仮想環境を高いパフォーマンスで保護するソフト「Altor」に迫る

圧倒的な速さの理由は「VMsafe Fast-path」対応


Altor Networks Sales担当VPのNeil Stratz氏

 仮想環境のセキュリティに注目が集まっている。代表的なのが、VMwareが公開する「VMsafe API」だ。同APIを使って多くのセキュリティベンダーが、ハイパーバイザーレベルで稼働する製品の開発を進めている。

 米Altor Networksが提供する「Altor VF」もそのうちの1つ。ただ、ある特徴により「他社製品と一線を画す製品となっている」(同社)。今回、Altor VFの国内総代理店として活動するマクニカネットワークス(以下、マクニカネット)の協力の下、Altor Networks Sales担当VPのNeil Stratz氏に話を聞いた。


Interop Tokyoでアワードを受賞したAltor VF

仮想ネットワークを保護する代表的な3種類の手法

 Altor Networksは、仮想環境のセキュリティに特化したベンダーだ。元Check Point社員などファイアウォールに造けいの深いメンバーで2007年に設立された。Altor VFを発表したのが2008年。その後、改変を重ね、2009年にバージョン3でVMsafe認定を取得した。2010年には、Interop Tokyo 2010でプロダクトアワード部門(情報セキュリティ製品)のグランプリにも輝いている。

 Altor VFは、ハイパーバイザーレベルで稼働する仮想ファイアウォールだ。仮想マシン同士の通信をすべて可視化し、ステートフルインスペクションで不正な通信を遮断する。


従来型セキュリティの限界

 こうした技術に注目が集まるのは、仮想環境の保護に、従来のセキュリティ技術では不十分だからだ。例えば、OSごとにエージェントを導入する方式では、1台の物理サーバー上の複数の仮想マシンにエージェントを入れるため、サーバーリソースを余計に消費してしまうし、管理も煩雑になる。

 既存のファイアウォールで仮想マシンごとにVLANを切る方式も、複雑なネットワーク設計が必要になるほか、固定的なポリシーに縛られるため、仮想マシンを別の場所に動かすvMotionなどのメリットも享受できなくなる。

 このように仮想環境では、その仕組み上、物理環境のセキュリティとまったく異なる視点が必要となったのだ。Altor VFをはじめとするハイパーバイザー組み込み型セキュリティ製品は、VMkernel上でセキュリティの処理を走らせることで、こうした課題を解決するものとなっている。

VLAN方式(物理ファイアウォール使用)VLAN方式(仮想アプライアンス使用)



「VMsafe Fast-path」に対応

ハイパーバイザー組み込み型セキュリティのメリット

 その中でもAltor VFは、「他社製品とは一線を画す」(Stratz氏)という。その理由は「VMware API Fast-path」に対応していることだ。

 VMsafe APIには、「Slow-path」と「Fast-path」という2つのモードが用意されている。Slow-pathは、セキュリティ機能の一部をVMkernelで処理するが、残りの大半の処理は仮想マシン上で実行する。このため、VMkernelと仮想マシンは頻繁におしゃべりをし、パフォーマンスの劣化を招く。他社製品は「このSlow-path対応のものがほとんどなのだ」(Stratz氏)という。

 一方、Altor VFが対応するFast-pathでは、セキュリティ機能の処理を完全にVMkernel上で実行する。このため、オーバーヘッドが発生せず、高速性が保たれる。また、セキュリティ機能が完全にVMkernelに組み込まれているため、VMkernelを対象とした攻撃も防御できるのだ。

 マクニカネット 第1営業統括部 第3部 第2課の高柳洋人氏によれば、「Altor VF導入によるESXのオーバーヘッドはたった3%に抑えられている」という。

Altor VFの概要ほんの3%のオーバーヘッドで仮想環境を保護する

 では、すべての製品がFast-pathに対応しない理由は何だろうか。技術的なハードルが存在するのか。Stratz氏は私見と断った上で、「従来、物理環境向けにセキュリティ製品を提供してきた企業は、既存技術を改良して仮想環境に対応させている。それに対して当社は創業以来、仮想ファイアウォールの開発のみを目指した経緯がある。寄り道をしていない分、素直に仮想環境とFast-pathに対応できた。その差があるのではないか」と述べている。


