検索
特集/連載

企業用途には物足りない、AWSのセキュリティ――ビルトインファイアウォールサードパーティーやオープンソースも検討せよ

Amazon Web Services(AWS)のファイアウォールは機能が限られており、最新の企業向けファイアウォールには遠く及ばない。強固なセキュリティを確保するには、サードパーティーやオープンソースの選択肢を検討する必要がある。

PC用表示
Share
Tweet
LINE
Hatena

 ネットワークセキュリティの中核を担うファイアウォールは、企業が直面する脅威の変化に対応して機能や性能の向上が頻繁に行われている。新しいファイアウォールは、ネットワークトラフィックの挙動やプロトコル、アプリケーションレイヤーデータを分析できる。

 しかし、企業は米Amazon Web Servicesのクラウド「Amazon Web Services」(AWS)にリソースを移行すると、利用できるファイアウォールオプションの数や種類が限られることに気付くはずだ。本稿では、AWSのビルトインファイアウォールの他、クラウドのネットワークセキュリティを確保するためのサードパーティーやオープンソースの選択肢を見ていく。

AWSファイアウォール

 AWSのビルトインファイアウォールは、セキュリティの専門家にとってはかなり物足りない。例えば、Amazon EC2内でファイアウォールルールを作成するには、「セキュリティグループ」を作成する。セキュリティグループとは、EC2インスタンスに適用可能なファイアウォールルールセットを表すのだが、企業は各セキュリティグループにインバウンドルールしか設定できない。

 Amazon Virtual Private Cloud(VPC)サービスを利用していれば、インバウンドとアウトバウンドの両方のルールを作成できるが、これは高くつく。VPCサービスは料金が高いからだ。

 検査に関しては、IPオプションが設定されたパケットを全てフィルタリングし、パケットの基本的なフラグメンテーションを処理し(ただし、攻撃者が侵入検知システムを妨害するためにしばしば作成する特殊なフラグメントは許可する)、単純なステートフルフィルタリングを行う。

 しかし、AWSファイアウォールのどのルールでもロギングは利用できない。これは大きな欠点だ。ほとんどのネットワークチームやセキュリティチームは、侵入検知や分析のためにログを欲しがるからだ。ログは単体で、あるいはセキュリティイベント管理ツールで使われる。

 AWSファイアウォールは、一部の利用シナリオでは十分と考えられるかもしれない。だが、セキュリティの専門家は、AWSネットワークの他のセキュリティオプションを選択するだろう。

クラウド ナビ


サードパーティーのAWS用ファイアウォール

 AWSと統合できるサードパーティーのネットワークファイアウォールはほとんどないが、イスラエルのセキュリティベンダー、Check Pointは「Check Point Security Gateway R75」をAWS Marketplaceと統合している。これは、VPC環境をセットアップしようとしている企業が、新しい仮想Check Pointファイアウォールを作成し、自社のプライベートクラウドと統合できることを意味する。

 しかし、Check Point Security Gateway R75はVPCにしか対応しておらず、スタンドアロンのEC2インスタンスとともに利用することはできない。

 このCheck Pointファイアウォールは、ステートフルトラフィックの検査とコントロール、アプリケーションとプロトコルの分析ルール、VPN接続といった機能を提供し、従来のCheck Pointデバイスとそっくりに動作する。AWSのさまざまなインスタンスタイプと統合できる他、モジュール化されたセキュリティ機能セットを提供するCheck Pointの「Software Blade」機能もサポートしている。

 今のところ、ファイアウォール分野の成熟したベンダー製品の中でAmazon Marketplaceと完全に統合されているのは、このCheck Point製品しかない。米Cisco Systemsと米Juniperは、まだAWS Marketplaceで製品を提供していない。ただし、両社とも仮想ファイアウォールプラットフォーム「Cisco ASA 1000v」「Juniperv GW」は提供している。

 従って、Check Point製品を除いて考えると、Amazon EC2にネットワークファイアウォールをインストールするためには、オープンソースソフトウェアを使って独自のソリューションを開発しなければならない。

 英Smoothwallは、オープンソース製品と商用製品の両方を扱っているベンダーだ。パケットフィルタリング、Webフィルタリング、電子メール保護といった機能を1つのパッケージで提供しており、ソフトウェアベースの商用オプションを、Amazonイメージに直接インストールできる形で、また、EC2に直接インポートできるVMwareイメージとして提供している。

 もう1つのオープンソースのオプションとしてはOpenwallがある。Openwallでは、ファイアウォール機能などのセキュリティオプションを、仮想マシンとしてインストールしてAmazonにインポートできるプラットフォームとして提供している。

ホストベースのファイアウォール

 Amazon EC2のネットワークベースセキュリティを強化するために、多くの企業がホストベースのファイアウォールを利用するようになっている。このタイプでは仮想マシンのネイティブOSのファイアウォールに加えて、Security as a Service(サービスとしてのセキュリティ)プロバイダーによって管理されるファイアウォールシステムを併用することが可能だ。

 そうしたプロバイダーの1社である米CloudPassageは、エージェントソフトウェアと管理プラットフォームから成る「Halo」を提供している。Haloは制限付きで無料で利用できるが、構成の監視・管理、脆弱性評価、ユーザーアカウント管理などの機能を利用できる有料プランも用意されている。既存のLinuxやWindows上のファイアウォールなどからエージェントが収集する情報を使って、集中管理の簡素化や、ロギング、アラートなどの機能を提供する。

 今後は商用ファイアウォールプロバイダーが自社製品をAWSなどのクラウドに対応させる動きが進みそうだが、少なくとも今のところは、企業が利用できるファイアウォールの選択肢は少数にとどまっている。

 セキュリティの専門家は、強固な「多重防護」の実現をクラウド環境では常に目指すことが重要だ。パブリックなIaaS(Infrastructure as a Service)クラウドに置かれている資産は、保護が必要なインターネットや内部ネットワークにさらされているからだ。

 機能が限られたAWSのネイティブファイアウォールは、最新の企業向けファイアウォールプラットフォームには遠く及ばないことを、多くの企業はまだ理解していないかもしれない。より高機能な仮想ファイアウォールインスタンスや、ホストベースのフィルタリングおよび検出技術を追加することで、安全対策は大幅に強化できる。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る