クラウドファイアウォールとは? | サービスとしてのファイアウォール

クラウドファイアウォールとは、ネットワークのペリメータが明確には定義されていない状況でも、クラウドインフラストラクチャを保護します。 その仕組みと、NGFWとの違いについて学習します。

Share facebook icon linkedin icon twitter icon email icon

クラウドファイアウォール

学習目的

この記事を読み終えると、以下のことができます。

  • クラウドファイアウォールとは何かを理解する
  • クラウドコンピューティングがどのようにネットワークペリメータを変えるかを知る
  • クラウドファイアウォールと従来型ファイアウォールの違いを知る
  • 次世代ファイアウォールとクラウドファイアウォールを区別する
  • 「サービスとしてのファイアウォール」の意味を理解する

クラウドファイアウォールとは?

銀行には多くの物理的なセキュリティがあります。ほとんどの実店舗の銀行には、セキュリティカメラや防弾ガラスなどのセキュリティ機能を持ちます。警備員や銀行員の存在も潜在的な泥棒の阻止に貢献し、現金は非常に安全な金庫に保管されます。

しかし、仮に1つの場所に保管されるのではなく、各銀行支店の現金が、安全な保守を専門とする会社が運営する、全国のさまざまな金庫に保管されているとしましょう。銀行は、散らばった金庫の周りに追加のセキュリティリソースを展開せずに、お金が安全であることをどのように確認できるのでしょうか?これがクラウドファイアウォールの機能です。

クラウドファイアウォール

クラウドは、リソースが散在する銀行のようなものですが、お金の代わりに、クラウドが保管するのは、データと計算能力です。アクセスが許可されたユーザーは、どんな場所からも、ほとんどすべてのネットワーク上でクラウドに接続することができます。クラウドで作動するアプリケーションはどんな場所でも作動し、これはクラウドプラットフォームとインフラストラクチャでも同様です。

クラウドファイアウォールは、これらのクラウド資産に対するサイバー攻撃をブロックします。名前が示すように、クラウドファイアウォールはクラウドでホストされるファイアウォールです。クラウドベースのファイアウォールは、従来のファイアウォールが組織の内部ネットワークの周囲に障壁を形成するように、クラウドプラットフォーム、インフラストラクチャ、およびアプリケーションの周囲に仮想障壁を形成します。クラウドファイアウォールのリリースは、銀行のローカルセキュリティカメラと物理的な警備員を、銀行の資産が保管されているすべての場所からのセキュリティカメラフィードと中央集約型スタッフを備えた24時間年中無休のグローバルセキュリティセンターに置き換えるようなものです。

ファイアウォールとは?

ファイアウォールとは、悪意のあるトラフィックをフィルタリングするセキュリティ製品のことです。もともとはファイアウォールは信頼された内部ネットワークと信頼されていないネットワークの間(プライベートネットワークとインターネット間など)で実行されてきました。初期のファイアウォールは、組織のオンプレミスインフラストラクチャに接続された物理的な機器でした。ファイアウォールは、内部の規則セットに従ってネットワークトラフィックを許可またはブロックします。一部のファイアウォールでは、管理者が規則をカスタマイズすることも可能です。

従来のファイアウォール

ですが、クラウドコンピューティングの人気が高まり、信頼されたネットワークと公共インターネットの間の区分はなくなりました。そのため、信頼されたクラウド資産と、信頼されていないインターネットトラフィックの間で仮想の壁を形成するクラウドファイアウォールが必要になります。

Firewall-as-a-Service(サービスとしてのファイアウォール: FWaaS)とはどういう意味ですか?

Firewall-as-a-Service(サービスとしてのファイアウォール)略称FWaaSは、クラウドファイアウォールの別の用語です。サービスとしてのソフトウェアまたはサービスとしてのプラットフォームのように、その他の「サービスとして」のカテゴリー同様、FWaaSはクラウドで実行され、インターネット上でアクセスされます。また、サードパーティベンダーは、これらをサービスとして提供し更新し維持します。

クラウドファイアウォールと次世代ファイアウォール(NGFW)の違いは何ですか?

