完全なゼロトラストネットワークセキュリティを強化するPAN-OS 10.1のイノベーション

This post is also available in: English (英語)

パンデミックによって私たちの働き方やビジネスの進め方は永続的に変化しました。数回にわたる調査により、「安全が確認されたとしても、フルタイムで出勤する生活には戻りたくない」と思っている人が多いことが判明しました。ハイブリッドなワークスタイルがニューノーマルとなりつつあるため、組織はこの新たな現実をサポートするために、ネットワークとセキュリティのインフラストラクチャを再検討しています。 

企業は、働く場所や時間に関わらず最適なユーザーエクスペリエンスを従業員に確実に提供する一方で、正当なユーザーとデバイスによる適切なデータとアプリケーションへの安全なアクセスを維持する必要があります。これは、データ、アプリケーション、ユーザーIDがオンプレミスとクラウドのソースに分散しているハイブリッド クラウド環境では実現が困難です。一方、セキュリティチームは、限られた人員とリソースで、増大し続ける組織の攻撃対象領域を効率的に保護する必要に迫られています。

パロアルトネットワークスは、このような要件に対応し、ハイブリッドなワークスタイルという新たな現実の中で生産性を維持するために、徹底的なゼロ トラストネットワークセキュリティを発表しました。SaaSセキュリティサービス、高度なURLフィルタリング、拡張されたDNSセキュリティ機能などの新サービスに加えて、ゼロトラストに向けた組織の進展を継続的にサポートするために、弊社はコアオペレーティングシステムにイノベーションを導入しました。 

最新のPAN-OS 10.1のイノベーションによって、IDベースのセキュリティをシンプル化し、復号を簡素化・統合し、オープンかつプログラム可能なプラットフォームを使用して効率的にファイアウォールを管理し、物理環境と仮想環境でハイパースケール セキュリティを提供できるようになります。以下に、PAN-OS 10.1で導入された主なイノベーションをご紹介します。 

IDに対するゼロ トラストの簡素化

今日の企業では、Active Directory(オンプレミス)、Okta(クラウド)、Azure AD(クラウド)などの異なるIDストア間でユーザー情報が断片化されているため、ユーザーを一貫して検証し、IDベースのセキュリティを適用することが困難になっています。このため、ネットワーク セキュリティ運用者は、従業員のセキュリティを確保し、アプリケーションやデータへの安全でセキュアなアクセスを実現することに苦心しています。複数のIDプロバイダでネットワーク セキュリティ エコシステムの構成、保守、同期を行うことは多くの時間とリソースを必要とするため、作業の大幅な増大とプロジェクトの遅延につながります。

Cloud Identity Engineを使用すると、セキュリティ チームは、拠点やユーザーIDの格納場所にかかわらず、一貫したユーザーの認証と許可ができるようになります。その結果、セキュリティチームは、クラウド、オンプレミス、ハイブリッドなど、あらゆる場所でアプリケーションやデータへのアクセスを容易に許可し、ゼロトラストのセキュリティ体制にすばやく移行することができます。Cloud Identity Engineは、クラウド ベースのアーキテクチャを提供し、クラウド内のすべてのID関連データを確実に同期して、企業内のあらゆる場所(データセンタ、事業拠点、パブリック クラウド、支店、リモート ユーザー)に制御を適用します。新しいIDソースは、数日や数カ月ではなく約10分で設定することができるため、ネットワークセキュリティインフラストラクチャにIDベースの制御を導入し、管理する時間が節約されます。

暗号化の統合と簡素化

すべてのコンテンツを保護する前に復号化を導入することが不可欠ですが、復号化を導入し、維持することは、業界にとって課題となっていました。全体的なセキュリティ スイートの一部としてサードパーティ セキュリティ制御を導入している組織は、セキュリティ スタック全体のメリットを実現するために、複数回にわたってトラフィックを復号化する必要があります。これにより、運用が複雑化し、ネットワーク遅延が増大し、エンドユーザー エクスペリエンスに悪影響が生じます。ファイアウォール ベンダは復号を提供していますが、サードパーティセキュリティツールにすべてのトラフィックを送信することは少ないため、盲点が生じています。このため、企業はセキュリティツールに対するトラフィックの復号、フィルタリング、転送のためにSSL復号化や専用パケットブローカーアプライアンスなどの追加のアプライアンスを購入することになり、コストと運用の複雑性が増大しています。

