パロアルトネットワークスは、ヴイエムウェアが進める“ソフトウェアで定義するデータセンター(Software Defined DataCenter:SDDC)”を実現するためのファイアウォールを日本で発売する。米国では2013年11月に発表されている。パロアルトは、ヴイエムウェアの「Technology Alliance Partner」の参加企業の1社。
「当社のネットワーク仮想化プラットフォーム“VMware NSX”におけるパートナーシップを結んでいる企業の中で、最初に対応製品を発売するのがパロアルトネットワークスになる」(ヴイエムウェア テクノロジーアライアンス担当部長 森田徹治氏)となる。
ヴイエムウェア テクノロジーアライアンス担当部長 森田徹治氏
ヴイエムウェア ネットワーク&セキュリティ事業部 進藤資訓氏
パロアルトは、ポートではなく、アプリケーションごとにデータのやり取りを監視、防御する、いわゆる“次世代ファイアウォール”を提供している。これをハイパーバイザ「VMware ESXi 4.1/5.0」上で稼働させる「VM-100/200/300」に続いて「VM-1000-HV」を投入する。NSXとより密接に連携して、SDDC構築を支援する。
SDDCでは仮想マシンごとのセキュリティが必要
SDDCは、サーバで実現した仮想化をネットワーク機器、ストレージまで拡大するもの。「当社が提供するNSXのコントローラーから一元的にネットワークに至るまで全てをコントロールすることで、データセンター運営に伴う煩雑さを軽減する」(ヴイエムウェア ネットワーク&セキュリティ事業部 進藤資訓氏)
SDDCを実現する場合、従来の境界型セキュリティ対策だけでなく、仮想マシンごとにセキュリティ対策を講じることで、既存ネットワークの運用負荷軽減、遮断や隔離による拡散防御というメリットが生まれる。
そこでVMwareではSDDCアプローチを活用したマイクロセグメンテーションとなる、カーネル内で動作するハイパーバイザベースの分散ファイアウォール、プラットフォームベースの自動化されたプロビジョニングとワークロードの追加、移動、変更が可能なものが必要だとする。
「ただし、NSXが提供するファイアウォールだけで全てを守り切れるわけではない。そこにプラスして可視性とセキュアなアプリケーション利用、ユーザーやデバイス、アプリケーションごとの管理ポリシー、未知の脅威に対する防御といった包括的なセキュリティ技術を導入することが必須となる。パロアルトネットワークスの次世代ファイアウォールを利用することで高度なサービスの適用が可能となる」(進藤氏)
パロアルトネットワークス シニアSEマネージャ 三輪賢一氏
VM-1000-HVは、パロアルトが提供するファイアウォールOS「PAN-OS」の仮想マシン版と言える。仮想CPUのコアとして2、4、8に対応し、5Gバイトのメモリ、40Gバイトの仮想ディスク領域を使用する。API経由でESXiに接続する。
「SDDCのセキュリティ対策としては、仮想化されたネットワークに対応する次世代ファイアウォールが必要となる。現段階では、NSXに対応する次世代ファイアウォールを提供している唯一のベンダーが当社となる」(パロアルト シニアSEマネージャ 三輪賢一氏)
パロアルトは今後、他の企業とも同様の機能をもつ製品を提供する計画もあるという。
ネットワークの仮想化
NSXとVM-1000-HVの連携