次世代ファイアウォール(NGFW)は、初期のファイアウォール製品にはなかった次のような新技術を含むファイアウォールです。

  • 侵入防止システム(IPS):侵入防止システムは、サイバー攻撃を検出してブロックします。
  • ディープパケットインスペクション(DPI):NGFWは、ヘッダーだけではなく、データパケットのヘッダーとペイロードを検査します。これは、マルウェアやその他の種類の悪意のあるデータの検出に役立ちます。
  • アプリケーション制御:NGFWは、個々のアプリケーションがアクセスできるものを制御したり、アプリケーションを完全にブロックしたりできます。

NGFWには、他にも高度な機能があります。

「次世代ファイアウォール」は広く適用されている用語ですが、NGFWは必ずしもクラウドで実行されるとは限りません。クラウドベースのファイアウォールにはNGFW機能がある場合がありますが、オンプレミスのファイアウォールもNGFWである可能性があります。

ネットワーク境界とは何ですか?クラウドコンピューティングはネットワーク境界にどのように影響しますか?

ネットワーク境界は、組織が管理する内部ネットワークと、外部ベンダー(通常はインターネットサービスプロバイダー(ISP))によって提供されるネットワークアクセスとの間の区分です。言い換えれば、ネットワーク境界は、組織が制御できるもののエッジです。ネットワークを物理的にロックダウンすることもできます。会社の従業員は、会社が管理するデバイスを使用して会社のネットワークに接続する必要ためにはオフィスにいる必要がある場合があります。ファイアウォールは当初、このタイプのネットワーク境界を制御し、悪意のあるものを通過させないように設計されていました。

クラウドコンピューティングでは、ネットワーク境界は本質的に消えます。ユーザーは、制御されていないインターネット経由でサービスにアクセスします。ユーザーの物理的な位置、場合によっては使用しているデバイスは重要ではなくなります。セキュリティ層をどこに配置すべきかを判断することはほとんど不可能であり、企業リソースの周囲にセキュリティ層を配置することは困難です。一部の企業は、従来のファイアウォール、VPN、アクセス制御、IPS製品など、さまざまなセキュリティ製品を組み合わせることに頼っていますが、これによりITは非常に複雑になり、管理が困難です。

SASEフレームワークにおけるクラウドベースのファイアウォールの役割

セキュアアクセスサービスエッジ(SASE)は、ソフトウェア定義型WANのようなネットワーキング機能とFWaaSを含む一連のセキュリティサービスを組み合わせたクラウドベースのネットワーキングアーキテクチャです。オンプレミスのデータセンターの境界をオンプレミスのファイアウォールで保護する必要がある従来のネットワーキングモデルとは異なり、SASEはネットワークエッジで包括的なセキュリティ/アクセス制御を提供します。

SASEネットワーキングモデルでは、クラウドベースのファイアウォールはほかのセキュリティプロダクトと連携して動作し、攻撃、データ漏えい、そのほかのサイバー脅威からネットワーク境界を保護します。企業は、複数のサードパーティベンダーを使用して各サービスをデプロイして保守管理するのではなく、SD-WAN機能を用いてFWaaS、クラウドアクセスセキュリティブローカー(CASB)セキュアWebゲートウェイ(SWG)ゼロトラストネットワークアクセス(ZTNA)をバンドルする1つのベンダーを使用することができます。

Cloudflare Web Application Firewallは何をしますか?

Cloudflare Web Application Firewall(WAF)はクラウドプロパティを脆弱性の悪用から保護し、DDoS攻撃を阻止し、IT管理者が独自のカスタムファイアウォールルールの作成ができるようにします。企業は、ハイブリッドクラウドマルチクラウド、パブリッククラウドなどあらゆるタイプのクラウド展開の前に、Cloudflare WAFをリリースすることができます。