AWS セキュリティグループとパロアルトネットワークの仮想ファイアウォールの違い
Resolution
概要
企業がパブリッククラウドリソースを採用するにつれて、アプリケーションとデータのセキュリティ保護に目を光らせることが重要です。企業データは、自分以外のデータセンターに存在する可能性がありますが、 そのロケールに関係なく、企業 データであるためです。企業内のセキュリティ組織は、どこからでも、どこからでもアクセスできる企業アプリケーションやデータに調整する必要があります。これにより、セキュリティのために標準の境界モデルが効果的に侵食ます。境界は現在、アプリケーションとデータの周囲に存在します。
この移行には、パブリッククラウドベンダから提供されるセキュリティ機能についての理解と、提供していないものが同じように重要であることが必要になります。パブリッククラウド内の組み込みのセキュリティ製品は、パロアルトネットワークセキュリティプラットフォームによって提供されるものと同等ではありません。このドキュメントでは、これらの相違点の一部について説明します (特に AWS については同じ概念が Azure に適用されます)。また、プライベートデータセンター内での同じプラットフォームアプローチをパブリッククラウドに拡張する必要があるか、またはアプリケーションとデータがアクセス可能な場所にあるかを示します。
2つの比較は簡単には、組み込みのセキュリティ機能を現実には、パロアルトのネットワークプラットフォームのアプローチとは比較して明らかにする。実際には、彼らは補足され、一緒に展開する必要があります。AWS の場合、ビルトインセキュリティを無効にすることはできず、要件となります。ただし、ビルトインエンジンだけでセキュリティの姿勢を残すことは、AWS が推奨していないものでもあり ます[1]。
比較
次の表は完全ではありませんが、AWS パブリッククラウド内に組み込まれているセキュリティエンジンの一部として提供されていない機能のいくつかを強調しています。この表の最後に、AWS 固有のセキュリティコントロールのいくつかを示します。組織の決定は「1つまたは他方」ではなく、包括的なセキュリティ態勢のために両方のアプローチを活用することを覚えておくことが重要です。
主な機能 | パン | AWS |
ファイアウォール |
|
|
可視性と制御のためのアプリケーションの何千もの;カスタムアプリケーションを作成する機能。ポリシーに基づいて不明なトラフィックを管理する機能 | X |
|
ユーザーの識別と制御: vpn、WLAN コントローラ、キャプティブポータル、プロキシ、アクティブディレクトリ、eDirectory、Exchange、ターミナルサービス、syslog 解析、XML API | X |
|
詳細な SSL 復号化と検査 (インバウンドおよびアウトバウンド);ポリシーごとの SSH 制御 (インバウンドおよびアウトバウンド) | X |
|
ネットワーク: 動的ルーティング (RIP、OSPF、bgp、マルチプロトコル bgp)、DHCP、DNS、NAT、ルート再配布、ECMP、LLDP、BFD、トンネルコンテンツ検査 | X |
|
QoS: アプリケーションごとのポリシーベースのトラフィックシェーピング (優先度、保証、最大値)、ユーザーごと、トンネルごと、DSCP 分類に基づく | X |
|
ゾーン・ベースのネットワークセグメンテーションとゾーン保護新しいセッションのフラッディングに対する DoS の保護 | X |
|
脅威の予防 |
|
|
脆弱性の悪用、マルウェア、ボットネットなど、さまざまな脅威の予防 | X |
|
ハッシュやファイル名の代わりにペイロードに着目してポリモーフィックなマルウェアをブロックする | X |
|
保護は自動的に山火事で5分ごとに更新 | X |
|
高度なマルウェア対策 (山火事) |
|
|
動的解析: カスタム構築、回避耐性の仮想環境でのファイルの爆発、ゼロデイマルウェアや悪用の検出を可能にする | X |
|
スタティック分析: 動的解析を回避しようとするマルウェアおよびエクスプロイトの検出。既存のマルウェアの亜種の即時識別 | X |
|
機械学習: 各ファイルからのユニークな機能の数千の抽出、新しいマルウェアやエクスプロイトを識別するために予測マシンの学習分類器を訓練 | X |
|
ベアメタル分析: 自動的に爆発のための実際のハードウェア環境に送信される回避の脅威は、完全に反 VM 分析を展開する敵の能力を削除する | X |
|
すべての山火事加入者によって発見されたゼロデイマルウェアとエクスプロイトのための5分ごとに自動署名の更新 | X |
|
コンテキスト脅威インテリジェントサービス (オートフォーカス) |
|
|
標的産業を含む攻撃、敵、キャンペーンの前後の文脈 | X |
|
最も重要な脅威に対する優先度の高いアラートを含む、迅速な分析と応答の取り組み | X |
|
URL フィルタ リング |
|
|
悪意のあるサイトからの保護マルウェアや悪用のキットにあなたの人々やデータを公開 | X |
|
web ページを調べて、コンテンツと目的が本質的に悪意があるかどうかを判断することによって、資格情報フィッシングから保護します。カスタム URL カテゴリ、カスタマイズ可能なアラートと通知ページ。 | X |
