ポリシーベースミラーリング機能

年々巧妙化するサイバー攻撃。中でも、実在の人物になりすまし、通常の業務で使うようなファイルをメールなどで送りつけてマルウェアに感染させる「標的型攻撃」が急増しています。こうした状況を受けて昨今では、ファイアウォールに加えてWAFやサンドボックスなどさまざまなセキュリティ機器を導入する企業が増えていますが、日々増加する通信量に対応するためには高性能のモデルを導入する必要があり、コストの肥大化が担当者の悩みとなっています。

これらの課題を解決する手段として注目を集めているのが、大容量トラフィックの中から必要なデータのみを抽出する「ポリシーベースミラーリング機能」です。この機能が搭載されたスイッチを活用し、特定のデータのみをWAF/IDS/サンドボックス/フォレンジックなどの機器に転送することで、コストの削減、帯域の最適化、セキュリティ対策の信頼性向上などが実現します。

IoT・クラウド時代のセキュリティ対策

2015年6月、日本年金機構が標的型攻撃を受け、125万件の個人情報が流出したのは記憶に新しいところです。昨今、この種の事件が頻発した影響もあり、ファイアウォールにより脅威の侵入を防ぐばかりでなく、ネットワーク内から情報が出ていくのを阻止するためにWAF/IDS・IPS/サンドボックス/フォレンジックなどのセキュリティ機器の追加導入を検討している企業が増えています。しかし最近では、IoTデバイスの増加やクラウドサービスの普及により通信量自体が増えており、膨大な量のトラフィックすべてを検査するためには広帯域に対応し、高性能な機器の導入が必要で、コストの肥大化は避けられません。

ポリシーベースミラーリング機能の基本動作

ネットワークのミラーリング機能は古くからある技術です。流れているパケットをモニタリング端末にコピーすることで、障害確認などの用途に利用されてきました。しかし、従来のミラーリングは、物理ポート/VLANに流れるパケットをそのまま転送してしまうため、通信量が増えれば増えるほど受信側の負荷が大きくなってしまいます。特に、業務で扱うファイルのサイズが肥大化し、IoTデバイスの普及も進んでいる現在、ネットワーク帯域は100Mから1G、さらには10G、100Gへと拡張されており、受信側の負荷も極大化しています。

一方、ここでご紹介するポリシーベースミラーリング機能は、あらかじめ指定した条件に一致したパケットのみをコピーして転送する機能です。出力パケットを絞り込むことで受信側の負荷を大幅に軽減できます。

ミラー技術のトレンド

セキュリティ対策での活用

ポリシーベースミラーリング機能は、セキュリティ機器と組み合わせることで、絶大な効果を発揮します。この機能を使えば、それぞれの機器にパケットを必要なだけ転送することができるので、帯域を大幅に節約でき、コストを抑えることが可能になります。また、冗長化や負荷分散が容易にできるため、セキュリティ対策の信頼性も向上します。

ポリシーベースミラーリング機能とセキュリティ装置

帯域を最適化しコストを削減

WAFやサンドボックスなどのセキュリティ機器を検討する場合、トラフィックの最大値に合わせてモデルを導入するのが一般的です。しかし、大容量通信が当たり前になった昨今、そのままミラーリングしてしまうと、広帯域に対応したハイエンドモデルでなければ処理が間に合いません。またトラフィックが増え、セキュリティ機器の性能が不足してきた場合は、上位のモデルとまるごと取り替えなくてはなりません。

ポリシーベースミラーリング機能を搭載したスイッチを導入すれば、取得したいパケットのみを抽出、転送することができるので、帯域を最適化でき、セキュリティ装置もより安価なもので済みます。結果、コスト削減が実現するわけです。また仮に将来、性能が不足したとしても、既存の機器を残したまま別の機器を増設(スケールアウト)すればよく、ミラーリングの分岐可能数まで台数を増やすことができます。

