この記事は、Cisco Security Business Group の Distinguished Engineer である Andrew Ossipov によるブログ「The New Normal is Here with Secure Firewall 4200 Series and Threat Defense 7.4
」(2023/9/8)の抄訳です。
セキュリティの新時代
ネットワークセキュリティの戦略に関する前回の更新(英語)から少し間が空きましたが、シスコはニューノーマルの時代に即した真のファイアウォールを実現するための素晴らしい機能の構築に取り組んできました。Cisco Secure Firewall 4200 シリーズのアプライアンスと Threat Defense 7.4 ソフトウェアをリリースするにあたり、Cisco Secure が従来とは異なる方法でどのようにユーザー、ネットワーク、アプリケーションの保護を強化するのか、その最新情報をお届けします。
Cisco Secure Firewall は、推論に基づくトラフィック分類を活用しており、サイバーセキュリティの専門家から高く評価されているシスコの幅広いポートフォリオと連携しています。現実のハイブリッドワークでは、さまざまな場所に移動するユーザーとマルチクラウド アプリケーションの間に従来のネットワークセキュリティ制御を配置することがいまだに課題となっています。トラフィックプロファイルの 95% が暗号化されているため、トラフィックの可視化が難しく脅威をブロックできないことが、多くの組織にとってますます悩ましい問題になっているのです。一方、被害に遭う前に対処できる幸運な組織も少数ながら存在します。ネットワークとサイバーセキュリティの運用チームは、単体で使用する複数の製品を統合し、無駄な情報を減らして、より少ないリソースで効率を上げることに注目しています。Cisco Secure Firewall と Cisco Secure Workload のポートフォリオは、ネットワークへのセキュリティの導入と脅威の可視化をあらゆる側面からサポートします。
保護の実現は接続から
どれほど効果的で効率的なセキュリティソリューションであっても、既存のインフラに簡単に組み込むことができなければ意味がありません。既存のインフラと新しいソリューションが接続する場所にファイアウォールを導入するためだけに、わざわざネットワークを再設計する組織はありません。セキュリティ用のデバイスは、カプセル化の方法やパスの復元力など、ネットワークの言語をネイティブにやりとりする必要があります。ハイブリッドワークによってネットワークの分散化がさらに進む中、Cisco Secure Firewall Threat Defense ソフトウェアは、アプリケーションおよびリンク品質ベースでパスを選択できるよう既存のダイナミックルーティング機能を拡張することで、これに対応しました。
アプリケーションベースのポリシールーティングは、ファイアウォール業界においてかなり前から課題になっていました。この目的のために既存のアプリケーション識別の仕組みを使用するベンダーもありますが、その場合、分類を行う前にフロー内の複数のパケットがデバイスを通過する必要があります。エッジを展開する場合は何らかの形で NAT が使用されることがほとんどのため、既存のステートフル接続を異なる NAT プールを持つ別のインターフェイスに切り替えることは、最初のパケット以降は不可能です。設定ガイドの中には、最初にアプリケーションベースのルーティングを有効にする方法を説明し、その直後に(通常 NAT が使用されている環境では NAT が使用されるからという理由で)有効化しないように注意しているものがありますが、このようなガイドを読むとつい苦笑してしまいます。
シスコの Threat Defense ソフトウェアはこのようなアプローチとは異なり、NAT が使用されている場合でも、一般的な SaaS アプリケーションのトラフィックを特定のインターフェイスに送信したり、負荷分散したりできます。また、Cisco Secure の幅広いポートフォリオの力を利用するという方針に基づいて、1,000 を超えるクラウドアプリケーション識別子を Umbrella から移植しました。クラウドアプリケーション識別子は、IP アドレスと完全修飾ドメイン名(FQDN)ラベルによって追跡され、これにより最初のパケットでアプリケーションベースのルーティングを決定できるようになります。トランジットのドメインネームシステム(DNS)トラフィックを継続的に更新、検査することで、アプリケーションの識別がどの地域においても正確で、関連性のあるものであることが保証されます。
