複数層セキュリティ向けSSLトラフィック のアクティブ

ホワイト・ペーパー
複数層セキュリティ向けSSLトラフィック
のアクティブ・ビジビリティ
動的で拡大する脅威に直面している多くの組織は現在、セキュリ
ティに複数層アプローチを採用し、インラインとアウトオブバン
ド・セキュリティ・アプライアンスやツールを活用して重要な情
報資産を保護しています。インライン・アプローチでは、保護が
必要な重要な場所で、セキュリティ・アプライアンスをネットワー
クとインライン状態に維持しますが、アウトオブバンド・アプロー
チでは必要な検査を行うために、セキュリティ・アプライアンス
に渡すトラフィックのコピーを使用します。
複数層セキュリティの導入は、Webアプリケーション・ファイアー
ウォール、マルウェア検知、侵入検知または防止(IDSまたは
IPS)、データ損失防止(DLP)、さらにはネットワーク・トラフィッ
クの各種コンポーネントをリアルタイムに検査するその他のネット
ワーク・セキュリティ・デバイスにも及ぶことがあります。
この種のセキュリティ・ソリューションで脅威の検出と攻撃阻止
を行うためには、関連性、一貫性、精度の高いネットワーク・ト
ラフィック・ストリームでなければなりません。ところが、エン
タープライズ・ペイロードのタイプやパターンの変化により、デー
タ・センターの管理者は複数層セキュリティ戦略の導入に不可欠
な包括的なネットワーク・ビジビリティが得られません。
複数層セキュリティにおけるSSLのハードル
SSLトラフィックを処理できるセキュリティ・ツールですら、最
大80%もパフォーマンスが低下してしまいます。今日のエンター
プライズ・インフラストラクチャではSSLが非常に重要なので、ト
ラフィック・ビジビリティが十分確保できなければ、エンドポイ
ントやDMZサーバーが潜在的なサイバー攻撃にさらされます。
世界中のWebサーバーの約20%が使用しているOpenSSLで見つ
かったHeartbleedという脆弱性で、たった1つの脆弱性が組織に
及ぼす影響の大きさを認識させられました。サイバー犯罪者は検
知されないまま、X509証明書の暗号化とシグネチャに基づくあら
ゆる保護を簡単に迂回したのです。
事実、Gartner1のアナリストは、2017年には、エンタープライズ
を標的としたネットワーク攻撃の半分以上が、暗号化トラフィック
を使用してコントロールを迂回するようになると考えています。
ハッカーやサイバー犯罪者が暗号化SSLにボットネットやマルウェ
アを混入させることが多くなったため、暗号化SSLセッションは、
安全性確保ではなく、新たな脅威の源になっています。そのため、
この種のセッションの脅威を検出するためのビジビリティを提供
することが、エンタープライズ・セキュリティ・イニシアチブに
は不可欠になっています。
暗号化トラフィックの増加によるトラフィッ
クの複雑化
エンタープライズ・トラフィックの25%~35%がSecure
Sockets Layer(SSL)接続で伝送されているため、ビジビリティ
不足はさらに深刻化しています。皮肉なことに、SSL暗号化は電
子メール、eコマース、voice-over-IP(VoIP)、オンライン・バ
ンキング、リモートでの状態確認、その他のWebサービスのセキュ
リティ維持には欠かせないものです。
同時に、仮想化と分散されたミッションクリティカルなアプリケー
ションによって、リーフスパイン・データ・センター・トポロジー
でのeast-westトラフィック量が増加し、40Gbおよび100Gbネッ
トワーク接続への移行に拍車がかかっています。
にもかかわらず、多くのセキュリティ・ツールは、増加するこの
トラフィック・セグメント内のデータ(機密データや個人データ
を含むことが多い)を復号化、または監視することができません。
データ・センターにおけるこのような盲点は、ネットワーク・ビ
ジビリティの妨げになり、最終的には監視やセキュリティの障害
にもなってしまいます。
データ・センターの管理者がネットワークおよびリーフとスパイ
ン・スイッチ間のVM間のアクションの監視を開始すると、セキュ
リティ・ソリューション用にデータ収集が必要なポイントが増え
ます。クラウド・コンピューティング、モバイル、BYOD(私的
デバイスの業務での使用)などのイニシアチブはいずれも、複雑
性や多様性、十分な監視に必要なビジビリティへの障壁などの課
題を増大させていることが、EMA Researchの調査で判明してい
ます。2
FD’Hoinne, Jeremy and Hils, Adam.『Security Leaders Must Address Threats From Rising SSL Traffic(セキュリティ・リーダーはSSLトラフィック増による脅威に対処すべき)』。Gartner Report、2013年12月9日。
1
「Software Defined Monitoring: Keeping Monitoring and Management in Synch with Dynamic Networks & Infrastructures」、Enterprise Management Associates(EMA)のホワイト・ペーパー、2013年10月
2
© 2015-2016 Gigamon. All rights reserved.