|
ファイルとデータのフィルタリング |
|
|
ファイルの種類と社会保障番号、クレジットカード番号、カスタムデータパターンの不正な転送を双方向に制御 | X |
|
モバイルセキュリティ (グローバル保護) |
|
|
アプリ、ユーザー、コンテンツ、デバイス、デバイスの状態に基づいたリモートアクセス VPN (SSL、IPSec、クライアントレス・) およびモバイル脅威の防止とポリシーの適用 | X |
|
BYOD: ユーザーのプライバシーを保護するためのアプリレベルの VPN | X |
|
管理および可視性ツール (中央ポリシー管理) |
|
|
アプリケーション、ユーザー、脅威、高度なマルウェア対策、URL、ファイルの種類、データパターンを使用した直感的なポリシー制御-すべて同じポリシーで | X |
|
アプリケーションコマンドセンター (ACC)、完全にカスタマイズ可能なレポートを使用してトラフィックと脅威に実用的な洞察力 | X |
|
集計ログとイベントの相関関係 | X |
|
すべてのハードウェアおよびすべての VM シリーズ、ロールベースのアクセス制御、論理および階層デバイスグループ、およびテンプレートの一貫した管理 | X |
|
GUI、CLI、XML ベースの REST API | X |
|
ポリシーの自動化のための動的タグ付け |
|
|
セキュリティグループ間で侵害されたホストを移動するために、自動タグ付けと組み合わせた詳細なフィルタリングポリシーを使用する。すなわち たとえば、コマンドと制御トラフィックが見られる場合は、ホストを隔離します。 | X |
|
タグ付けポリシーを使用して、セキュリティ違反時に関連データを発券システムに自動的に送信する | X |
|
包括的な機能 |
|
|
IP/ポート/プロトコルベースのセキュリティ | X | X |
ポリシー内で使用されるポート範囲 | X | X |
ポリシー内のソースおよび/または送り先 (注: AWS はインバウンドとアウトバウンドを別々のルールとして分離します) | X | X |
CIDR ベースのルール | X | X |
ポリシー内の ACL に似た機能 | X | X |
トラフィックが VPC に入るとセキュリティが適用される | X | X |
ドロップ対ポリシー内の区別を拒否する | X |
|
AWS 固有の機能 |
|
|
AWS セキュリティグループをソース/送り先として使用する。* 注: パロアルトネットワークの代わりに、VPC の間のトラフィックを制御するための IPSec を使用することがあります。 | * | X |
トラフィックが VPC に入る前に適用されるセキュリティ。* 注: これは、補足的な機能は、パロアルトネットワーク仮想ファイアウォールと組み合わせて使用される。 |
| X |
AWS のみのセキュリティを使用した場合の影響
AWS 内で利用可能なセキュリティグループと acl のみを利用するには、保護の観点から25年前にセキュリティの姿勢を取り戻すことになります。これは、セキュリティグループのポート/プロトコル中心のアプローチによるものです。このメソッドを使用するすべてのことが必要だった時があった。HTTP トラフィックが tcp ポート80にのみ表示された場合、または Telnet トラフィックが tcp ポート23などでのみ見られた場合 これは、単にもうケースではない-と長年にわたってケースをされていません。アプリケーションのトラフィックは、ポートの広い範囲に存在するだけでなく、これらのポートは、多くの場合、巨大なスペクトルをカバーする自然の中で動的であることができます。これにより、ポートまたはポートの範囲に基づいてセキュリティポリシーを作成することができなくなり、これらの同じ既知のポートを使用するマルウェアへの扉が開きます。
厳密にポート/プロトコルベースのセキュリティを使用する場合のもう1つの問題は、多くのアプリケーションが同じポート範囲を使用する可能性があることです。最新のセキュリティでは、使用中のポートまたはプロトコルに関係なく、アプリケーションを区別する方法が必要です。次のスクリーンショットは、AWS モデルに組み込まれているポート/プロトコルベースのセキュリティを明らかにしています。
この例の「型」列に注目してください。これは、アプリケーションの認識と混同しないことです。これは単に、標準ポートを実際のルールに挿入するためだけに、リストからアプリケーションを選択する方法です。ポートまたはプロトコルに関係なく、アプリケーションの識別を実行するには、セッションパケットを詳細に検査する必要があります。しかし、これはポート/プロトコルベースのエンジンがどのように動作するかではありません。
企業データが企業データセンターまたはパブリッククラウド内に存在するかどうかは、セキュリティ態勢の中で攻撃面を縮小することが不可欠です。ビジネスに必要なアプリケーションをホワイトし、未知のアプリケーションを排除することにより、攻撃面が大幅に減少する可能性があります。たとえば、ロールまたはグループに基づいて必要なアプリケーション/データのみにアクセスするようにユーザーを制限すると組み合わせると、攻撃面は依然として低下します。これは、パロアルトネットワーク次世代ファイアウォールの高度な機能が必要です。これは、データが存在する場所に関係なく当てはまります。