Altor VFの機能

 Altor VFは、VMkernelに組み込まれる「Altor Engine」、ポリシー管理・ログ管理・レポーティングを担う管理ツール「Altor Center」、管理用仮想マシン上でこの両者を橋渡しする「Altor VM」の3種類のコンポーネントで構成される。

 ポリシーは、Source/DestinationではなくInbound/Outboundベースで定義。仮想マシンのUUID単位、あるいはグループ単位でポリシーを適用できる。グルーピング機能は、個別の仮想マシンを指定し固定的にグループ化する「Static Group」と、仮想マシンの属性情報をキーとし動的にグループ化する「Smart Group」の2つの仕組みが用意され、仮想マシンが場所を移動しても自動的にポリシーが継承されるようになっている。

 「ポリシーはAltor Centerで完全に集中管理され、必要なルールが必要に応じて自動的に有効化される。一度の設定ですべてを保護できるため、“Write Once, Protect Many”と表現している」(Stratz氏)。

 Altor CenterはVMware vCenterと密接に連携する。vCenterと管理ビューが統合されており、ホスト・仮想マシン情報は自動で収集される。

 ファイアウォールとして仮想マシン間の通信を可視化するが、それだけでなく、IDSやハイパーバイザー保護も可能。また、Windows VMに対しインストールされているアプリケーションを検出し、アプリケーション情報を制御トリガーとして仮想マシンを検疫・隔離する機能も備え、「例えば、仮想マシン上にMcAfeeのアンチウイルスがインストールされていない場合は隔離、といったことが可能」(Stratz氏)という。

Altor VFを構成するコンポーネント

Inbound/Outboundベースのポリシーを採用ファイアウォールの機能以外にもIDSや検疫、ハイパーバイザー保護機能などを備える



今後のロードマップ

 今後のロードマップとして、短期的にはJuniper製品との連携を進めていく。JuniperはAltorの株主でもあり、両社は積極的な協業を行っている。すでに「Juniper IDP」「Juniper STRM」と統合済みだが、2011年第1四半期には「Juniper SRX」と、上半期中には「Junos Space」と統合する予定という。

 長期的には、XenとHyper-Vへの対応も予定する。両製品でもハイパーバイザーレベルでの稼働を実現しようというものだ。Xen対応は2011年上半期中を予定、Hyper-V対応は「MicrosoftがAPIをまだ提供していないため」未定という。また、マルチテナント管理構造を採り入れ、クラウド事業者が自社サービスの中でAltor VFを活用しやすく機能を強化するとのこと。


国内展開について

 国内にはマクニカネットが総代理店として展開する。マクニカネットをパートナーに選んだ理由について「新製品の取り扱いに関して経験豊富であるとともに、事業スピードも俊敏。社内でもセキュリティと仮想化に対する理解度が高かった」(Stratz氏)と説明。

 マクニカネットでは、サービスプロバイダやクラウド事業者をターゲットとし拡販していく予定で、「付き合いのあるパートナー(20社)に製品を取り扱ってもらうよう進めているところ」(同社)。すでにインフォセックと契約し、リセールを開始すると発表している。

 「Altorはまだ市場が確立されていないので真っ先に取り組まなければいけないのが啓発活動。当社では仮想環境セキュリティを示す言葉として“VirtSec”を標ぼうしている。いずれは“VirtSec市場”として確立させたいと考えている。9月1日からクラウド推進室も設立したので、これからAltorに関するイベントなどを積極的に実施していく」(同社)。

 価格は、管理コンポーネントの「Altor Center」が98万円(税別)、防御コンポーネントが29万8000円(同)/8コアまでのCPUソケット。

関連情報