Palo Alto Networksが提供するクラウドネットワークセキュリティソリューション

はじめに

こんにちは、今回のSEバーチャルチームシリーズを担当するソフトウェアファイアウォールチームの鈴木智明です。

ところで皆さん、「Palo Alto Networksのファイアウォール製品にはどんな種類がありますか?」と聞かれたらどうお答えになりますか?

残念ながら「ハードウェア アプライアンスとして提供されているだけですよね?」と回答される声が、まだ若干聞こえてきそうで悔しいところなのですが、じつは(私のチーム名からもわかるとおり)弊社はソフトウェア版のファイアウォール製品をたくさん提供しています。

たとえば 2024年3月現在、Next-Generation Firewall (以降「NGFW」)のソフトウェア提供のモデルは以下の3種類が用意されています(図1)。

• 仮想アプライアンス用のVM-Series
• コンテナ環境へ対応したCN-Series
• パブリッククラウド環境でマネージドモデルで提供するCloud NGFW

「ソフトウェア版もあるよね?」とお答えくださった皆さんのなかにも、「製品が増えてきたからライセンス体系や機能面での更新も増えて、ちょっとわかりづらくなってきた」という印象をお持ちのかたがいらっしゃるかもしれません。

たとえば、2012年から提供しているVM-Seriesは、2021年にライセンスが改訂されていますし、AWS環境のインフラストラクチャ管理をPalo Alto Networksが行うマネージドモデルの提供が開始されはじめたのは2022年、Azure環境向けのCloud NGFW for Azureの提供が開始されはじめたのは2023年です(図2)。

そこで今回は、それらのもやもやを解消すべく、ソフトウェア製品それぞれの製品ラインナップについて、改訂された箇所や更新された機能についてまとめていきたいと思います。とくにVM-Seriesのライセンスや機能面のアップデートと、CloudNGFW for AWSのアップデートを中心に取り上げますので、どうぞ最後までお付き合いください。

VM-Seriesのアップデート

VM-Series: 改訂されたライセンス

2021年より前の「Perpetual」ライセンスモデルは、いわゆるパッケージモデルです。このライセンスモデルでは、搭載されているvCPUやメモリーなどの型番を選択し、Threat PreventionやWildFireなどのセキュリティサービス(CDSS)のバンドル内容を選択して購入するしくみになっていました。

これに対し、2021年以降に「FLEX」ライセンスモデルが導入され、「クレジットベース」のライセンス体系に統一されています。「クレジットベース」は「あらかじめ購入いただいた利用券を必要なスペックやセキュリティ機能に応じて消費する」というライセンスモデルです。これにより、ファイアウォールのサイジングを柔軟に行えるようになり、必要なときに追加のセキュリティサービス(CDSS)を選択できるようになったので、調達プロセスを簡素化できます。

Perpetualモデルでは、クラウド環境下で急激なキャパシティ増減があった場合、パッケージモデル自体の買い替えが必要でした。これに対し、FLEXモデルでは必要なvCPUコア数を必要なだけ指定して購入することができ、無駄や手間を省けるようになりました。

セキュリティサービス(CDSS)も、バンドルするパッケージを選択する方式から、新たなサブスクリプションのリリース時に必要なものだけをすぐに選択できる方式になったため、無駄がありません。

しかも、カスタマーサポートポータル(CSP)サイトにアクセスすれば、購入したクレジットの利用状況も確認できて、わかりやすくて便利になりました。

このように、クレジットベースのFLEXのしくみは柔軟で無駄がありません。反面、クレジットがどのように消費されていくのかが若干わかりづらいかと思います。そこで、以下にいくつか具体例としてクレジット消費のシナリオを紹介しますので、どうぞ参考にしてください。「紹介されたシナリオでは自分の疑問が解消しなかった」「こういうシナリオだとどういう消費になりますか?」など、今回カバーできなかったケースがあれば、私たちソフトウェアファイアウォールチームにユースケースを教えていただければ嬉しいです。

ではさっそく2つの消費シナリオを見ていきましょう。

VM-Series: クレジット消費のシナリオ

消費シナリオ 1: 期間終了前にすべてのクレジットを消費するケース

• シナリオ: 期間が終了する前にすべてのクレジットを消費する。
• 購入したCredit: 1000 Credits。
• 期間: 12 ヶ月。

このケースで契約期間終了前にクレジットが不足した場合には、クレジットを追加購入することができます。たとえばこのシナリオの場合、比例配分された金額で8か月の期間のクレジットを追加購入できます。

消費シナリオ 2: サブスクリプションを期間終了前に途中でアンインストールしたケース

• シナリオ: 期間中に1つのファイアウォール(vCPU消費)とURLサブスクリプションをアンインストール。
• 購入したCredit: 1000 Credits。
• 期間: 12 ヶ月。

ファイアウォール、またはサブスクリプションをアンインストールしたケースです。その場合、それらで使われていたクレジットは、お客さまの「ウォレット」にクレジットバックされるので、それをまたべつの対象に再割り当てすることができます。ただし、期間終了時にクレジットが残っていても、そのクレジットは更新時に次の期間には引き継がれませんので、この点には注意が必要です。

