こんにちは、今回のSEバーチャルチームシリーズを担当するソフトウェアファイアウォールチームの鈴木智明です。
ところで皆さん、「Palo Alto Networksのファイアウォール製品にはどんな種類がありますか?」と聞かれたらどうお答えになりますか?
残念ながら「ハードウェア アプライアンスとして提供されているだけですよね?」と回答される声が、まだ若干聞こえてきそうで悔しいところなのですが、じつは(私のチーム名からもわかるとおり)弊社はソフトウェア版のファイアウォール製品をたくさん提供しています。
たとえば 2024年3月現在、Next-Generation Firewall (以降「NGFW」)のソフトウェア提供のモデルは以下の3種類が用意されています(図1)。
「ソフトウェア版もあるよね?」とお答えくださった皆さんのなかにも、「製品が増えてきたからライセンス体系や機能面での更新も増えて、ちょっとわかりづらくなってきた」という印象をお持ちのかたがいらっしゃるかもしれません。
たとえば、2012年から提供しているVM-Seriesは、2021年にライセンスが改訂されていますし、AWS環境のインフラストラクチャ管理をPalo Alto Networksが行うマネージドモデルの提供が開始されはじめたのは2022年、Azure環境向けのCloud NGFW for Azureの提供が開始されはじめたのは2023年です(図2)。
そこで今回は、それらのもやもやを解消すべく、ソフトウェア製品それぞれの製品ラインナップについて、改訂された箇所や更新された機能についてまとめていきたいと思います。とくにVM-Seriesのライセンスや機能面のアップデートと、CloudNGFW for AWSのアップデートを中心に取り上げますので、どうぞ最後までお付き合いください。
ソフトウェアファイアウォールチームは、メンバー7名、スポンサー&アドバイザーを加えると総勢9名で構成されています。本チームから読者の皆さんには、製品アップデートやユースケースを中心に、幅広く情報公開させていただく予定です。
2021年より前の「Perpetual」ライセンスモデルは、いわゆるパッケージモデルです。このライセンスモデルでは、搭載されているvCPUやメモリーなどの型番を選択し、Threat PreventionやWildFireなどのセキュリティサービス(CDSS)のバンドル内容を選択して購入するしくみになっていました。
これに対し、2021年以降に「FLEX」ライセンスモデルが導入され、「クレジットベース」のライセンス体系に統一されています。「クレジットベース」は「あらかじめ購入いただいた利用券を必要なスペックやセキュリティ機能に応じて消費する」というライセンスモデルです。これにより、ファイアウォールのサイジングを柔軟に行えるようになり、必要なときに追加のセキュリティサービス(CDSS)を選択できるようになったので、調達プロセスを簡素化できます。
Perpetualモデルでは、クラウド環境下で急激なキャパシティ増減があった場合、パッケージモデル自体の買い替えが必要でした。これに対し、FLEXモデルでは必要なvCPUコア数を必要なだけ指定して購入することができ、無駄や手間を省けるようになりました。
セキュリティサービス(CDSS)も、バンドルするパッケージを選択する方式から、新たなサブスクリプションのリリース時に必要なものだけをすぐに選択できる方式になったため、無駄がありません。
しかも、カスタマーサポートポータル(CSP)サイトにアクセスすれば、購入したクレジットの利用状況も確認できて、わかりやすくて便利になりました。
このように、クレジットベースのFLEXのしくみは柔軟で無駄がありません。反面、クレジットがどのように消費されていくのかが若干わかりづらいかと思います。そこで、以下にいくつか具体例としてクレジット消費のシナリオを紹介しますので、どうぞ参考にしてください。「紹介されたシナリオでは自分の疑問が解消しなかった」「こういうシナリオだとどういう消費になりますか?」など、今回カバーできなかったケースがあれば、私たちソフトウェアファイアウォールチームにユースケースを教えていただければ嬉しいです。
ではさっそく2つの消費シナリオを見ていきましょう。
このケースで契約期間終了前にクレジットが不足した場合には、クレジットを追加購入することができます。たとえばこのシナリオの場合、比例配分された金額で8か月の期間のクレジットを追加購入できます。
ファイアウォール、またはサブスクリプションをアンインストールしたケースです。その場合、それらで使われていたクレジットは、お客さまの「ウォレット」にクレジットバックされるので、それをまたべつの対象に再割り当てすることができます。ただし、期間終了時にクレジットが残っていても、そのクレジットは更新時に次の期間には引き継がれませんので、この点には注意が必要です。
Cloud NGFW for AWSは、AWSプラットフォーム上で提供されるPalo Alto Networks次世代ファイアウォール(NGFW)のマネージドサービスです。
このマネージドサービスのリソースは、AWSの仮想プライベートクラウドであるVPC上で提供されています。また、レジリエンシー、スケーラビリティ、ライフサイクル管理が組み込まれていて、複数のAWSアベイラビリティゾーンをまたいでAWSリージョン内の異なる場所に分散しています。これらの特徴により、べつのアベイラビリティゾーンで発生した障害からの影響を抑えることができます。これらのアベイラビリティゾーンは、同じAWSリージョン内のほかのアベイラビリティゾーンへ、低レイテンシーでネットワーク接続を提供します。
ソフトウェア版のファイアウォール製品には、クレジットの消費を試算してくれるプログラムが用意されています。ここではそのプログラム、Credit Estimatorの使いかたを簡単に紹介します。なお、Cloud NGFW for AWSとVM-Series FLEXはどちらもクレジットを購入して利用する形式ですが、両者間でのクレジット転用はできませんのでご注意ください。
|
|
|
|
|
|
以上、いささか駆け足にはなりましたが、各ソフトウェアファイアウォール製品の最近のライセンス体系の変化や機能面での更新内容をまとめてみました。
VM-Seriesはさまざまなクラウド環境で利用できます。たとえば、AWS、Azure、Google Cloud Platform、Oracle Cloud Infrastructureなどのパブリッククラウドでも利用できますし、VMware vSphere、Hyper-V、KVMなどの仮想環境やCisco ACI、Nutanix、VMware NSX、OpenStackなどを活用したプライベートクラウドでも利用できます。
AWSとAzureに対しては、デプロイからソフトウェアメンテナンス、拡張などの運用まで、Palo Alto Networksが管理するフルマネージドサービスとしてCloud NGFWも提供しています。
ソフトウェアファイアウォールを使えば、これまでオンプレミスで培ってきた知見を、そのままクラウドネットワークインフラのセキュリティ対策に活用できるようになります。
「Palo Alto Networks 製品なら自社のマルチクラウド環境セキュリティ対策を一本化して簡素化できそう」「ソフトウェアファイアウォールを検討してみたいけど、ハードウェア版とどう違うのか、もうすこし詳しい説明がほしい」など、ご質問があれば、お気軽に私たち SE バーチャルチームまでご相談ください。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.