティング環境で求められている基本的な導入パターンを把握できます。また、そのパターンを採用すれば、DevOpsチームやセキュリティ・チームがワークロードをクラウドに短時間で移行でき、柔軟な拡張性や変化への自動対応、連携機能などのメリットを生かす場合でも、高度なセキュリティを損なうことがありません。

クラウドへの移行を簡単に。

詳細:Google Cloud NEXT’17のセッション「Google Cloud Platformで実現するレイヤ7ネットワーク向けのサードパーティ・ソリューション」にご参加ください(3月10日、午後2時40分開始)。Check Point vSECを使って、セキュリティを確保しながらワークロードをGCPに移行し、運用を進める方法を紹介します。

vSEC for Google Cloud Platformの公式アナウンスはこちらでご確認ください。vSEC for Google Cloud Platformの詳細については、こちらをご覧ください。

vSEC for Google Cloud Platformは、Googleのマーケットプレイスで今すぐ入手できます。PAYG(従量課金制)かBYOL(ライセンス持ち込み方式)のいずれかを選択できます。

vSEC for Google Cloud Platformのフル機能のテスト・ドライブもご利用いただけます。テスト・ドライブは購入前のソフトウェアを試用できる一般的な方法で、ソフトウェア・ライセンスやクレジットカードはもちろん、Googleアカウントさえ必要ありません。Google Cloudで動作するvSECのテスト・ドライブ(設定済み)を利用する場合は、こちらをクリックしてください。

チェック・ポイントは、3月8日から3日間の日程でサンフランシスコで開催されるGoogle Cloud NEXT 2017のスポンサーを務めています。このカンファレンスはクラウドの未来の創造が目的であり、企業の幹部やIT責任者、ユーザ、パートナー、開発者、Googleのエンジニアが一堂に会します。ブース「B9」では、Check Point vSEC独自の脅威対策機能をGoogle Cloud Platformで活用する方法を紹介します。チェック・ポイントのエキスパートが常駐し、デモの公開もありますので是非お立ち寄りください。