このページの本文へ

パロアルトPAシリーズが実現する「最強の見える化」

パロアルト「PAシリーズ」の内部構造を理解する

真の次世代ファイアウォールのメカニズムとは?

2011年05月24日 10時00分更新

文● 大谷イビサ/TECH.ASCII.jp 記事協力●パロアルトネットワークス

前回はファイアウォールが役に立たなくなった理由、そして次世代ファイアウォール「PAシリーズ」が実現するアプリケーション可視化と制御について見てきた。今回は、PAシリーズのメカニズムについて解説していく。

ポートやアドレスに依存しない
次世代ファイアウォールとは?

 前回までは、業務の中にさまざまなネットワークアプリケーションが浸透しつつある現状、そしてこうしたアプリケーションを安全に使うためには、既存のファイアウォールやUTMと異なった「次世代ファイアウォール」が必要になるという点を説明した。では、この次世代ファイアウォールとはいったいどういうものなのだろうか?

 次世代ファイアウォールの要件とは、やはり徹底的な「見える化」が可能なことである。アプリケーション、ユーザー、コンテンツなどネットワークに流れているさまざまなモノを一目で把握できる。また、それらを遮断したり、ログをとったり、といった制御を容易に行なえなければ、次世代ファイアウォールとはいえない。 その点、次世代ファイアウォールのパロアルト「PAシリーズ」をインターネットとLANの境界に設置しておくと、自動的に通過する全トラフィックを精査し、アプリケーションを識別する。URLやIPアドレス、ポートなどを個別に指定し、対象となりそうなアプリケーションを設定して抜き出すのではなく、製品を設置するだけで約1200種類ものアプリケーションの利用状況そのものをつねに「見える化」することが可能なのだ。

 多くの企業では、業務でのPC利用において、使ってよいアプリケーションや禁止しているアプリケーションを定めている。Winnyのように明らかに危険なもの以外にも、Skypeだったり、Twitterだったり、企業で使うには不安というアプリケーションも多い。パロアルトネットワークス 技術本部長 乙部幸一朗氏によると、PAシリーズをユーザーの実環境に設置して調べて見ると、必ず利用が禁止されたアプリケーションが例外なくいくつか出てくるという。専用機を用いず、こうしたアプリケーションを確実に検出できるというのが、PAシリーズの最大の特徴だ。

PAシリーズがアプリケーションを検出できる秘密

 ポートやアドレスをベースにアクセス制御を行なう旧来のパケットフィルタリング型のファイアウォールは、パケットのヘッダから宛先や送信元のIPアドレス、ポート、プロトコル番号など5つの情報を引き出して、アクセス制御のためのポリシーとマッチングする。現在一般的なステートフルパケットインスペクション(SPI)でも基本的な動作は同じだ。前述した手順でアクセス制御を行なった後、同じ宛先アドレスとポートに送られるフローはセッション情報として保存されるため、以降のパケットではそのまま通過するという流れで高速化が実現される。

 一方、次世代ファイアウォールであるパロアルトのPAシリーズではApp-IDという技術をベースにしたアプリケーション解析専用のエンジンで実現している。App-IDでは全トラフィックを精査し、ヘッダだけではなく、データ部分(ペイロード)まで見て、アプリケーションを識別・分類する(図3)。

図3 既存のUTMとApp-IDでのアプリケーション可視化・制御の流れ

 App-IDではトラフィックをチェックしHTTP、HTTPSなどアプリケーションプロトコルを判別。SSLが使われていれば、復号化の処理を行なうこともできる。次に、そのプロトコルをデコーディング(解析)し、アプリケーションが偽装してトンネル化された別のプロトコルが含まれていないかを判別する。この段階を経てから、いよいよアプリケーションを定義づけるシグネチャとのマッチングを行ない、特定のアプリケーションと識別する。さらにこの定義から外れたトラフィックは、ヒューリスティック(ふるまい)検査が行なわれる。独自の暗号化を施すアプリケーションやP2Pはこの段階で識別されることになる。

 このようにApp-IDではトラフィックの分類処理の段階で、アプリケーションを識別してしまう。そのため、同じポート80番を使っていても、SkypeとFacebookが違うアプリケーションであることを認識できるわけだ。対応アプリケーションも1200種類を越えており、DBの更新により毎週増加中。カスタムアプリケーションもリクエストに応じて登録可能だ。

 もちろん同様の処理はIPSでも可能で、「次世代」を名乗る多くのファイアウォールもIPSの拡張でアプリケーションの可視化と制御を行なっている。しかし、IPSはあくまでファイアウォールと異なるエンジンで動いており、しかもファイアウォールのルールにマッチしたトラフィックしか精査しない。一方でPAシリーズはプロトコルに依存せず、一連のファイアウォール処理の中でアプリケーションの識別を行なえる。ユーザーが意図的にApp-IDを有効にする必要もなく、特定のプロトコルを対象としているわけではない。「つねにすべてのトラフィックを見る」というわけだ。

