個別設定が可能な仮想FortiGate
今日、クラウドサービスを提供するデータセンターが増えている。ただし、仮想化したインフラを提供するクラウドサービスにおいて、顧客ごとに適切なセキュリティが提供されているかどうか明らかなケースは少ない。
考えてみると、サーバが固定化されていない状態で、顧客のニーズに応じて、ファイアウォールやVPNなど異なるサービスを提供することは簡単ではなさそうだ。
フォーティネットジャパンで市場開発部 シニアテリトリーマネージャを務める竹内浩氏は、「現在のデータセンターでは、VLAN単位でさまざまなセキュリティ対策ができるかどうかがカギになっています」と語る。
多彩なセキュリティ機能を簡単に提供できる手段と言えば、UTMの利用だろう。もっとも、データセンターがそれを求めても対応できるUTM製品は多くない。
「ファイアウォールとVPNのみ仮想化できるUTM製品はありますが、アンチウイルスやアプリケーション制御など、企業にとって必要なセキュリティ機能をほぼすべて仮想化できるUTM製品はFortiGateしか存在しません。この点から、FortiGateはデータセンター事業者より強い興味を持たれています」(竹内氏)
同社のUTM製品「FortiGate」にはVDOMという複数の独立したセキュリティ ドメインを構築するための機能が標準装備されている。VDOMにより、1台のFortiGateに複数の仮想UTMを構築することが可能だ。
構築された仮想のFortiGateはFortiGateのすべての機能を搭載し、個別に設定を変更させることもできる。その設定はシンプルなGUIを用いて行えるため、エンジニアの負担が小さいのも大きな特徴だ。「仮想ファイアウォールの設定が面倒だという先入観があるエンジニアの方が驚かれるほど、使いやすくわかりやすいGUIです」と竹内氏は語る。
VDOMの最大構築数は機種によって異なるが、どの機種も標準で10個まで、ミッドレンジ向けの新製品の「FortiGate-1240B」は25個まで構築することが可能だ。FortiGate-3000シリーズ以上の機種ならば1台当たり250個まで、シャーシ型製品のFortiGate-5140なら14枚のFortiGateブレードを使用することにより最大3,500個のVDOMが構築できる。
運用管理の自動化を実現する「FortiManager」と「FortiAnalyzer」
運用管理が容易なUTMといっても、データセンターで顧客ごとにきめ細かな運用を行うとなると、それなりの手間を要する。そこでFortiGateの高度な運用管理をサポートするソリューションとして管理アプライアンスである「FortiManager」と「FortiAnalyzer」が用意されている。
FortiManagerは複数のFortiGateを集中管理するためのアプライアンスで、一括設定、設定履歴の管理、ファームウェア一括スケジュールアップデートといった管理機能を備えている。物理サーバに対してはCPU稼働率を把握するなどのリソースマネジメント機能もある。
FortiAnalyzerはレポーティングのためのアプライアンスだ。FortiGateからログを収集して分析し、その結果をグラフィカルに可視化する。レポートのテンプレートは300種類以上用意されているうえ、さらにロゴや見出しをカスタマイズしてネットワークセキュリティ報告書を自動作成する機能を備えている。
両製品は当然、VDOMにも対応している。例えば、FortiManagerでは複数のVDOMが設定されているFortiGateを複数の管理ドメイン間で割り振ることができ、また、FortiAnalyzerではVDOMに対してテナントや顧客ごとに報告書の作成が行える。作成した報告書は該当する顧客に日時を指定し自動配信することもできる。
「データセンターにおけるセキュリティ製品の管理は煩雑さが増しています。一方、セキュリティ分野は専任のエンジニアが少ないため、データセンターのセキュリティ管理においては、いかに工数をかけずに効率よく運用できるかがキーになります。そこで、お勧めしたいのがUTMの運用管理の自動化や効率化を実現するFortiManagerとFortiAnalyzerの導入です」と竹内氏は語る。
データセンターがバリューを生み出せる「VSS」
さらに、同社はデータセンターに向けて仮想セキュリティサービス「Virtual Security Service」(以下、VSS)を提唱している。VSSとは、仮想化されたサーバのセキュリティ対策を仮想化に対応した共通ファイアウォール上で行うサービスだ。FortiGate、FortiManager、FortiAnalyzerを組み合わせることでデータセンター事業者がVSSを顧客サービスとして展開することができる。
VSSにおいて仮想FortiGateの用途は2つある。その1つは、仮想FortiGateごとに異なる設定を行い、それぞれをメニュー化するというものだ。例えば、全機能を利用できるA、アンチウイルスのみのBといった具合に、いくつものメニューを用意しておき、ユーザーがメニューを選択できるようにすることができる。
もう1つは、顧客ごとに1台の仮想FortiGateを提供する方法だ。企業は自社のセキュリティポリシーに合わせて利用する機能や各種設定を自由に変更することができる。VDOMの管理権は顧客に移譲することが可能なため、管理を自社である程度行いたいという顧客の要望にも対応可能だ
また、FortiManagerとFortiAnalyzerにはXML APIが公開されているため、表示方法を作り込める。この機能を用いてインタフェースを作り込んでユーザー向けのポータルサイトを構築すれば、プロビジョニングやカスタムポータルの作成ができる。これにより、インスタンスの追加やポリシー設定、Webフィルターの設定、セキュリティ報告書の閲覧など、サービスの自動運用が実現される。
こうした機能を用意することで、セキュリティに対する顧客のさまざまな要求に素早く対応し、データセンター事業者が独自のバリューを顧客に提供することが可能になる。
「データセンターが最も気にするのは、必要なパフォーマンスが本当に得られるかということです。当社の製品について、"本当にカタログ値が出るのか"と言われた時は、十分な検証を行って効果を体感していただきます。実際に使っていただくことで、パフォーマンスの違いが伝わるはずです」と竹内氏は力強く語る。
同社のアプローチは、汎用サーバ上で仮想マシンを起動させるバーチャルアプライアンスと異なり、ASICで高速化されたセキュリティ専用機上で仮想化を行っている。このため、仮想UTMでもデータセンターの高い要求にこたえるパフォーマンスが得られるというわけだ。
データセンターの今に対応できる性能を有するFortiGateなら、データセンターのビジネスを支え、ユーザーに安全をもたらしてくれるだろう。