6月7日、ソニックウォールは「Project SuperMassive」と呼ぶ次世代ファイアウォール技術を発表した。最大96コアのCPUの並列処理により、40Gbpsのファイアウォールスループットを実現。年内に製品化される予定となっている。
パフォーマンスと帯域幅に
ギャップあり
発表会の冒頭、挨拶に立ったソニックウォール日本代表のマイク 小池氏は、同社のセキュリティ戦略「Dynamic Security for the Global Network」について説明した。昨今顕著なのが、SNSやWeb 2.0、クラウド台頭などにより、管理すべきアプリケーションの増加していること。そして帯域幅の拡大に比して、セキュリティ処理のパフォーマンスがすでに劣化している現状を紹介した。こうした課題を解決するために投入されるのが、超高速なファイアウォールである「Project SuperMassive」になる。
小池氏は「最初の1Gbpsファイアウォールを実現したのは私たちです。そして、今回は10Gbpsを超えるProject SuperMassiveを発表できる運びになりました」と今回のProject SuperMassiveを紹介した。
次にProject SuperMassiveとその技術背景について解説した米ソニックウォール ネットワークセキュリティ製品ラインマネージャ ディミトリー・アイラペトフ氏は、「ネットワークセキュリティの問題は残っている。1971年に最初のウイルスが生まれて以来、いまだに解決していない」と述べており、セキュリティの脅威がいまだに収まっていないことを強調。また、小池氏のパフォーマンスと帯域幅のギャップについても言及し、次世代のファイアウォールの必要性を説いた。
ソニックウォールが描く次世代ファイアウォールは、従来のステートフルインスペクションに加え、トラフィックの深い精査を行なうフルDPI(Deep Packet Inspection)が中心になる。ここでの深い精査とはアプリケーションファイアウォール、アンチウイルス・スパイウェア、IPS、ステートフルインスペクションなどを全部行なう「フルUTM」といわれる複合的な処理。これにより、ポート80番を利用するアプリケーション、利用するユーザー、行き交うコンテンツを識別。カテゴライズを行なったのち、遮断やログ収集、帯域絞り込みなどの具体的なアクションを適用するというものだ。
アイラペトフ氏はこうしたソニックウォールのフィルタリング技術と研究チームの組み合わせにより、「2009年には11億におよぶウイルスの感染、1490万のアタックを遮断してきました」とその実績を強調。また、3年くらい前から導入されているアプリケーションファイアウォールでは、現在2800のアプリケーションを識別することが可能になっているという。もちろん、セキュリティを確保するには、フルDPIによるきめ細やかなアクセス制御が望ましいが、処理負荷はどうして重くなる。この課題に対してのソニックウォールの回答が、今回発表された「Project SuperMassive」という超並列型のファイアウォールだ。
最大1024コアまでスケールできる
アーキテクチャ
Project SuperMassiveは、キャビウムネットワークスの「OCTEON」のマルチコアCPUを用いて、こうしたファイアウォールやマルウェア防止を並列的に処理する同社のハイエンドファイアウォールを指す。シャーシ型筐体の複数のブレードを差し込むことで、高い処理能力を実現する。
ファーストバージョンのProject SuperMassiveでは、1つのブレードあたり800MHzのCPUを12コア搭載し、シャーシ型筐体にはこのブレードを最大8枚まで搭載することができる。この結果、最大96コアで76.8GHzの動作周波数を実現し、フルDPIの処理で10Gbps、IPS処理で30Gbps、そしてファイアウォールで40Gbpsのパフォーマンスを実現する。
さらにこのアプライアンス4台をクラスタ化することで、最大384コアのCPUでの並列処理が実現する。この結果、フルDPI処理で40Gbpsを実現できるという。
2011年になるとコアあたりの動作周波数が1.4GHzに向上し、さらにブレード当たりのコア数が32に拡大する。この結果として、1つのシャーシ型筐体で256コア、クラスタリングにより、最大1024コアまでスケールできるという。
Project SuperMassiveはベータテストを経て、2010年の末までに出荷される予定。製品に関しては、現行のNSA E-Classの最上位機種になるのか、別のハイエンドラインナップを作るかは未定。試作機はInterop Tokyo 2010で展示される。