このアプリケーションベースのルーティング機能を他の強力なリンク選択機能と組み合わせることで、柔軟性と復元力に優れた SD-WAN(Software-Defined Wide Area Network)インフラを構築できます。Cisco Secure Firewall は現在、リンクジッター、ラウンドトリップ時間、パケット損失のほか、監視対象の特定のリモートアプリケーションに対する音声品質スコアに基づいてルーティングを決定する機能をサポートしています。また、最大 8 個の等コストのインターフェイスと、管理者が定義した障害時のリンク継承順序を使用してトラフィックの負荷分散をすることで、コストを最適化できます。これによりブランチのファイアウォールは、信頼できる Webex アプリケーションのトラフィックを優先し、パケット損失が最も少ないインターフェイスを介してインターネットに直接送信することができます。低コストのもう 1 つのリンクはソーシャルメディア アプリケーションに使用され、内部アプリケーション トラフィックは、暗号化された仮想トンネルインターフェイス(VTI)オーバーレイを介してプライベートデータセンターに送信されます。これらの相互接続はすべて、Firewall Management Center の新しい WAN ダッシュボードでリアルタイムに監視できます。
ゼロトラストによる分割
各ベンダーのマーケティング資料にはゼロトラスト ネットワーク アクセス(ZTNA)について記載することが義務付けられており、ここ数年は、これがトレンドになっています。中には、ZTNA の導入に懸命になるあまり、内部のバージョン管理システムの追加が必要になっているセキュリティベンダーもあります。ZTNA については過剰に喧伝されることもありますが、ふたを開けてみれば、よりシンプルなユーザー体験を実現するためにアプリケーションごとの仮想プライベートネットワーク(VPN)トンネルを少し機能強化したものでしかありません。現在はハイブリッドワークによってユーザーとアプリケーションの分散化が進んでいますが、社内給与ポータルへのセキュアなリモートセッションは、企業ネットワークの内外を問わず、ブラウザを開くのと同じくらい簡単であるべきです。よくあることですが、安易にシンプルなものを採用すると、セキュリティを損なう危険性があります。
少数ながら一部のベンダーは、最初のアプリケーション接続を確立する段階でのみ ZTNA を導入しています。このような環境では、多要素認証によりユーザーが認証され、エンドポイントのポスチャが検証されてアクセスが許可されると、保護されたアプリケーションに対して制限なくアクセスできるようになります。そのため、このアプローチでは往々にしてあまりにも簡単に侵入を許してしまうことになり、ユーザーの有効なログイン情報が取得され脆弱なアプリケーションにアクセスされてしまうと、それをきっかけに、もはや安全ではなくなったインフラの残りの部分への侵入が拡大することになります。十分な動機があって不正アクセスを図る人間がログイン情報を「借用」して、管理対象のエンドポイントを手中に収めることもあり得ます。不満を持つ従業員が正当なアクセス権限を不適切な目的のために使用することも考えられないことではないのです。端的に結論を述べると、「一度認証したら後は見ない」というアプローチは、まさにゼロトラストフレームワークの概念とは対極にあって相容れないということになります。
Cisco Secure Firewall Threat Defense 7.4 ソフトウェアは、ネイティブなクライアントレス ZTNA 機能を導入しています。これはリモート アプリケーション セッションを、他のトラフィックと同様に継続的な脅威検査の対象にするというものです。結局のところ、これこそがゼロトラストなのです。きめ細かいゼロトラスト アプリケーション アクセス(ZTAA、これに関するシスコの実績をご存知でしょうか?)ポリシーは、個々のアプリケーションまたはグループ化されたアプリケーションを定義し、それぞれが独自の侵入防御システム(IPS)ポリシーとファイルポリシーを使用できるようにするものです。インラインユーザー認証および承認機能は、あらゆる Web アプリケーションおよび SAML 対応の ID プロバイダー(IdP)と相互運用します。保護された内部アプリケーションのパブリック FQDN にアクセスしたユーザーが認証および承認されると、Threat Defense のインスタンスがリバースプロキシとして機能し、完全な TLS 復号、ステートフル ファイアウォール、IPS、フローのマルウェア検査を行います。これはセキュリティ上のメリットがあるだけではありません。従来の ZTNA とインライン検査機能ではすべてのバージョンを分けるのでトラフィックを 2 回復号することになりますが、その必要がなくなります。このため、フロー全体のパフォーマンスとユーザー体験が大幅に向上します。
