VM-Series for Amazon Web Services

P A L O A L T O N E T W O R K S : VM-Series for Amazon Web Services スペックシート
EC2
EC2
EC2
DB
SUBNE T3
EC2
EC2
EC2
SUBNE T2
SUBNE T1
Palo Alto Networks® VM-Series ファイアウォー
ルは、Amazon Web Services (AWS) 内の Virtual
Private Cloud (VPC) インスタンス全体に次世代
のセキュリティサービスを維持するための柔軟
性を提供します。
W
AP
P
主なセキュリティ機能 :
EB
VM-Series for Amazon Web Services
EC2
EC2
EC2
• VPC に流入するトラフィックや通過するトラ
フィックを特定し、制御します。また、ユーザー
に基づいてアプリケーションアクセスを制限
し、既知の脅威や未知の脅威をブロックします。
VM-SERIES
プライベート
AWS の管理
VPN 上の
トラフィック管理
• VPC の変更に合わせて自動的にセキュリティ
ポリシーを更新します。
• ゼロトラストの原則 ( 信頼しないで常に検証
する ) を使用して、ミッションクリティカル
なアプリケーションとデータを分離、セグメ
ント化します。
パブリック
Panorama
企業データ
センター
ユーザー
Panorama
セキュリティ
管理者
Amazon Web Services (AWS) は、広範囲にわたるグローバル
コンピューティング、アプリケーション、ストレージ、デプロ
イサービスを提供します。AWS 内で Virtual Private Cloud (VPC)
を確立することにより、迅速かつ効率的にクラウドコンピュー
ティングイニシアチブの利用を拡大することができます。ミッ
ションクリティカルなアプリケーションやデータを VPC に移
行する際には、セキュリティを考慮する必要があります。
具体的には、VPC を保護するにはどのようなセキュリティ機能が必要になるか、また
それらのセキュリティ機能が Elastic Cloud Compute (EC2) インスタンス上にデプロイ
された仮想ワークロードの変更に合わせて導入が可能であるかどうかについて考慮す
る必要があります。VM-Series for AWS は、当社の物理アプライアンスで提供されて
いるのと同じ次世代ファイアウォール機能と高度な脅威防御機能、および EC2 インス
タンスの変更に応じてセキュリティポリシーを動的に更新する一連のネイティブオー
トメーション機能により、これらの重要な課題に対処します。
VM-Series for AWS はすべてのトラフィックをシングルパスでネイティブに分析し、
アプリケーション、コンテンツ、ユーザーを識別します。アプリケーション、コンテンツ、
ユーザー ID の情報はセキュリティポリシーに不可欠なコンポーネントとして利用さ
れます。これにより、ミッションクリティカルなアプリケーションが分離され、既知
および未知のサイバー脅威から保護されます。
VPC の変更に応じてセキュリティが更新されるように、VM モニタリングやダイナミッ
クアドレスグループなどのネイティブオートメーション機能により、EC2 インスタ
ンスの変更をプロアクティブにモニターすることができます。その結果、そのコンテ
キストをポリシーに自動的かつ直接的に取り込むことができるため、仮想化インフラ
ストラクチャで行った変更がファイアウォールのセキュリティポリシーに反映される
までのポリシーの遅延時間が解消されます。
P A L O A L T O N E T W O R K S : VM-Series for Amazon Web Services スペックシート
EC2
EC2
EC2
EC2
SUBNE T3
W
SUBNE T2
EC2
EC2
DB
P
AP
SUBNE T1
EC2
EC2
EC2
プライベート
VM-SERIES
VPC の確立は、境界ファイアウォールを完
備した物理ネットワークを新たに構築する
ことと似ています。この導入例では、VMSeries をゲートウェイファイアウォール
として導入することが可能です。これによ
り、ポートに関係なくアプリケーションに
基づいて VPC を保護しながら、トラフィッ
クの既知および未知の脅威の検査と、ユー
ザー ID に基づいたアクセス制御を実現で
きます。EC2 ワークロードが新たに追加ま
たは変更された場合、VM モニタリングと
ダイナミックアドレスグループを使用し
て、EC2 の各変更に応じたセキュリティポ
リシーの更新を実行できます。
EB
VM-Series for AWS の導入例 :
境界ゲートウェイ
AWS
の管理
インターネットを通じた
ユーザーアクセス
パブリック
VPN上の
トラフィック管理
Panorama
