Innovation Leading Company

2019年12月20日

実はこんな使い方も?仮想ファイアウォールを使ったネットワーク監視

Nutanix Flowは様々な使い方ができますが、本稿ではvSRXの機能と併用してネットワーク監視としての使い方をご紹介します。

Nutanix Flowについておさらい

Nutanix Flow(以降Flow)はNutanix社が提示するネットワーク仮想化製品です。
大きく、VDI等に利用されるマイクロセグメンテーション(サーバー間でのファイアウォール)、サードパーティー製品との連携によるサービスチェイニング、 アプリケーション可視化(アプリケーション間のトラフィックを可視化する)の3つの機能を提供し、NutanixならではのシンプルなUI/UXはそのままにアプリケーションベースのポリシー制御を提供します。
また、オーケストレーターであるCalmやファイルサービスであるFilesと連携させることで組織ごとのきめ細やかなアクセス・セキュリティ制御やポリシー適用の自動化、さらには コンプライアンス管理の機能を持つSaaSサービスであるBeamと組み合わせてコンプライアンス規定の監査、推奨事項の自動適用やポリシー適用の自動化を実現等、多彩な要件をクリアします。

Flowのユースケース

Juniper vSRXとの連携

FlowはサービスインテグレーションのためのAPIを提供し、大きくL2-L3のネットワークファブリック自動化、L4-L7レイヤーへのサービス挿入の形式が実装可能です。
AHVに内蔵されているOVSと連携や、リダイレクト設定、TAPモードとINLINEモードを利用したネットワーク監視が可能ですが、 ここではJuniper社のvSRXを利用したTAPモード連携について掘り下げて解説します。

Juniper vSRXとTAPモード

vSRXは、Juniper Networks社のファイアウォール製品であるSRXシリーズの機能をそのままに、VMwareやKVMといったハイパーバイザー上で動作する仮想アプライアンスです。
Juniper社の実績あるJUNOS OSをベースとしているため、特にVPNのコネクティビティやルーティング機能において高い性能を実現します。また少ない仮想リソースで高パフォーマンスを実現できるほか、 ライセンスの追加によりUTM機能を追加することができ、アンチウイルス、アンチスパム、ウェブフィルタリング、IPS、サンドボックスなどをカバーします。
その中の一つであるターミナルアクセスポイント(TAP)モードはFlowを介してミラー化されたトラフィックをチェックします。 TAPモードは、TAPインターフェイスを構成し、検出された脅威の数とユーザーの使用状況を示すセキュリティログレポートを生成することにより、INおよびOUTトラフィックを検査します。
TAPモード

また、TAPモードがUTM機能でもサポートされており、SRXシリーズデバイスをTAPモードで動作するように構成すると、 デバイスはセキュリティログ情報を生成して、検出された脅威、アプリケーションの使用状況、ユーザーの詳細に関する情報を表示します。 TAPモードで動作するように構成されている場合、SRXシリーズデバイスは構成されたTAPインターフェイスからのみパケットを受信します。 受け取った情報からセキュリティログ情報を生成して、検出された脅威、アプリケーションの使用状況、ユーザーの詳細に関する情報を表示します。
ミラー化された情報は下記の用途に活用できます。

・HTTPトラフィック用の拡張Webフィルタリング(EWF)
・HTTP / FTP / SMTP / POP3 / IMAPトラフィック用のソフォスウイルス対策(SAV)
・SMTPトラフィック用のスパム対策(AS)

仮想ネットワークにvSRXを導入するメリット

Flowはアプリケーション間のトラフィックを可視化しますが、仮想化されたサーバー間の通信までは監視できません。 マイクロセグメンテーションも設定のし忘れやポリシー適用の自動化についても設定が間違っていれば、間違っていたままデプロイが行われてしまいます。 もし、感染に気が付かないまま。。だと感染が広がってしまい、セキュリティインシデントへとつながってしまいます。
Juniper社のvSRXはTAPモードに加えてUTMとしての機能も持っており、セキュリティ監視だけではなく追加ライセンスを導入することで具体的な対策もvSRXで実施することが可能です。

まとめ

いかがでしたでしょうか?本記事ではさまざまなユースケースがあるflowのセキュリティユースケースについて簡単にまとめました。 ネットワーク仮想化=マイクロセグメンテーションとウィルス対策ソフトだけでOK!ではなく、ぜひファイアウォール等のセキュリティ製品についても検討いただければ幸いです。