VM-Series: 機能面のアップデート

• セキュリティサービス(CDSS)であるIoTセキュリティとSaaSインラインをクレジットで利用できるようになりました。
• Strata Cloud ManagerでVM-Seriesを管理できるようになりました。
• Threat Prevention (TP)、WildFire (WF)のEoS(サポート終了)にともない、サブスクリプションの内容が変更されました。
  ※ 2023年 11月以降はThreat Prevention (TP)、 WildFire (WF)はそれぞれAdvanced Threat Prevention (ATP)、Advanced WildFire(AWF)を選択してください。

参考情報

• IoTセキュリティ: IoTセキュリティの動作概要
• SaaSインライン: 既存インフラに優しいSaaSアプリの可視化と制約のない制御

Cloud NGFW for AWSのアップデート

Cloud NGFW for AWSとは

Cloud NGFW for AWSは、AWSプラットフォーム上で提供されるPalo Alto Networks次世代ファイアウォール(NGFW)のマネージドサービスです。

このマネージドサービスのリソースは、AWSの仮想プライベートクラウドであるVPC上で提供されています。また、レジリエンシー、スケーラビリティ、ライフサイクル管理が組み込まれていて、複数のAWSアベイラビリティゾーンをまたいでAWSリージョン内の異なる場所に分散しています。これらの特徴により、べつのアベイラビリティゾーンで発生した障害からの影響を抑えることができます。これらのアベイラビリティゾーンは、同じAWSリージョン内のほかのアベイラビリティゾーンへ、低レイテンシーでネットワーク接続を提供します。

参考情報

• Cloud NGFW for AWS:クラウドネイティブ サービスのシンプルさで高度なセキュリティ機能を実現: Cloud NGFW for AWS

Cloud NGFW for AWS: 機能面のアップデート

• PanoramaでのオンプレミスやVM-Series、Cloud NGFWの集中管理が可能になりました。
• Cortex Data Lakeへのログ保存が可能になりました。
• Cloud NGFWのカスタマー サポート サービス: スタート時のサポートサービスがスタンダートからプレミアムに変更されてサポート体制が拡充されました。

• セキュリティサービス(CDSS)でAdvanced Threat Prevention (ATP)とAdvanced WildFire(AWF) Advanced URL Filtering (AUF)を利用できるようになりました^[1]。
• 無料試用版の期間が15日間から30日間に延長されました。

Cloud NGFW Credit Estimatorを使ってクレジットを試算

ソフトウェア版のファイアウォール製品には、クレジットの消費を試算してくれるプログラムが用意されています。ここではそのプログラム、Credit Estimatorの使いかたを簡単に紹介します。なお、Cloud NGFW for AWSとVM-Series FLEXはどちらもクレジットを購入して利用する形式ですが、両者間でのクレジット転用はできませんのでご注意ください。

VM-Series、CN-Seriesのクレジット試算

	VM-Series/CN-Series用のCredit Estimatorにアクセス VM-Series、CN-Seriesの選択 ファイアウォールの数量 稼働させるインスタンスのvCPU 稼働環境
	利用するサブスクリプションの選択 Panorama Manage、Strata Cloud Manager利用の選択  ここで[For Management] にチェックを入れると、VM-Seriesのデプロイ時にPanoramaを新規に利用できるようになります。新規にデプロイするVM-Seriesを既存のPanorama (PAN-PRN型番)で管理する場合は[For Managment]にチェックを入れる必要はありません。 サポートオプションの選択

Cloud NGFWのクレジット試算

	Cloud NGFW用のCredit Estimatorにアクセス 稼働させるクラウドベンダーの選択 使用するファイアウォールリソースの数を入力 使用するAvailability Zoneの数を入力 利用するサブスクリプションの選択
	Panorama Manageを利用の有無を選択 Cloud NGFWを経由する月間通信量 ※既にAWSやAzureを利用中の場合は、そのクラウドベンダーのツールで値を見積もって入力してください。

おわりに

以上、いささか駆け足にはなりましたが、各ソフトウェアファイアウォール製品の最近のライセンス体系の変化や機能面での更新内容をまとめてみました。

VM-Seriesはさまざまなクラウド環境で利用できます。たとえば、AWS、Azure、Google Cloud Platform、Oracle Cloud Infrastructureなどのパブリッククラウドでも利用できますし、VMware vSphere、Hyper-V、KVMなどの仮想環境やCisco ACI、Nutanix、VMware NSX、OpenStackなどを活用したプライベートクラウドでも利用できます。

AWSとAzureに対しては、デプロイからソフトウェアメンテナンス、拡張などの運用まで、Palo Alto Networksが管理するフルマネージドサービスとしてCloud NGFWも提供しています。

ソフトウェアファイアウォールを使えば、これまでオンプレミスで培ってきた知見を、そのままクラウドネットワークインフラのセキュリティ対策に活用できるようになります。

「Palo Alto Networks 製品なら自社のマルチクラウド環境セキュリティ対策を一本化して簡素化できそう」「ソフトウェアファイアウォールを検討してみたいけど、ハードウェア版とどう違うのか、もうすこし詳しい説明がほしい」など、ご質問があれば、お気軽に私たち SE バーチャルチームまでご相談ください。

1. 2024-04-08 10:30 JST 訂正: Advanced WildFire (AWF)は今後の対応を予定しています。現在はAdvanced URL Filtering(AUF)を利用できます。↑