UTM初となる並列型セキュリティ対策を採用し、使い勝手と性能を両立UTMアプライアンスの「大本命」、Cisco ASA 5500シリーズ(1/2 ページ)

シスコシステムズが2005年6月に発表した「ASA 5500シリーズ」は、同社が本腰を入れてUTM市場に投入した製品だ。ASA 5500は、自己防衛型ネットワーク構想の戦略の一環として打ち出された適応型防衛システムの中核となる製品で、従来のUTM製品とはまったく異なる並列型のセキュリティ機能を採用する。他社とは一線を画した展開を図るASA 5500シリーズのコンセプトとアーキテクチャについて詳しく紹介する。

» 2006年04月01日 00時00分 公開
[ITmedia]
PR

関連リンク

シスコシステムズ株式会社

シスコ ASA 5500 シリーズ 適応型セキュリティ アプライアンス
新世代ネットワーク保護を提供。統合セキュリティアプライアンス

ネットワークベンダーのガリバー的存在であるシスコシステムズが、いよいよUTM(Unified Threat Management)の分野に本格参入した。同社では以前からセキュリティ機能も搭載した統合型製品を販売していたが、2005年6月に発表した「ASA 5500シリーズ」は、活性化するUTM市場に対して同社が本腰を入れて投入した初の製品である。

ASA 5500シリーズには、最大ファイアウォール・スループット300/450/650Mbpsを発揮する3種類の機種があり、中堅・中小企業から大企業まで幅広く対応できる。中・上位モデルは、アクティブ/アクティブによる冗長構成や、VPNクラスタリング、ロードバランシングも可能

 シスコシステムズは、自己防衛型ネットワーク構想を2004年に発表、その戦略に基づき、統合化セキュリティ、コラボレーションセキュリティ(NAC:Network Admission Control)といったソリューションを展開してきた。そして、次のフェーズとして「適応型防衛システム(ATD:Adaptive Threat Defense)」を打ち出している。ATDは、複数レイヤ上の多様な脅威に対して、柔軟性のあるプロアクティブな防御手段を提供するソリューションだ。このATDの中核に据えられる製品が、このASA 5500シリーズである。

 本製品は、UTM分野にカテゴライズされるものであるが、実は競合ベンダーのUTM製品とはまったく異なる画期的なコンセプトとアーキテクチャを採用していることに気付く。ASA 5500シリーズのコンセプトについて、同社のマーケティングアンドオペレーションズ コマーシャルマーケティング プロダクトマネージャ、福永啓蔵氏は次のように説明する。

マーケティングアンドオペレーションズ コマーシャルマーケティング プロダクトマネージャの福永啓蔵氏

 「従来のセキュリティ対策は、ネットワークの利便性と相反するものでした。本来、ネットワークを守るためにセキュリティがあるはずなのに、セキュリティを強固にしすぎて、肝心のネットワーク自体が使いづらくなっています。ネットワークを犠牲にしてまで、セキュリティ対策を施しても意味がありません。ASA 5500シリーズでは、使い勝手、通信品質、パフォーマンスなどを可能な限り維持できるように配慮して設計されています。ネットワークに対する影響を最小化しつつ、必要なレベルのセキュリティを確保するというコンセプトで作られた製品なのです」

 ではASA 5500シリーズは、このコンセプトをどのように具現化しているのだろうか。次に、本製品のセキュリティ対策に関する方法論とアーキテクチャについて見ていこう。

 


並列型セキュリティ対策を初めて導入

 ASA 5500シリーズが従来のUTM製品と根本的に異なるのは、並列型のセキュリティ対策を導入している点である。従来のセキュリティ対策では、ゲートウェイ部にファイアウォールを設置し、さらに侵入検知/防御システム(IDS/IPS)、ゲートウェイ型アンチウイルス、URLフィルタリングなどの製品を直列的に配置する構成を採用している。実はこれらの機能を統合したUTM製品においても、セキュリティ対策の方式は「直列型」のデザインが主流であった。

直列型セキュリティ方式では、部分的なボトルネックが全体のパフォーマンスに影響を及ぼし、動画のストリーミング、IP電話などで品質が低下する恐れがある。一方、並列型セキュリティ方式では、それぞれのパケットやフローに適した処理を並列で行うため、全体のパフォーマンスを向上しながら通信品質も保てる。