パロアルトネットワークスは、包括的な可視性、最新プロトコルのサポート、簡単なトラブルシューティング、新しいハードウェアの次世代ファイアウォール(NGFW)、パフォーマンスを大幅に高めたデータ処理カードによって、復号の導入維持を容易にします。PAN-OS 10.1内でネットワークパケットブローカーを使用することにより、パロアルトネットワークスのNGFWは、1台のデバイスからサードパーティセキュリティツールのスイートに対してすべてのタイプのトラフィック(復号化されたTLS、暗号化されたTLS、非TLS)をインテリジェントに転送することができます。このため、顧客は、NGFWの組み込みの復号化とブローカーを使用して、ネットワークを簡素化し、資本経費と運用経費を削減することができます。また、ネットワーク セキュリティ チームは、特定のサードパーティセキュリティツールに必要なトラフィックのみを選択的に送信することにより、ネットワークパフォーマンスを最適化し、既存のセキュリティツールの効果を最大化することができるようになります。詳細は、「復号: その理由、場所、 方法」ホワイトペーパーをダウンロードしてください。

ゼロ トラストのネットワークセキュリティインフラストラクチャの管理を簡素化

ネットワーク運用者は、ネットワーク全体に対してゼロ トラストの適用を試みるときに課題に直面します。PAN-OS 10.1では、管理を簡素化して、ネットワークセキュリティインフラストラクチャ全体でゼロトラスト戦略の実現を改善するために、2つの新しい機能が導入されました。

OpenConfig (OC)

マルチベンダインフラストラクチャ内で複数のネットワーク要素にわたるネットワークサービスをプログラムによって管理することは、共通のスキーマ/モデルインターフェイスが欠けているために困難な場合があります。

OCのベンダ中立データモデルをサポートすることにより、パロアルトネットワークスは、NGFWに追加の自動化機能を導入します。顧客は、OCを使用してNGFWを管理することにより、インフラストラクチャ全体でネットワーク サービスの設定を自動化し、導入環境全体でNGFWの健全性とパフォーマンスの問題を迅速に解決できるようになります。

スケジュールされたプッシュ

管理ツールで設定の変更を管理する場合、管理者はすべての変更を蓄積して、次の変更管理時間枠まで待ってからファイアウォールに変更をプッシュする必要があります。一般に、変更管理時間枠はシステムの停止を回避するために営業時間外に設定されており、管理者は営業時間外にインタラクティブに変更をプッシュするために立ち会う必要があります。

PAN-OS 10.1を使用すると、管理者は、スケジュールされたプッシュとPanorama(ネットワークセキュリティ管理ソリューション)ですべてのファイアウォールに対する設定の変更を容易に自動化できるようになります。スケジュールされたプッシュにより、営業時間外の管理者の作業が減少します。管理者は、Panorama内で選択したファイアウォールに対して、立ち会う必要のない1回のプッシュまたは反復的なプッシュをスケジュール設定できるようになります。また、管理者は、1回のプッシュで導入環境全体に変更を効率的に適用することもできます。これはマルチ仮想システム(VSYS)ファイアウォールでも動作するため、ファイアウォールで複数のデバイス グループが異なるVSYSにマッピングされている場合でも、1回のスケジュールされたプッシュで複数のVSYSファイアウォールを更新できます。Panoramaは、すべての変更を追跡する機能も備えています。スケジュールされたプッシュの実行は無人で実行されますが、あらゆるエラーを含むすべての詳細はシステム ログと設定ログに記録されます。

ハイパースケールの仮想化ネットワークセキュリティ

ハイパースケールデータセンターでは、コンピューティングリソースをできる限り効率的に活用する必要性が極めて高くなります。サービスプロバイダと企業は同様に、効率を最大化して運用経費を引き下げることに取り組んでいます。これは組織が仮想化を採用する主な理由の1つですが、仮想環境でゼロトラストネットワークセキュリティを効果的に適用する方法が問題となります。

VM-Series仮想NGFWでは、新しいインテリジェントなトラフィックオフロード機能により、サービスプロバイダとハイパースケールデータセンターの環境でセキュリティとコスト間のトレードオフが解消されます。組織は、多額の費用をかけず、ネットワークパフォーマンスを低下させずに、仮想インフラストラクチャにゼロ トラストネットワークセキュリティ体制を適用できます。

パロアルトネットワークスによる新しい柔軟な職場の安全確保をご確認ください。新しいPAN-OS 10.1のイノベーションに関する詳細なリストについては、PAN-OSリリースノートを参照してください。今回の新機能・ハードウェアについて7月7日にお客様向けに行われた新製品発表会を視聴し、場所にかかわらず生産性を確保する準備を整えてください。