コア セキュリティを支える、シスコの次世代ファイアウォールへの移行
公開日:2018 年 9 月
シスコで、アプリケーションのクラウドへの移行が進むにつれ、Cisco IT は、次世代のサイバーセキュリティ システムを、ネットワークに導入する必要がありました。既存のセキュリティ システムがキャパシティの制約を受けていることが原因で、社内のアプリケーションの一部で、パフォーマンスの問題が発生していたのです。これが、ユーザ エクスペリエンスと生産性に影響を及ぼし、ユーザから、パケット損失や輻輳によって、ビジネスに不可欠なアプリケーションで、パフォーマンスの低下や切断などが発生すると、報告を受けていました。
さらに、一部のクラウド接続では、セキュリティの可視性と制御を強化し、クラウドの脆弱性からシスコのネットワークを保護しなければなりません。また、シスコのセキュリティ チームが新たに定義した要件を満たす必要があります。
Cisco IT では、Cisco Firepower® 9300 セキュリティ アプライアンスを、新たな防御ソリューションの中心に据えて、こうした課題に対処しました。このキャリアグレードの次世代ファイアウォールにより、以下のことが可能になります。
- 拡張性の向上:トラフィックの継続的な増加に対応できる、高性能で拡張性の高い防御プラットフォームを利用する
ピーク時のクラウド トラフィックが、2017 ~ 2018 年から 200% 以上増加していました。これにより、輻輳とパケット損失が発生し、クライアントの生産性に影響が及びました。販売が終了している Cisco 適応型セキュリティ アプライアンス(ASA)ファイアウォールを、Firepower 9300 ハードウェアに置き換えることで、こうした拡張性の問題を迅速に解決できました。これで、将来のトラフィック増加にも備えることができます。 - 新しいセキュリティ制御の導入:新たに拡張したネットワークに、コスト効率の良い簡素化された方法で、セキュリティ ソリューションを導入する
エンタープライズ ネットワークを、従来の境界を越えてクラウドに展開する際には、そうした新たなネットワークにセキュリティ ソリューションを導入することが重要になります。これまでは、ネットワーク全体に専用のアプライアンスを数多く展開する必要があり、ホスティングと管理の費用も高額になりました。次世代ファイアウォールなら、デバイスのペアを 1 つ展開するだけです。これにより、以前は適切に制御できなかった環境で、必要な拡張性とセキュリティを実現できます。 - フットプリントの縮小と複雑さの軽減:既存のセキュリティ サービスを単一のプラットフォームに統合する
Cisco IT の従来の防御ソリューションでは、過度のラック スペース、電力、冷却が必要です。このため、ネットワークの複雑さが増し、セキュリティとネットワークのイベントを相互に関連付けることが難しくなります。Firepower Threat Defense(FTD)ソフトウェアを搭載した Firepower 9300 を使用することで、複数のセキュリティ ツールを 1 つのプラットフォームに統合できる拡張性と機能性を得られます。これにより、環境のフットプリントを縮小し、運用コストを削減できます。また、グローバル ポリシーの展開がシンプルになり、セキュリティの可視性がエンドツーエンドで向上します。(図を参照)
Cisco IT は、お客様が同様の課題を抱えていることを理解しており、「Customer Zero(ゼロ番目の顧客)」として、製品の設計に影響を与える機会を得られました。開発プロセスの早い段階で、エンジニアリング チームにリアルタイムなフィードバックを行ったのです。このようにして、お客様が安心して購入できるシスコのセキュリティ ソリューションの構築を支援しています。
2018 年半ばの時点で、Cisco IT CloudPort の拠点の 75% 以上に、エンタープライズ ファイアウォールとして、Cisco Firepower 9300 を展開しました。Cisco IT が提供する CloudPort では、最適化されたセキュアな方法で、エンタープライズ ネットワークからクラウド リソースに接続できます。また、ラボ環境を保護する新しいモデルの一環として、その他の 4 つの拠点にアプライアンスを展開しました。2019 年の半ばまでに、主要な企業ハブすべてにアプライアンスを展開する予定です。
企業のファイアウォール:ハードウェアの交換とソフトウェアの移行
Cisco IT のエンタープライズ ファイアウォールにより、133,000 人以上のユーザにインターネットとクラウドへの接続を提供しながら、外部のサイバー脅威からシスコのエンタープライズ ネットワークを保護しています。一方で、ネットワーク リソースの需要が拡大しているため、Cisco IT の規模に合わせて拡張できる新しいファイアウォールが必要でした。「最も重要な目標は、パフォーマンスの問題に対処することでした。Firepower 9300 ハードウェアの導入により、ASA ソフトウェアを一時的に維持しつつ、こうした懸念をすぐに解消できました。これにより、毎年発生している、きわめて重大なネットワーク インシデントを 5 ~ 10 件なくすことができました」そう語るのは、Cisco IT でシニア ネットワーク エンジニアを務める Michael Ellison です。「以前は、拡張性を確保するために、3 つの異なるファイアウォール間でトラフィック エンジニアリングを行っていましたが、今では、1 つに集約でき、複雑さが軽減されています」
ハードウェアを交換したことで、トラフィックのスループットとパフォーマンスが、5 倍向上しました。今後 FTD ソフトウェアに移行すれば、運用コストに関する重大な懸念を払拭できます。また、悪意があると疑われるアクティビティを、これまでよりも早く検出し、被害を受ける前に除去することもできます。こうした利点を享受するために、できるだけ早く FTD に移行する予定です。
ラボ向けの FTD 設計を直に経験
シスコは、世界中にある自社のラボで、210 万以上の IP アドレスを保有しており、そうしたラボが、世界 600 ヵ所から、社内ネットワークに接続しています。シスコのラボ ネットワークでは、新しいセキュリティ機能が非常に必要とされ、FTD への早急な移行が求められました。このアプローチによって、FTD を展開することの利点を確認でき、Cisco IT のエンタープライズ ファイアウォールに FTD を展開することに対する期待値を設定することもできました。
Cisco IT のネットワーク アーキテクトである Roel Bernaerts は、次のように述べています。「ラボは、本質的に動的で、高い柔軟性を必要としているため、Cisco IT では、ネットワークとセキュリティを、異なる方法で構築しています。すべてのラボを、それぞれ別の仮想オーバーレイ ネットワークに移行したことで、相互接続の数を 600 から 13 にまで削減できました。クラウド ポートに FTD を搭載した Firepower 9300 を導入することで、今では、優れた可視性が得られ、多くの防御ツールを利用できています。これにより、1 日で 18,000 件の新たなセキュリティ脅威を検出し、阻止できるようになりました」(図を参照)
ラボからのセキュリティ脅威は、これまで、ネットワークの内部でさらに検出され、通常、その被害を緩和するには、ラボ全体を切り離したり、特定のホストからのトラフィックをすべてブラックホール化したりする必要がありました。これは、シスコの新しい製品とソフトウェアの重要な提供に影響を及ぼしました。それだけでなく、インシデントの検証と緩和策の実施に数時間かかることで、脅威がラボ内に拡散したり、実稼働システムに侵入したりする可能性もありました。新しいソリューションでは、正当なトラフィックに影響を与えることなく、特定の脅威が自動的にブロックされます。また、より高度なポリシーが必要になります。このポリシーは、検出後数分内にプッシュされます。
インフラストラクチャを一元的に管理
Cisco IT では、FTD の導入を管理するために、高可用性の Firepower Management Center(FMC)アプライアンスのペアも導入しました。FMC により、一元化された場所から防御ポリシーを管理し、世界中のすべての FTD アプライアンスに、ただちにプッシュできます。また、これまで新しい機能を導入するには、コードのアップグレード時に専門的なスキルが必要でした。そのため、リソースの貴重な時間が浪費されたり、人的ミスによって重大なサービス停止が発生することがありましたが、FMC により、ボタンを押すだけで、新しいバージョンのコードを展開できるようになりました。
さらに、FMC では、セキュリティ アプライアンスを通過するトラフィックについて、洞察を得ることもできます。このデータを分析することで、ネットワークとセキュリティのポリシーを微調整する際に、十分な分析情報に基づいた意思決定を行えます。
以前の導入では、ネットワーク エンジニアは、セキュリティ アプライアンスにアクセスできず、パフォーマンスの問題のトラブルシューティングを容易に行えませんでした。FMC では、そうしたエンジニアが、対象のシステムを可視化できるようになりました。セキュリティ チームは、機密性のあるセキュリティ情報へのアクセスを引き続き制限できます。
統合セキュリティ ソリューションが将来もたらす利点
Cisco IT での次世代ファイアウォールの導入は、まだ進行中ですが、すでに多くの利点を得られています。エンタープライズ ファイアウォールを FTD に移行すると、近い将来、次のような価値も期待できます。
- 運用コストの削減:Firepower 9300 では、サポートおよび管理対象のセキュリティ デバイスの数を、きわめて効果的に統合できる拡張性と能力を得られます。具体的には、116 から 26 に削減できます。これにより、複雑さを大幅に軽減し、多くの障害点や、重大なインシデントの主な原因をなくすことができます。ひいては、1 週間当たり約 20 人時間の工数が削減され、運用コストが減少します。
- データセンターのフットプリントの削減:上記のようにデバイス数を縮小することで、1 つのデータセンター当たり、40 ラック ユニットを削減できます。これが、データセンターとコロケーション施設の電力、冷却、ラック スペース関連の節約につながります。これにより、全体で、年間 50 万米ドル以上のコストが削減される見込みです。
- 速度の向上:現在、Cisco IT が管理する世界中のすべてのエンタープライズ ファイアウォールに、エンジニアがアクセス リストの変更をプッシュする場合、6.5 時間以上かかります。すべてのデバイスを FMC で管理すると、これが 30 分未満に短縮されます。その他のセキュリティ ポリシーの変更や、ネットワーク最適化をプッシュする場合も、同様の速度と時間の節約が期待できます。
- 自動化とオーケストレーションの簡素化:Firepower 9300 と FMC 向けの API を公開することで、新しいネットワークおよびセキュリティ サービスを、エンドツーエンドで導入およびオーケストレーションできることが期待されます。さらに、API により、日常的なセキュリティ アクティビティの自動化が向上します。オーバーヘッドが大きく、以前は困難であった 1 回限りの変更も、簡単に自動化できるようになります。