 もちろん、従来どおり直列型で機能をつなげても、セキュリティ対策の強化は可能だ。だが直列型の場合、接続された機器や機能の一部に大きな負荷が掛かると、通過トラフィックすべてに影響を与え、十分なパフォーマンスが得られないというデメリットがある。また、1つの機器や機能に障害が起きて停止するようなことになれば、それ自身が単一障害点(SPOF)となって、企業ネットワークが遮断してしまう恐れもある。いわば一本道において、一部で発生した渋滞に巻き込まれて車両全体がノロノロ運転をせざるを得なかったり、交通事故でほかの車両までもが停止するようなものだ。

 一方、「並列型」のセキュリティ方式では、このような直列型のデメリットを回避できるような構造になっている。ASA 5500シリーズには、シスコ独自のMPF(Modular Policy Framework)というアーキテクチャが採用されており、セキュリティ対策を効率よく行えるように工夫されているASA 5500シリーズの本体にあるスロットにSSMを増設することで、IPSもしくはAnti-X(アンチウイルス、アンチスパム、アンチスパイウェア)の機能を追加・拡張できるようになる。

外部から到達したパケットやフローを分類し、ポリシーに従った処理を施す。ここではIPSのポリシーを作り、それをサービスとして適用している。決められたルールをマッピングしていくため、ファイアウォールを扱った経験があれば簡単に設定ができる

 MPFの考え方は、通過するパケットがどのポリシーにマッチするかを分類し、そのポリシーに基づいてハンドルするというファイアウォールの考え方と基本的には同じものだ。ただし、通常のファイアウォールでは、IPアドレス、TCP/UDPポート番号、プロトコル番号などを基にパケットを識別するのに対し、MPFではどのIPsecトンネルからパケットが送られたのかをVPNトンネルで識別したり、ユーザーグループで識別するなど、よりきめ細かい設定ができるように拡張されている。さらに、適用アクションについても改良が施されている点が大きな違いだ。

 「通常のファイアウォールで適用できるアクションは“permit”か“drop”ですが、MPFでは様々なセキュリティやネットワーキングのサービスをポリシーベースで適用できます。たとえば、条件にマッチしたパケットに対して、IPSやアンチウイルスで検査する、QoSをかける、最大コネクション数を制限する、といったことも可能です」(福永氏)

ASA 5500シリーズの本体にあるスロットにSSMを増設することで、IPSもしくはAnti-X(アンチウイルス、アンチスパム、アンチスパイウェア)の機能を追加・拡張できるようになる。

 これらの機能により、ASA 5500シリーズではパケットやフローをサービス別に分類して振り分けた後、ポリシーに基づいた適切な処理が行えるのだ。また、このMPFに対してSSM(Security Service Module)を適用すれば、IPSとAnti-X(アンチウイルス、アンチスパム、アンチスパイウェア)の機能を追加・拡張できるようになる。SSMはセキュリティサービスに特化した専用モジュールで、同社のハイエンドスイッチ、Catalyst 6500シリーズのテクノロジーを継承したアーキテクチャを採用している。

 「ASA 5500シリーズでは、同時に複数のサービスを使ってもパフォーマンスが落ちません。その理由は、SSM自体が独立した処理能力を持ったエンジンを搭載しており、ほかのモジュールや本体のプロセスと並行して処理が行えるからです。たとえば、CPUに最も負荷が掛かるIPS機能を実装したいときは、それ専用のSSMを追加し、そのほかのファイアウォール/VPNなどの機能は本体側に任せるという形です」(福永氏)

 さらに福永氏は、ASA 5500シリーズと従来製品との違いを強調する。

 「直列型のUTM製品では、すべてのトラフィックに対し、すべての機能でチェックが施されるわけです。たとえば、暗号化された通信をIPS機能で検査しても意味はないのですが、IPSを通過せざるを得ない構造になっています。1つのUTM製品で出せる能力は決まっているため、ボトルネックになりやすいIPS機能で無駄な処理をすると、全体のパフォーマンスが落ちる危険性があります。一方、ASA 5500シリーズではパケットやフローを振り分け、並列型のセキュリティ対策によって効率よく処理できるため、見かけ上の能力よりも実際の上限性能を高く設定できます。また、リアルタイム系の音声・動画などのトラフィックに関しても、QoS制御によって優先して送れるため、IP電話の音質低下や音飛び、ストリーミングの品質劣化などがなく、安定した通信を実現できるのです」

「ネットワークセキュリティ基礎テキスト」プレゼントキャンペーンアンケート実施中 

アンケートにお答えいただいた方の中から、抽選で30名様に
「ネットワークセキュリティ基礎テキスト」を進呈いたします。(5月31日締め切り)

→アンケートに応募する


       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.


提供:シスコシステムズ株式会社
制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2006年4月30日