復号
トラフィックの復号といえば、IPS からデータ損失防止(DLP)、ファイル分析にいたるまで、ネットワーク層で DPI 機能を動作させるのに不可欠なものです。ただし、ほぼすべてのネットワークトラフィックが暗号化されている(英語)状況では、最も効率的な IPS ソリューションであっても、外部 TLS ペイロードを調べて処理サイクルを浪費しているだけになります。多くの組織ではこの単純な事実を認識しているものの、主に 2 つの理由から復号を行っていません。1 つはパフォーマンスに深刻な影響を与える可能性があるからであり、もう 1 つは重要な通信を誤って破壊してしまいかねないからです。すべてのセキュリティベンダーがファイアウォールのデータシートに TLS の検査スループットを記載しているわけではないため、復号を有効にすることに慎重になっているネットワーク運用チームに非があるとは言えません。
Cisco Secure Firewall 3100 シリーズのアプライアンスにおけるアーキテクチャの革新に基づいて新たにリリースされた Cisco Secure Firewall 4200 シリーズのファイアウォールは、その性能がさらに強化されています。4200 シリーズのアプライアンスでは、同シリーズの小型アプライアンスと同様に、カスタムビルドのインライン Field Programmable Gateway Array(FPGA)コンポーネントを採用しており、重要なステートフル インスペクションと暗号化の機能をデータプレーン内で直接実行するようになっています。この業界初のインライン暗号化アクセラレーション設計により、コストのかかるシステムバスでのパケット伝送が不要になり、より高度な脅威検査タスクのためにメイン CPU コンプレックスを解放することができます。新しいアプライアンスはコンパクトなシングルラックユニット(RU)のフォームファクタを維持しており、クラスタ化により 1.5 Tbps 以上の脅威検査スループットに対応できるよう拡張することが可能です。また、重要なマルチテナント環境向けにはフル機能を備えた最大 34 の FTD インスタンスが提供されます。これらのインスタンスは、ハードウェアレベルで分離されています。
TLS 復号を有効にするための直感的な方法をお探しのネットワークセキュリティ管理者の方であれば、Firewall Management Center で完全に再設計された TLS 復号ポリシーの構成フローにご満足いただけるはずです。この構成フローは、インバウンド(外部ユーザーからプライベートアプリケーション)の復号とアウトバウンド(内部ユーザーからパブリックアプリケーション)の復号の構成プロセスを分離し、それぞれのタイプに必要な手順を管理者に示します。Advanced ライセンスのユーザーは、非準拠プロトコルのバージョンのフィルタリングや選択的な証明書ブロックリストなど、TLS 接続制御のフル機能にアクセスできます。
ランダムではない、精度の高いスクリーニング
復号と DPI を広範に適用することは必ずしも現実的ではありません。暗号化されたトラフィックを処理する目的で構築されたハードウェアアプライアンスでは特に困難です。SaaS アプリケーションの大半は、公開鍵ピンニングや双方向の証明書認証を使用して中間者による復号を阻止するようになっています。最も強力なファイアウォールをもってしても、簡単には復号できません。インラインの復号エンジンがどれほど高速であっても、すべての TLS トラフィックを無差別に復号すればパフォーマンスが低下することは明白です。運用のコストと複雑さの両方を考慮して、ほとんどのセキュリティ担当者は、貴重な処理リソースを最もリスクの高いフローで使用したいと考えています。