帯域ギャップの吸収によるコスト削減

セキュリティ監視システムの信頼性を向上

アラクサラのスイッチでポリシーベースミラーリング機能を利用することで、他にも以下のようなメリットが期待できます。

冗長化や負荷分散を容易に実現

証拠保全が目的のフォレンジック機器の場合、可能であれば冗長化を目指したいところです。この場合、マルチミラー機能を活用すれば、同一データを複数台の機器へ転送することが可能です。また、ポリシーの異なるデータを別々の機器へ転送することもできるので、負荷分散も容易に実現します。

トラフィックの取りこぼしを防止

ネットワークの急激な負荷増などで帯域の上限を一瞬だけ上回る「バースト」が発生すると、パケットが欠落してしまうケースがあります。しかしアラクサラのスイッチなら、最大帯域以下に平滑化してから機器へ送信することが可能な「シェーピング機能」を有しているため 、パケットの欠落を回避することができます。

障害や通信のボトルネックの低減

上記と同様のパケットミラーは「ネットワークタップ(TAP)」と呼ばれる機器を設置することでも実現可能ですが、特定データを抽出して転送できる高機能なTAPは非常に高価です。また、ハードウェアの数が増えることになり、そのぶんだけ障害や通信のボトルネックが発生するリスクも高くなります。その点、ポリシーベースミラーリング機能を備えたスイッチならシンプルにシステムを構成することができるので、こうしたリスクは低くなります。

特長2:セキュリティ監視システムの信頼性を向上

適用例 ネットワーク証拠保全ソリューション

ネットワーク上で送受信されるデータを収集、記録しておくネットワークフォレンジックは、セキュリティ対策としても非常に効果的で、今後も導入する企業は増えていくものと予想されます。しかし、ネットワークを流れるデータをすべて保存するとなると、対応するだけでも困難で、無駄も多くなります。そこでアラクサラでは、フォレンジックサーバと、アラクサラの汎用スイッチを組み合わせた証拠保全ソリューションを提案します。

具体的には、ポリシーベースミラーリング機能を使ってユーザやアプリケーションを識別し抽出、フォレンジックサーバにデータを送って記録・分析を行います。また、マルチミラー機能を使えば複数のフォレンジックサーバに同一のデータを保存することができるので、冗長性を確保することも容易。平滑化機能がバーストを抑止するため、証拠が欠落するおそれもありません。

このソリューションがあれば、サイバー攻撃などにより被害が生じた場合でも、被害範囲や攻撃経路などを迅速に特定することができます。また、送受信されるデータを監視することにより、不正なデータの送受信を検知し、アラームを発することも可能。内部不正を防止する効果も期待できます。

適用例:ネットワーク証拠保全ソリューション

関連プレスリリース
・テラビットスケールのクラウド環境に対応した、サイバー攻撃・内部不正対策のためのネットワーク証拠保全セキュリティソリューションを共同検証
http://www.alaxala.com/jp/news/press/2015/20150602.html

ポリシーベースミラーリング機能の今後

ポリシーベースミラーリング機能は、アラクサラの汎用スイッチに搭載、提供されます。まずは、2016年度第1四半期にシャーシ型ハイエンドスイッチ「AX8600Sシリーズ」と「AX8300Sシリーズ」が対応する予定です。2016年度第2四半期にはコンパクトL3シャーシ型コアスイッチ「AX4600Sシリーズ」にも拡張し、その後L2ボックス型スイッチ「AX2500Sシリーズ」、L3ボックス型スイッチ「AX3600Sシリーズ」と順次ラインアップを拡充していきます(※)。

また、対応するセキュリティ機器についても拡充を図るべく、将来的には各種セキュリティ機器で解析した結果をスイッチ側にフィードバックできるよう、連携APIを提供することも検討中です。

(※) 掲載日現在の情報です。予告なしに変更され、最新の情報と異なる可能性もありますので、あらかじめご了承ください。

ポリシーベースミラーリング機能の強化方針

関連プレスリリース
・ネットワークフォレンジックス/マルウェア検知の連携によるサイバー攻撃自動防御ソリューションを製品化
http://www.alaxala.com/jp/news/press/2016/20160602.html

該当製品
シャーシ:
ルータ: