パロアルト、次世代ファイアウォールのミッドレンジモデルや仮想環境向け新製品


 パロアルトネットワークス合同会社は26日、次世代ネットワークセキュリティ新製品群を発表した。

 新たに投入するのは、仮想化ソリューション「VMシリーズ」、ミッドレンジ新アプライアンス「PA-3000シリーズ」、管理用アプライアンス「M-100」、クラウドサンドボックス技術「WildFire」の新サブスクリプションサービス、60種類以上の新機能を搭載した「PANOS 5.0」。


仮想アプライアンス「VMシリーズ」

VMシリーズのライセンス一覧

 VMシリーズは、PAシリーズの機能を仮想環境で実現する仮想アプライアンス製品。1台の物理サーバー上でさまざまなサーバーを稼働させる仮想環境において、VM間通信の可視化やVMの追加・移動・変更の追随などを実現する。PAシリーズの全機能が利用可能。

 1台の物理サーバー内の2つのvSwitch間の通信をモニタリングする。VMの追加・移動・変更の追随は、新機能として搭載された「ダイナミックオブジェクト」を利用。VMシリーズにて、WebサーバーやDBなどに対するポリシーをあらかじめ設定。例えばWebサーバーのVMを新規に追加した際に、サードパーティのVM管理ツールからそのIP情報を受け渡してもらうことで、VMシリーズに設定変更を加えることなく、あらかじめWebサーバー用に用意したポリシーを自動的に割り当てて運用を開始できる。

 ライセンスはよくあるCPUコア数に応じた課金ではなく、セッション数や設定可能なルール数といったキャパシティに応じた課金モデルを採用する。ラインアップは、セッション数5万・設定可能なルール数250の「VM-100」、同10万・2000の「VM-200」、同25万・5000の「VM-300」の3種類。


ミッドレンジの新製品「PA-3000シリーズ」

PA-3000シリーズの概要

 従来、PA-200/PA-500/PA-2000/PA-4000/PA-5000シリーズに、新たにPA-3000シリーズを追加する。ポート密度を向上し、Gigabit Ethernet×12ポート、SFP×8ポート、アウトオブバンド管理ポート×1ポート、HAポート×2ポート、RJ-45コンソールポート×1ポートを搭載。管理プレーン・データプレーン双方のCPUを強化したほか、ログやレポーティングを担う管理プレーンのストレージにSSDを採用することで性能向上を図った。

 ラインアップは「PA-3020」「PA-3050」の2種類。パフォーマンスは、PA-3020がファイアウォールスループット2Gbps、脅威防御スループット1Gbps。PA-3050がファイアウォールスループット4Gbps、脅威防御スループット2Gbps。VPNスループットと新規セッション数/秒はPA-3020/3050ともに500Mbpsと5万件。


管理用アプライアンス「M-100」

M-100の概要

 M-100は、従来ソフトウェアの形態で提供されていた統合管理ツール「Panorama」向け管理用アプライアンス。1Uサイズで4コアのXeon、16GBメモリ、最大4TBのRAID 1ログストレージを搭載。

 ログ収集のみ「Log Collector」として別アプライアンスに切り出し、分散環境を構築することもできる。ログが膨大になってもM-100に集中することがなくなるため、低負荷でログ収集を行うことが可能だ。

 従来のライセンス体系を踏襲し、既存Panoramaユーザーも移行が可能。


クラウドサンドボックス技術「WildFire」の有償サービス

技術本部長の乙部幸一朗氏

 パロアルト製ファイアウォールには「WildFire」という無償のクラウドサンドボックス技術が搭載されている。信頼できないゾーンから未知のファイルがファイアウォールに届いた場合に、そのファイルをクラウド環境へ転送し、サンドボックス内で実行。ファイルがマルウェアだった場合にシグネチャを自動生成し、ファイアウォールに配信するものだ。

 従来マルウェアのシグネチャといえば、アンチウイルスベンダーがインターネット上に配置したハニーポットなどから入手した検体を解析して作成するのが基本的な方法だった。しかし、昨今の標的型攻撃は特定の標的のみに送信されるため、検体が手に入りにくい特性がある。そこで重要となるのが「ファイアウォール上で検査すること」(技術本部長の乙部幸一朗氏)で、「WildFireによって検出されたマルウェアの60%がゼロデイの段階で主要アンチウイルス製品では検知できず、7日が経過したあとでも40%が検知されなかった」という。

 WildFireは、従来無償で提供されていたが、今回、有償のサブスクリプションサービスを提供する。無償版ではシグネチャの配信頻度が1日に一度だったが、有償版では30分に一度に短縮される。これは「昨今のモダンマルウェアは最初の24時間で一挙に送信され、それ以降はあまり配信されなくなる。つまり最初に配信されてから最初の24時間に対処することが重要なためだ」(同氏)。

 また、有償サービスでは統合化されたログ&レポーティング環境が提供される。従来、ファイアウォールのログとWildFireのサンドボックスで処理したログは別々に管理されていた。WildFireのログでは、実行したファイルの詳細やマルウェアとしての具体的な挙動などが確認できるのだが、その結果を閲覧するためには専用の管理Webポータルにアクセスする必要があった。これがすべてファイアウォールの管理コンソールから確認できるようになる。

 さらにXML APIによって外部システムからWildFireのクラウド環境へファイルをアップロード・検査することも可能となる。例えば、SIerなどが顧客から提供された怪しいファイルをアップロードして検査するような自社サービスを展開することも可能となる。


独自のURLフィルタリングエンジンを搭載した「PANOS 5.0」

日本語管理インターフェイスを採用

 PANOS 5.0では、日本語管理インターフェイスを採用し、管理性を向上した。また、パロアルトが独自開発した新しいURLフィルタエンジン「PAN-DB」を搭載。「ポルノ」「ゲーム」といったカテゴリ別にフィルタリングが可能なほか、WildFireで収集したマルウェアの指令サーバーURLへのアクセスも的確に遮断できるという。

 従来はBrightCloudをエンジンとして採用していたが、今回からPAN-DBとBrightCloudを選べるようになっている。

関連情報