公開日:2018 年 9 月
シスコで、アプリケーションのクラウドへの移行が進むにつれ、Cisco IT は、次世代のサイバーセキュリティ システムを、ネットワークに導入する必要がありました。既存のセキュリティ システムがキャパシティの制約を受けていることが原因で、社内のアプリケーションの一部で、パフォーマンスの問題が発生していたのです。これが、ユーザ エクスペリエンスと生産性に影響を及ぼし、ユーザから、パケット損失や輻輳によって、ビジネスに不可欠なアプリケーションで、パフォーマンスの低下や切断などが発生すると、報告を受けていました。
さらに、一部のクラウド接続では、セキュリティの可視性と制御を強化し、クラウドの脆弱性からシスコのネットワークを保護しなければなりません。また、シスコのセキュリティ チームが新たに定義した要件を満たす必要があります。
Cisco IT では、Cisco Firepower® 9300 セキュリティ アプライアンスを、新たな防御ソリューションの中心に据えて、こうした課題に対処しました。このキャリアグレードの次世代ファイアウォールにより、以下のことが可能になります。
Cisco IT は、お客様が同様の課題を抱えていることを理解しており、「Customer Zero(ゼロ番目の顧客)」として、製品の設計に影響を与える機会を得られました。開発プロセスの早い段階で、エンジニアリング チームにリアルタイムなフィードバックを行ったのです。このようにして、お客様が安心して購入できるシスコのセキュリティ ソリューションの構築を支援しています。
2018 年半ばの時点で、Cisco IT CloudPort の拠点の 75% 以上に、エンタープライズ ファイアウォールとして、Cisco Firepower 9300 を展開しました。Cisco IT が提供する CloudPort では、最適化されたセキュアな方法で、エンタープライズ ネットワークからクラウド リソースに接続できます。また、ラボ環境を保護する新しいモデルの一環として、その他の 4 つの拠点にアプライアンスを展開しました。2019 年の半ばまでに、主要な企業ハブすべてにアプライアンスを展開する予定です。
Cisco IT のエンタープライズ ファイアウォールにより、133,000 人以上のユーザにインターネットとクラウドへの接続を提供しながら、外部のサイバー脅威からシスコのエンタープライズ ネットワークを保護しています。一方で、ネットワーク リソースの需要が拡大しているため、Cisco IT の規模に合わせて拡張できる新しいファイアウォールが必要でした。「最も重要な目標は、パフォーマンスの問題に対処することでした。Firepower 9300 ハードウェアの導入により、ASA ソフトウェアを一時的に維持しつつ、こうした懸念をすぐに解消できました。これにより、毎年発生している、きわめて重大なネットワーク インシデントを 5 ~ 10 件なくすことができました」そう語るのは、Cisco IT でシニア ネットワーク エンジニアを務める Michael Ellison です。「以前は、拡張性を確保するために、3 つの異なるファイアウォール間でトラフィック エンジニアリングを行っていましたが、今では、1 つに集約でき、複雑さが軽減されています」
ハードウェアを交換したことで、トラフィックのスループットとパフォーマンスが、5 倍向上しました。今後 FTD ソフトウェアに移行すれば、運用コストに関する重大な懸念を払拭できます。また、悪意があると疑われるアクティビティを、これまでよりも早く検出し、被害を受ける前に除去することもできます。こうした利点を享受するために、できるだけ早く FTD に移行する予定です。
シスコは、世界中にある自社のラボで、210 万以上の IP アドレスを保有しており、そうしたラボが、世界 600 ヵ所から、社内ネットワークに接続しています。シスコのラボ ネットワークでは、新しいセキュリティ機能が非常に必要とされ、FTD への早急な移行が求められました。このアプローチによって、FTD を展開することの利点を確認でき、Cisco IT のエンタープライズ ファイアウォールに FTD を展開することに対する期待値を設定することもできました。
Cisco IT のネットワーク アーキテクトである Roel Bernaerts は、次のように述べています。「ラボは、本質的に動的で、高い柔軟性を必要としているため、Cisco IT では、ネットワークとセキュリティを、異なる方法で構築しています。すべてのラボを、それぞれ別の仮想オーバーレイ ネットワークに移行したことで、相互接続の数を 600 から 13 にまで削減できました。クラウド ポートに FTD を搭載した Firepower 9300 を導入することで、今では、優れた可視性が得られ、多くの防御ツールを利用できています。これにより、1 日で 18,000 件の新たなセキュリティ脅威を検出し、阻止できるようになりました」(図を参照)
ラボからのセキュリティ脅威は、これまで、ネットワークの内部でさらに検出され、通常、その被害を緩和するには、ラボ全体を切り離したり、特定のホストからのトラフィックをすべてブラックホール化したりする必要がありました。これは、シスコの新しい製品とソフトウェアの重要な提供に影響を及ぼしました。それだけでなく、インシデントの検証と緩和策の実施に数時間かかることで、脅威がラボ内に拡散したり、実稼働システムに侵入したりする可能性もありました。新しいソリューションでは、正当なトラフィックに影響を与えることなく、特定の脅威が自動的にブロックされます。また、より高度なポリシーが必要になります。このポリシーは、検出後数分内にプッシュされます。
Cisco IT では、FTD の導入を管理するために、高可用性の Firepower Management Center(FMC)アプライアンスのペアも導入しました。FMC により、一元化された場所から防御ポリシーを管理し、世界中のすべての FTD アプライアンスに、ただちにプッシュできます。また、これまで新しい機能を導入するには、コードのアップグレード時に専門的なスキルが必要でした。そのため、リソースの貴重な時間が浪費されたり、人的ミスによって重大なサービス停止が発生することがありましたが、FMC により、ボタンを押すだけで、新しいバージョンのコードを展開できるようになりました。
さらに、FMC では、セキュリティ アプライアンスを通過するトラフィックについて、洞察を得ることもできます。このデータを分析することで、ネットワークとセキュリティのポリシーを微調整する際に、十分な分析情報に基づいた意思決定を行えます。
以前の導入では、ネットワーク エンジニアは、セキュリティ アプライアンスにアクセスできず、パフォーマンスの問題のトラブルシューティングを容易に行えませんでした。FMC では、そうしたエンジニアが、対象のシステムを可視化できるようになりました。セキュリティ チームは、機密性のあるセキュリティ情報へのアクセスを引き続き制限できます。
Cisco IT での次世代ファイアウォールの導入は、まだ進行中ですが、すでに多くの利点を得られています。エンタープライズ ファイアウォールを FTD に移行すると、近い将来、次のような価値も期待できます。