AWS のビルトインセキュリティ機能はどこにありますか?それらは現代交通点検の取り替えよりもむしろ保証の補足の層として使用される。たとえば、VPC の境界 (外側) にあるセキュリティグループ機能を使用して、特定の ip 範囲 (geo ベース、または ip アドレスなど) からのトラフィックを削除できます。もう1つの潜在的なユースケースは、vpc への管理を制御するか、vpc 間のトラフィックを制御することです。高度な検査機能の要件は、AWS 組み込みセキュリティコンポーネントの使用以外にも存在します。
概要
要約すると、パブリッククラウドセキュリティに対する "1 つまたは他の" アプローチに関しては、2つの質問があります。
ユーザーと企業データ (境界とデータセンター) を保護し、完全に AWS ファイアウォール (セキュリティグループと acl) を使用して、HQ および支社の場所で NGFWs を放棄してもよいでしょうか。
答えが "no" の場合、パブリッククラウド内の企業データを保護するために AWS セキュリティのみを使用することは意味がありますか。
2つのコンポーネントは補足的なものであり、HQ および支社で複数のレイヤを使用する場合と同じように、まとめて展開する必要があります。
参照とメモ
[1] AWS 共有責任モデル: https://aws.amazon.com/compliance/shared-responsibility-model/
AWS およびパロアルトネットワーク VM シリーズファイアウォールをパブリッククラウドに展開するためのベストプラクティスを教えてください。
AWS VPC では、セキュリティグループとネットワーク acl によって、着信トラフィックとアウトバウンド交通が制御されます。セキュリティグループは EC2 インスタンスへのアクセスを制御しますが、ネットワーク acl はサブネットへのアクセスを制御します。パロアルトネットワークの VM シリーズファイアウォールを展開しているため、セキュリティグループとネットワーク acl でより寛容なルールを設定し、マルウェアや悪意のあるアクティビティのセッションを検査しながら、ファイアウォールが VPC 内のアプリケーションを安全に有効にできるようにします。
AWS セキュリティグループはポート/プロトコルを使用します。
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_Network_and_Security.html
"セキュリティグループを使用して、インスタンスにアクセスできるユーザーを制御できます。これらは、インスタンスに到達できるプロトコル、ポート、および送信元 IP の範囲を指定できる、受信ネットワークファイアウォールに似ています。複数のセキュリティグループを作成し、各グループに異なるルールを割り当てることができます。その後、各インスタンスを1つ以上のセキュリティグループに割り当てることができ、ルールを使用して、インスタンスに到達できるトラフィックを決定します。特定の IP アドレスまたは特定のセキュリティグループのみがインスタンスにアクセスできるように、セキュリティグループを構成できます。
http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html
"セキュリティグループは、1つ以上のインスタンスのトラフィックを制御する仮想ファイアウォールとして機能します。インスタンスを起動すると、1つ以上のセキュリティグループをインスタンスに関連付けます。各セキュリティグループに、関連付けられたインスタンスとの間のトラフィックを許可するルールを追加します。 「
http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html
"セキュリティグループによって満たされていない要件がある場合は、セキュリティグループを使用するだけでなく、任意のインスタンスで独自のファイアウォールを維持することができます。
セキュリティグループと acl の組み合わせは、AWS 内の "ファイアウォール" と呼ばれます。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html
"ネットワークアクセス制御リスト (ACL) は、1つ以上のサブネットに出入りするトラフィックを制御するためのファイアウォールとして機能する、VPC のセキュリティのオプションレイヤです。VPC に追加のセキュリティレイヤを追加するために、セキュリティグループと同様のルールを使用してネットワーク acl を設定することができます。 「
AWS ルールタイプは、単純にアプリケーションで通常使用される標準ポートに置き換えられます。
AWS アウトバウンドルールは、同じポート/プロトコル構文に従います。
次に示すのは、IPv4 のみをサポートする VPC の既定のネットワーク AWS ACL の例です。
AWS ACL の作成例: