PAN-OS 8.1でGCPクラウドにも対応、「Panorama」もクラウド対応へ
パロアルト、PAN-OS最新版と重要インフラ向け専用機を提供開始
2018年03月07日 07時00分更新
パロアルトネットワークスは2018年3月5日、次世代セキュリティプラットフォーム向けOSの最新版「PAN-OS 8.1」と、重要インフラ向け高耐久化モデル「PA-220R」含む新アプライアンスを発表した。最新版OSは、サポート契約中の顧客向けに2018年3月中に提供を開始する。またアプライアンスは、順次パートナー経由で提供する。
2017年に同社クラウドベース分析サービス「WildFire」がグローバルで検査した未知のファイル総数は約25億(前年度比102%増)、うち新種マルウェアは約6000万(前年度比7%増)に上ったという。日本のみに限った数字でも、検査に引っかかった未知のファイル総数は約2億で前年度比462%増、うち新種マルウェアは約45万で前年度比684%増に及んだ。
そんな中で、同社の脅威インテリジェンスチームUnit 42は、2018年の脅威予測でセキュリティ対策が懸念される分野に、クラウドと重要インフラを選んだ。
クラウドについて、「クラウド活用は増えているが、たとえばクラウド内に立てたWebサーバーのセキュリティ対策は、クラウド事業者ではなく利用者側の責任。ファイアウォールやウイルス対策、ログ記録や可視化など、社内と同様のポリシーを適用して運用することが重要だ」とパロアルトネットワークスの藤生昌也氏は指摘する。
パロアルトネットワークス セキュリティプラットフォーム セールスマネージャー 藤生昌也氏
その対策を図るため、PAN-OS 8.1では仮想ファイアウォール「VM-Series」を、従来のアマゾンウェブサービス(AWS)とMicrosoft Azureに加えてGoogle Cloud Platform(GCP)にも対応させた。また、統合管理プラットフォーム「Panorama」もクラウドに対応し、より柔軟な構成を実現している。さらに、クラウドセキュリティサービス(CASB)「Aperture」がMicrosoft AzureとGoogle Cloud Platformに対応。クラウドリソースの検出や監視、管理者行動の監視、機密データのポリシー違反の確認などが、AWS以外でも適用できるようになる。
重要インフラについては、高温/低温、粉塵、振動、電磁気障害など過酷な環境でも正常稼働するアプライアンスが欲しいというニーズを受け、高耐久化モデル「PA-220R」を開発した。業務や制御装置などゾーンごとにDMZでセグメント化し、脅威の波及を防止。ModbusやDNP3など、2500種類以上のICS/SCADA固有のアプリケーションをApp-IDで識別することが可能。必要なアプリケーション以外はブロックするなどのポリシー制御に対応する。
産業用設備向けの高耐久化モデルアプライアンス「PA-220R」
その他、PAN-OSに追加された新機能の一部は、以下のとおり。
・Panoramaの新プロアクティブデバイス監視機能:デバイスのリソース使用率やログ情報、冗長化状態など、現在の動作状況を可視化、アラート通知
・WildFireモジュールの強化:難読化されたゼロデイマルウェアのほか、LinuxサーバやIoTデバイスを狙うマルウェア、一般的ではないアーカイブ形式のファイル内に隠れた悪質なファイルなどが検出可能に
・アプリケーション管理の簡素化:ルールのヒットカウントやラストヒットなどを可視化、使われていないルールを削除し、管理者の工数や攻撃面の削減を実現
・SSL復号の合理化:より高スループットでの復号化を実現。また、復号化したトラフィックは平文で他DLPやネットワークフォレンジック製品などと共有可能。SSLオフロード専用の製品が不要となり、ネットワークや運用を簡素化できる
なお、SSL復号化についてはハードウェアのパフォーマンスが必要なため、同日提供開始した新アプライアンス「PA03200シリーズ」(SSL復号化セッション処理が前モデルの20倍以上)のほか、PA-5200、PA-3200、VM-700、VM-500、VM-300で利用できる。
PAN-OS 8.1の新機能:SSL復号化の高速処理と他ツールとの復号化トラフィックの共有
このほか、データセンターや移動体通信事業者など大規模インフラ向けで、既存モデルの2倍のセッション数(総セッション数は6400万、復号化セッション数は640万)まで処理性能を高めた「PA-5280」と、より高速なCPUを実装、メモリの応答性を向上させたPanorama専用アプライアンス「M-600」および「M-200」も同日発表した。