 こうしたアプリケーションの可視化と制御を可能にするための仕組みの違いが「次世代」を名乗る大きな差別化といえる。

ユーザーとコンテンツを識別
全部をわかりやすいレポートへ

 PAシリーズでは、単にアプリケーションだけではなく、ユーザーやコンテンツも識別する。この識別技術を同社は「User-ID」、「Content-ID」と呼んでいる。 User-IDでのユーザー識別は、ユーザー名と所属グループ、IPアドレスなどのマッピングテーブルを自動的に作成することで実現する(図4)。具体的にはパロアルトが開発した独自エージェントが外部ディレクトリサーバーと連携し、ドメインログオンを監視したり、ユーザー端末へのポーリングを実施し、さらにはWeb認証であるキャプティブポータル機能を用いて、ユーザー情報を収集。これらの動きによってActive DirectoryやLDAP、RADIUSサーバーなどからユーザー情報を引き出すことで、IPアドレスをユーザー名とひも付けることが可能になる。これにより、誰がどのアプリケーションを使っているかが見られるわけだ。

図4 Active Directoryなどと連携するUser-IDによるユーザー情報の識別

 一方のContent-IDは1つのエンジンで、情報漏えいにつながるファイルタイプや文字列(クレジットカード番号や社会保障番号等)、脆弱性を突く攻撃やウイルスなどの脅威、そしてURLの3つを同時にスキャニングし、ポリシーを適用する(図5)。

図5 1つのエンジンで3つのコンテンツセキュリティを実現するContent-ID

 こうしたアプリケーションやユーザー、コンテンツなどの状態は、ACC(Application Control Center)という可視化ツールで一元的に把握することができる。どのようなアプリケーションが使われているか、どのようなサイトが見られているのか、どのような脅威に狙われているのか、などをランキング形式で調べることが可能だ。 もちろん、ユーザーを識別しているので、ファイアウォール上でユーザーの名前が見られる。さらには、国別ごとのトラフィックやフィルタも可能になっており、ユーザーの要件にあわせて条件や表示範囲を絞り込むことができる。今までのログと異なり、ユーザーとアプリケーションまで全部見られるのが、最大の特徴だ。

PAシリーズが遅くならない理由

 PAシリーズの大きな特徴の1つは、こうした実にヘビーな処理を行ないつつ、パフォーマンスを落とさないことだ。

 前回述べたとおり、複数のセキュリティ機能を積載したUTMのアプローチでは、機器は単一になるが、処理の負荷は軽減されない。そのため、すべての機能をフルに使った場合、UTMのパフォーマンスは大幅に劣化する。もちろん、マルチコアCPUや専用ASICでファイアウォールやVPNなど一部の処理を高速化した製品は存在するが、オンにする機能を増やせば増やすほど遅くなるという点は変わらない。ファイアウォール、URLフィルタリング、IPS、アンチウイルスなど、すべて精査に必要なデータを毎回デコードし、ポリシーやシグネチャなどマッチングさせるため、1つのエンジンを経るごとに処理が遅くなる。複数のエンジンを積み重ねて作られたUTMの構造的な限界といえるだろう。

 これに対して、PAシリーズはファイアウォールの処理フローの中に、アンチウイルス、IPS、Webフィルタリングなどのためのスキャニング処理を完全に統合している。ネットワーク層からのデータを精査し、ユーザーを識別し、アプリケーションを捉え、コンテンツをチェックする。こうしたSP3(Single-Pass Parallel Processing)というアーキテクチャにより、既存のUTMに比べてはるかに高いパフォーマンスを実現している(図6)。

図6 シングルパス・並列処理を可能にしたSP3のアーキテクチャ

 さらにPAシリーズには、SP3のアーキテクチャをサポートするため、ハードウェア面でもいくつかの工夫が取り入れられているのが分かる。まず内部構造をデータ転送処理プレーン部分と管理処理プレーン部分で完全に分類している。これにより、両者の依存関係が減り、いずれかの負荷に左右されない安定した性能が出せるようになった。また、SSLやIPsecの暗号化処理やシグネチャマッチング、QoS(Quality of Service)、スイッチングなどハードウェア化できる処理は極力専用チップで実装。特定処理のボトルネックを排除するアーキテクチャを採用した。

 もちろん、こうしたハードウェア化の代償として、アプライアンスの価格が比較的高価というデメリットもある。実際、PAシリーズ自体は完全にエンタープライズや通信事業者をターゲットとしており、SMBや中堅・中小企業で簡単に導入できる価格ではない。しかし、パフォーマンスが劣化するゆえ本来の力を発揮できないUTMに投資するよりも、PAシリーズの方がコストパフォーマンスは高いと考えることもできる。

 次回は、PAシリーズでの見える化効果や実際の利用シーン、設定について細かくチェックしていこう。

この特集の記事