クラウドファイアウォールとは? | サービスとしてのファイアウォール

クラウドファイアウォールとは、ネットワークのペリメータが明確には定義されていない状況でも、クラウドインフラストラクチャを保護します。その仕組みと、NGFWとの違いについて学習します。

Share facebook icon linkedin icon twitter icon email icon

クラウドファイアウォール

学習目的

この記事を読み終えると、以下のことができます。

  • クラウドファイアウォールとは何かを理解する
  • クラウドコンピューティングがどのようにネットワークペリメータを変えるかを知る
  • クラウドファイアウォールと従来型ファイアウォールの違いを知る
  • 次世代ファイアウォールとクラウドファイアウォールを区別する
  • 「サービスとしてのファイアウォール」の意味を理解する

クラウドファイアウォールとは何ですか?

銀行では多くの物理的安全保護を設けています。銀行の実店舗には、セキュリティカメラや防弾ガラスのようなセキュリティ設備があります。さらに警備員と銀行員は潜在的な盗難防止を支援し、現金は非常に安全な金庫に保管されます。

しかし、1つの場所に維持されるのではなく、各銀行支店の現金が国の至る所にある異なる金庫で保管され、金庫がそれぞれ安全メンテナンス専門会社によって運営されることを想像してみましょう。銀行ではどのようにして、散在した金庫に安全保護手段を追加せずに、保護されたお金が安全であることを保障できるでしょうか?まさにこれがクラウドファイアウォールの機能です。

Cloud Firewall

クラウドは、財産の場所が散在した銀行に似ています。異なるのは、クラウドの場合は金銭ではなく、データと計算能力を保管しています。許可されたユーザーは、どんな場所からも、ほとんど任意のネットワーク上でクラウドに接続することができます。クラウドで作動するアプリケーションはどんな場所でも作動し、これはクラウドプラットフォームおよびインフラストラクチャでも同様です。

クラウドファイアウォールは、これらのクラウド財産へのサイバー攻撃を阻みます。その名前が意味するように、クラウドファイアウォールとは、クラウドでホストされるファイアウォールです。従来のファイアウォールが組織の内部ネットワークの障壁を形成するように、クラウドベースのファイアウォールは、クラウドプラットフォーム、インフラストラクチャおよびアプリケーションの周りで仮想障壁を形成します。クラウドファイアウォールをデプロイさせることは、銀行のローカルのセキュリティカメラと物理的安全保護ガードマンを、集中型のスタッフおよびセキュリティカメラが導入された広域週7日24時間のセキュリティセンターに置き換え、財産が保存されているすべての場所のデータを収集することに例えられます。

ファイアウォールとは何ですか?

ファイアウォールとは、悪意のあるトラフィックをフィルターするセキュリティ製品です。伝統的に、ファイアウォールは信頼された内部ネットワークと信頼されていないネットワークの間(たとえば私設ネットワークと公共インターネットの間)で実行されてきました。初期のファイアウォールは、組織のオンプレミスインフラストラクチャに接続された物理的な機器でした。ファイアウォールは、内部の規則セットに従いネットワークトラフィックを許可または閉鎖します。一部のファイアウォールでは、管理者が規則をカスタマイズすることも可能です。

traditional firewall

しかしながら、クラウドコンピューティングの人気が高まり、信頼されたネットワークと公共インターネットの間の区分はなくなりました。したがって信頼されたクラウド資産と、信頼されていないインターネットトラフィックの間で仮想の壁を形成するクラウドファイアウォールが必要になります。

サービスとしてのファイアウォール(FWaaS)とは何を意味しますか?

サービスとしてのファイアウォール、あるいはFWaaSはクラウドファイアウォールの別の用語です。サービスとしてのソフトウェアあるいはサービスとしてのプラットフォームのような、その他の「サービスとして」のカテゴリー同様、FWaaSはクラウドで実行され、インターネット上でアクセスされます。また、サードパーティベンダーは、これらをサービスとして提示し更新し維持します。

クラウドファイアウォールと次世代ファイアウォール(NGFW)の違いは何ですか?

次世代ファイアウォール(NGFW)は、初期のファイアウォール製品にはなかった次のような新技術を含むファイアウォールです。

  • 侵入防止システム(IPS):侵入防止システムはサイバー攻撃を検知し、阻止します。
  • ディープパケットインスペクション(DPI):NGFWはヘッダーのみではなく、データパケットヘッダーおよびペイロードを検査します。これはマルウェアおよびその他の悪意のあるデータの検知を支援します。
  • アプリケーション制御:NGFWは、個別のアプリケーションがアクセスすることができるものを制御することも、あるいはアプリケーションをすべてブロックすることもできます。

NGFWは同様に他の高度な機能を持っていることもあります。

「次世代ファイアウォール」は広く利用されている用語ですが、NGFWは必ずしもクラウドで実行されているわけではありません。クラウドベースのファイアウォールでNGFW機能があることもありますが、オンプレミスファイアウォールがNGFW機能を持っていることもあります。

ネットワークペリメータとは何ですか?クラウドコンピューティングはどのようにネットワークペリメータに影響しますか?

ネットワークペリメータは、通常(組織)内部ネットワークと、外部ベンダーによって提供されるネットワークアクセスの間の区分です。通常、外部ベンダーはインターネットサービスプロバイダー(ISP)です。言いかえれば、ネットワークペリメータは組織の制御の端点です。ネットワークを物理的にロックすることもできます。この場合社員は、会社が管理する企業ネットワークに接続できるデバイスを使用する必要があります。ファイアウォールは、当初この種のネットワークペリメータを制御し、かつ悪意のある通信をブロックすることを目指していました。

クラウドコンピューティングでは、ネットワークペリメータは実質的に消えています。ユーザーは、制御されないインターネット上でサービスにアクセスします。ユーザーの物理的位置や使用しているデバイスはもはや重要ではありません。セキュリティ層の場所を決めることがほとんどできないため、会社の資源の周囲にセキュリティ層を置くことはきわめて困難です。一部の会社では、従来のファイアウォール、VPN、アクセス制御およびIPS製品を含む、数多くのさまざまなセキュリティ製品を組み合わせています。しかし、IT面での複雑さが加わるために管理が難しくなります。

Cloudflare Webアプリケーションファイアウォールは何を行いますか?

Cloudflare Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、脆弱性からクラウドプロパティを保護し、DDoS攻撃の阻止を支援し、IT管理者がカスタマイズされたファイアウォール規則を書くことを可能にします。会社は、ハイブリッドクラウドマルチクラウド、パブリッククラウドなど任意のタイプのクラウドデプロイの前に、Cloudflare WAFを展開させることができます。