企業データ
センター
Panorama
ユーザー
セキュリティ
管理者
VM-Series for AWS の導入例 : 企業ネットワーク間の IPSec VPN
DB
W
EC2
EC2
EC2
EC2
SUBNE T3
EC2
EC2
SUBNE T2
SUBNE T1
AP
P
EB
VPC を企業のコンピューティング環境の延長として利用することで、企業ネットワークの急成長に対応しながら、設備投資や運用コストを最小限に
抑えることが可能になります。この導入例では、VM-Series は、当社の物理アプライアンスでサポートされているものとまったく同じセキュリティ
機能をサポートします。これには、標準ベースのサイト間 IPSec VPN も含まれます。IPSec VPN 接続を確立し、アプリケーション、コンテンツ、ユー
ザー ID に基づいてアクセス制御を行うように VM-Series を構成できます。つまり、企業ネットワークを制御しているのと同じポリシーを VPC にも
適用できることになります。ここでも、ダイナミックな変更やコンテクスチュアルな変更を収集するオートメーション機能を、仮想ファイアウォー
ルおよび物理ファイアウォールの両方に組み込むことができます。これにより、アプリケーション環境の変更に応じてポリシーを更新できます。
EC2
EC2
EC2
VM-SERIES
プライベート
AWS
の管理
サイト間の
IPSec VPN
パブリック
VPN上の
トラフィック管理
Panorama
企業データ
センター
ユーザー
Panorama
セキュリティ
管理者
P A L O A L T O N E T W O R K S : VM-Series for Amazon Web Services スペックシート
EC2
EC2
EC2
EC2
SUBNE T3
W
SUBNE T2
EC2
EC2
DB
P
AP
SUBNE T1
EC2
EC2
EC2
プライベート
VM-SERIES
最近の顕著な脅威の傾向として、境界防御
をバイパスしたサイバー犯罪者は、通常の
業務トラフィックに巧妙に隠れて、ネット
ワークを縦横無尽に移動することが判明し
ています。物理ネットワークでは、ゼロ
トラストの原則 ( 信頼しないで常に検証す
る ) を使用してネットワークをセグメント
化することで、アプリケーションやデータ
を保護できます。VPC では、VM-Series を
使用して同様のゼロトラストの原則を実装
できます。ここでは、アプリケーションや
ユーザーに基づいて IP サブネット間のトラ
フィックを制御しながら、そのトラフィッ
クにサイバー脅威が存在しないかどうかを
検査することができます。このシナリオで
は、オートメーション機能によって EC2 イ
ンスタンスに対する変更を監視し、そのコ
ンテキストをポリシーに渡すことで、セキュ
リティが動的に最新の状態に保たれます。
EB
VM-Series for AWS の導入例 :
複数の VM 間のセキュリティ
AWS
の管理
インターネットを通じた
ユーザーアクセス
パブリック
VPN上の
トラフィック管理
Panorama
企業データ
センター
ユーザー
Panorama
セキュリティ
管理者
まとめ
VM-Series for AWS では、当社の次世代ファイアウォールと高度な脅威防御サービスを使用して VPC を保護できます。AWS 環境に流入するトラフィッ
クや通過するトラフィックは、アプリケーションの識別情報に基づいて特定された後、セキュリティで保護されます。また、既知および未知のサイバー
脅威がないかどうかが検査されます。VM-Series のネイティブオートメーション機能は、VPC 内の仮想マシンのコンテクスチュアルな変更に応じて
セキュリティポリシーを更新するのに役立ちます。また、Panorama を利用すると、Palo Alto Networks の物理アプライアンスと仮想アプライアン
スのデプロイメント全体を一元的に管理することができます。
〒102-0094
千代田区紀尾井町4番3号
泉館紀尾井町3F
電話番号 : 03-3511-4050
[email protected]
www.paloaltonetworks.jp
Copyright ©2014, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks、
Palo Alto Networks ロゴ、PAN-OS、App-ID、および Panorama は、Palo Alto
Networks, Inc. の商標です。製品の仕様は予告なく変更となる場合があります。
パロアルトネットワークスは、本書のいかなる不正確な記述について一切責任
を負わず、また本書の情報を更新する義務も一切負いません。パロアルトネッ
トワークスは予告なく本書の変更、修正、移譲、改訂を行う権利を保有します。
PAN_SS_VMSAWS_101314

Download Report