Amazon Web Services(AWS)のファイアウォールは機能が限られており、最新の企業向けファイアウォールには遠く及ばない。強固なセキュリティを確保するには、サードパーティーやオープンソースの選択肢を検討する必要がある。
ネットワークセキュリティの中核を担うファイアウォールは、企業が直面する脅威の変化に対応して機能や性能の向上が頻繁に行われている。新しいファイアウォールは、ネットワークトラフィックの挙動やプロトコル、アプリケーションレイヤーデータを分析できる。
しかし、企業は米Amazon Web Servicesのクラウド「Amazon Web Services」(AWS)にリソースを移行すると、利用できるファイアウォールオプションの数や種類が限られることに気付くはずだ。本稿では、AWSのビルトインファイアウォールの他、クラウドのネットワークセキュリティを確保するためのサードパーティーやオープンソースの選択肢を見ていく。
AWSのビルトインファイアウォールは、セキュリティの専門家にとってはかなり物足りない。例えば、Amazon EC2内でファイアウォールルールを作成するには、「セキュリティグループ」を作成する。セキュリティグループとは、EC2インスタンスに適用可能なファイアウォールルールセットを表すのだが、企業は各セキュリティグループにインバウンドルールしか設定できない。
Amazon Virtual Private Cloud(VPC)サービスを利用していれば、インバウンドとアウトバウンドの両方のルールを作成できるが、これは高くつく。VPCサービスは料金が高いからだ。
検査に関しては、IPオプションが設定されたパケットを全てフィルタリングし、パケットの基本的なフラグメンテーションを処理し(ただし、攻撃者が侵入検知システムを妨害するためにしばしば作成する特殊なフラグメントは許可する)、単純なステートフルフィルタリングを行う。
しかし、AWSファイアウォールのどのルールでもロギングは利用できない。これは大きな欠点だ。ほとんどのネットワークチームやセキュリティチームは、侵入検知や分析のためにログを欲しがるからだ。ログは単体で、あるいはセキュリティイベント管理ツールで使われる。
AWSファイアウォールは、一部の利用シナリオでは十分と考えられるかもしれない。だが、セキュリティの専門家は、AWSネットワークの他のセキュリティオプションを選択するだろう。
AWSと統合できるサードパーティーのネットワークファイアウォールはほとんどないが、イスラエルのセキュリティベンダー、Check Pointは「Check Point Security Gateway R75」をAWS Marketplaceと統合している。これは、VPC環境をセットアップしようとしている企業が、新しい仮想Check Pointファイアウォールを作成し、自社のプライベートクラウドと統合できることを意味する。
しかし、Check Point Security Gateway R75はVPCにしか対応しておらず、スタンドアロンのEC2インスタンスとともに利用することはできない。
このCheck Pointファイアウォールは、ステートフルトラフィックの検査とコントロール、アプリケーションとプロトコルの分析ルール、VPN接続といった機能を提供し、従来のCheck Pointデバイスとそっくりに動作する。AWSのさまざまなインスタンスタイプと統合できる他、モジュール化されたセキュリティ機能セットを提供するCheck Pointの「Software Blade」機能もサポートしている。
今のところ、ファイアウォール分野の成熟したベンダー製品の中でAmazon Marketplaceと完全に統合されているのは、このCheck Point製品しかない。米Cisco Systemsと米Juniperは、まだAWS Marketplaceで製品を提供していない。ただし、両社とも仮想ファイアウォールプラットフォーム「Cisco ASA 1000v」「Juniperv GW」は提供している。
従って、Check Point製品を除いて考えると、Amazon EC2にネットワークファイアウォールをインストールするためには、オープンソースソフトウェアを使って独自のソリューションを開発しなければならない。
英Smoothwallは、オープンソース製品と商用製品の両方を扱っているベンダーだ。パケットフィルタリング、Webフィルタリング、電子メール保護といった機能を1つのパッケージで提供しており、ソフトウェアベースの商用オプションを、Amazonイメージに直接インストールできる形で、また、EC2に直接インポートできるVMwareイメージとして提供している。
もう1つのオープンソースのオプションとしてはOpenwallがある。Openwallでは、ファイアウォール機能などのセキュリティオプションを、仮想マシンとしてインストールしてAmazonにインポートできるプラットフォームとして提供している。
Amazon EC2のネットワークベースセキュリティを強化するために、多くの企業がホストベースのファイアウォールを利用するようになっている。このタイプでは仮想マシンのネイティブOSのファイアウォールに加えて、Security as a Service(サービスとしてのセキュリティ)プロバイダーによって管理されるファイアウォールシステムを併用することが可能だ。
そうしたプロバイダーの1社である米CloudPassageは、エージェントソフトウェアと管理プラットフォームから成る「Halo」を提供している。Haloは制限付きで無料で利用できるが、構成の監視・管理、脆弱性評価、ユーザーアカウント管理などの機能を利用できる有料プランも用意されている。既存のLinuxやWindows上のファイアウォールなどからエージェントが収集する情報を使って、集中管理の簡素化や、ロギング、アラートなどの機能を提供する。
今後は商用ファイアウォールプロバイダーが自社製品をAWSなどのクラウドに対応させる動きが進みそうだが、少なくとも今のところは、企業が利用できるファイアウォールの選択肢は少数にとどまっている。
セキュリティの専門家は、強固な「多重防護」の実現をクラウド環境では常に目指すことが重要だ。パブリックなIaaS(Infrastructure as a Service)クラウドに置かれている資産は、保護が必要なインターネットや内部ネットワークにさらされているからだ。
機能が限られたAWSのネイティブファイアウォールは、最新の企業向けファイアウォールプラットフォームには遠く及ばないことを、多くの企業はまだ理解していないかもしれない。より高機能な仮想ファイアウォールインスタンスや、ホストベースのフィルタリングおよび検出技術を追加することで、安全対策は大幅に強化できる。
Copyright © ITmedia, Inc. All Rights Reserved.
契約業務の効率化やコストの削減といった効果が期待できることから、多くの企業で「電子署名」の導入が進んでいる。一方で、訴訟問題へと発展した際に証拠として使えるのかといった疑問を抱き、導入を踏みとどまるケースもあるようだ。
半導体ベンダーBroadcomは仮想化ベンダーVMwareを買収してから、VMware製品の永久ライセンスを廃止した。その永久ライセンスを継続する非公認の方法とは。
システム基盤をオンプレミスで運用するか、データセンターやクラウドで運用するかは、業種によって大きく異なる。調査結果を基に、活用の実態を探るとともに、最適なクラウドサービスを考察する。
SaaSサービスが普及する一方、製品の多様化に伴い、さまざまな課題が発生している。特にベンダー側では、「商談につながるリードを獲得できない」という悩みを抱える企業が多いようだ。調査結果を基に、その実態と解決策を探る。
生成AIの活用が広がり、LLMやマルチモーダルAIの開発が進む中で、高性能なGPUの確保に問題を抱えている企業は少なくない。GPUのスペック不足を解消するためには、どうすればよいのか。有力な選択肢を紹介する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