セキュリティ検査の最適化を目的としているユーザーにとっては幸運なことに、業界をリードする Snort 3 の脅威防御エンジンは、パケットを復号せずにアプリケーションや悪意のある可能性があるフローを検出する機能を備えています。Encrypted Visibility Engine(EVE)(英語)は、データプレーン自体でリアルタイムな保護を実現するために ML(機械学習)主導のフロー推論を業界で初めて導入したものです。シスコでは、ペタバイト規模の実際のアプリケーション トラフィックと、Cisco Secure Malware Analytics のクラウドから毎日提供される数万件のマルウェアサンプルを使用して、EVE を継続的にトレーニングしています。EVE では、アプリケーションとマルウェアについてそれぞれ一意のフィンガープリントが生成されます。Threat Defense ソフトウェアがこのフィンガープリントを使用し、TLS プロトコルハンドシェイクの外部フィールドをいくつか調べることでフローを分類します。EVE は、匿名化プロキシなどの回避的なアプリケーションの識別において特に有効であり、多くの場合、パターンに基づいてアプリケーションを識別する従来の方法よりも効果的であることがわかっています。Cisco Secure Firewall Threat Defense 7.4 ソフトウェアでは、マルウェアの信頼スケールで「高」に分類された接続を自動的にブロックする機能が EVE に追加されました。今後のリリースでは、これらの機能を組み合わせて、高リスクのフローを選択的に復号して詳細なパケット検査をすることで、真にリスクに基づいた脅威検査を実現する予定です。
Snort 3 エンジンの精度を高めるもう 1 つのポイントが、Cisco Secure の製品ポートフォリオとの連携です。サイバーセキュリティ担当者の中で、何万件もの IPS シグネチャを手動で精査し、パフォーマンスの限界を超えないように効果的なポリシーを作成しようとする人はほとんどいません。Talos による「シスコの推奨事項」では従来、特定の環境で実際に確認されたホストのオペレーティングシステムとアプリケーションに基づいて所定のシグネチャを有効にすることで、このタスクを簡単に行えるようにしてきました。残念ながら、ネットワークセキュリティのデバイスが、トラフィックを受動的にリッスンしたり、エンドポイントを能動的に調査したりしても、発見できるものはわずかです。Cisco Secure Workload 3.8 リリースでは、保護対象の特定のアプリケーションの実際の脆弱性情報を Firewall Management Center に継続的に提供することで、この能力を強化しています。これにより、ポリシー内でさらに対象を絞り込んだ IPS シグネチャのリストを作成してシスコの推奨事項として提示できるため、当て推量を避け、有効性を高めてパフォーマンスのボトルネックを解消することができます。これは、ネットワークレベルの可視性をアプリケーションのインサイトで補強することによって Cisco Secure が実現できたセキュリティ統合の好例です。他のファイアウォール ソリューションが DPI だけで実現できるものではありません。
セキュリティの輝ける未来
Cisco Secure Firewall 4200 シリーズのアプライアンスと Threat Defense 7.4 ソフトウェアのリリースは、シスコの戦略を推進するうえでの重要なマイルストーンですが、決して最終目標ではありません。シスコは推論に基づく検出手法に対する積極的な投資と、Cisco Secure のポートフォリオ全体での製品連携の強化を継続的に進め、現実のネットワークセキュリティ問題をより効率的に解決することで、お客様に価値を提供します。先日開催された Nvidia GTC のイベントでご説明したように、シスコでは DPU(データ処理ユニット)技術を使用して、ハイブリッドクラウド環境で推論と DPI のアプローチを組み合わせるためのハードウェア アクセラレーション機能を積極的に開発しています。また、アプリケーション側とユーザー側の両方において、それぞれ Secure Workload と Secure Client を使用することで、エンドポイントの連携にも継続して投資しています。ポリシーの決定にフローのメタデータを使用し、Cisco Secure Access による真のハイブリッド ZTNA エクスペリエンスを提供することが投資の目的です。大事なことを言い忘れていましたが、シスコでは、Cisco Multi-Cloud Defense により、パブリック クラウド セキュリティに対する断片的なアプローチを再定義しています。
ネットワーク セキュリティの未来は輝き続けています。Cisco Secure の未来をお客様とともに築いていけることに、深く感謝しております。
ぜひお客様のご意見をお聞かせください。以下から質問やコメントを投稿し、ソーシャルネットワークで Cisco Secure の最新情報を入手してください。
Cisco Secure ソーシャルメディア
Instagram
Facebook
Twitter
LinkedIn