1
ホワイト・ペーパー: 複数層セキュリティ向けSSLトラフィックのアクティブ・ビジビリティ
複雑さが増す中、ネットワークに直結された監視ツールによって
最大70%のトラフィックをドロップしており、CIOの半分以上が
仮想化に伴うデータの急増に悩まされていることが、業界の調査
でわかりました。3
NSS Labsによると、ファイアーウォール上でSSLトラフィックを復
号化するために、スループットが74%低下し、1秒あたりのトランザ
クション数が87.8%減少してしまうことがわかっています。そして
証明書発行機関が1024-bit RSA鍵から2048-bit以上の鍵に移行する
中、SSL復号化エンジンはさらに多くのワークロードに対応しなけれ
ばならなくなります。
ファイアーウォール、Webゲートウェイ、侵入防止システムのパ
フォーマンスが著しく低下したことで、トラフィックの復号化ま
たは再暗号化に伴うネットワーク・トラフィック検査コストが実
質的に倍増してしまいました。これは、追加のワークロードに対
処するための初期ハードウェア購入コストと、アプライアンスの
初期コストに対する割合で設定されることが多いサポートおよび
ソフトウェア・コストの増加によります。
アクティブ・ビジビリティの必要性
セキュリティと運用管理のビジビリティはライブ・ネットワーク・
トラフィック・フィードに依存しているため、トラフィックベー
スのアプライアンスをネットワークに直結するという従来の方法
では、アジャイルで最新のエンタープライズには対応できなくなっ
ています。
そのため、トラフィックに依存するセキュリティや運用分析シス
テムには、高速なネットワークに対応した処理能力が必要になり、
重要なデータは専用ツールに送信しなければなりません。つまり、
重要なネットワーク・トラフィックを、この種のセキュリティ・
ツールに効率的に分散させることが不可欠なのです。総合的でス
ケーラブルなセキュリティを確保しながら、管理者は単一のデバ
イスがネットワーク内の単一障害点にならないようにして、イン
ライン・セキュリティの保守およびアップグレードによる中断や
ダウンタイムを最小化する必要があります。
この目標を達成するために、組織はアクティブ・ビジビリティ、
すなわちトラフィックベースのリアルタイム・ビジビリティを安
全で広範かつインテリジェントに活用する必要があります。
アクティブ・ビジビリティでは、WANへのインターフェース、デー
タ・センターのコア、サーバー内、サーバー間、アプリケーショ
ン・デリバリー・コントローラ(ADC)またはセキュリティ・ア
プライアンスの前後、さらには支店などのリモート・サイトといっ
た、ネットワーク内のあらゆる場所のトラフィックに対してイン
テリジェントなアクセスが可能です。
3
高可用性と複数のインラインおよびアウトオブバンド・セキュリ
ティ・ツールへのインテリジェントなトラフィック分散を組み合
わせることで、アクティブ・ビジビリティは必要なデータを、適
切な分析アプリケーションや運用ツールにリアルタイムに確実に
フィードします。これにより、組織は導入済みの運用ツールを統
合することができます。
管理者が各種のペイロード・タイプやパターンを完全に把握する
ためには、高速リンクと、SSLトラフィックを含む特殊なトラフィ
ックの両方に対応したアクティブ・ビジビリティが必要です。
SSL復号化の実施
SSL暗号化で生じた盲点に対するインサイト強化など、複数層セ
キュリティのためのアクティブ・ビジビリティを実現するために
は、組織は基礎になっているアプリケーションとデータの秘匿性
は確保しながら、アウトオブバンド監視のためにSSLトラフィッ
クを復号化し、ITサービス・デリバリーやネットワーク・パフォー
マンスを犠牲にすることなく、潜在的な脅威を明らかにする必要
があります。組織やアプリケーション開発者の間で最も一般的な
暗号化である、SSL/Transport Layer Security(SSL/TLS)によ
って、通信傍受は防止できますが、診断やトラブルシューティン
グは困難になってしまいます。
複数層セキュリティと秘匿性の高い暗号化トラフィックに対して、
管理者はSSL/TLS暗号化ネットワーク通信のためのパフォーマン
ス監視ソリューション要件を分析する必要があります。分析プロ
セスの各段階を検討、理解し、適切なポリシーやフィルタを設定
することで、主要なSSL/TLSトラフィックのビジビリティを確立
することができ、これにより復号化されたデータを適切に処理し
て機密データに対するリスクの増大を回避できます。
たとえば、機密データが悪用されないようにするため、復号化さ
れたパケットをAES 256暗号化で保存して保護します。あるいは、
移動の際は、強力なAAA(認証、承認、アカウンティング)機能
でユーザー・アクセスを制御して、TLSで保護します。SSL/TLS
トラフィックを適切に処理することで、ITチームはエンタープラ
イズの機密データを保護しながら、アプリケーション・パフォー
マンスを完全に把握できます。
それでも、パフォーマンス監視とセキュリティ・フォレンジック
のためにITが従来から使用しているツールでは、リアルタイムの
SSLトラフィック復号化による追加の処理負担には十分対応でき
ません。SSLも復号化する監視ツールを導入すると、一般にツー
ル・パフォーマンスが低下し、監視コストも増加してしまいます。
Gartner、2014年CIOアジェンダ: 「An Asia/Pacific and Japan Perspective」
© 2015-2016 Gigamon. All rights reserved.
2
ホワイト・ペーパー: 複数層セキュリティ向けSSLトラフィックのアクティブ・ビジビリティ
Gigamonでは、複数のツールに復号化済みのプレーンなトラフィッ
クを提供することで、この問題を回避しています。専用の復号化ア
プライアンスを使用することで、組織は以下の方法で複数層セキュ
リティに対応できます。
•セキュリティ・ツールによるSSLトラフィックの復号化が不要
になります。これにより、セキュリティ・ツールへの膨大な処
理負担を取り除くことができ、セキュリティ・ツールのパフォー
マンスを最大化することができます。SSL暗号化をオフローディ
ングすることで、ネットワーク全体の複数のTAPの大量トラフィ
ックを処理できるように監視環境を拡大できます。
• 複数の監視ツールへの暗号化トラフィックのフィルタリングと
レプリケーションにより、組織は複数のツール用に、複数の復
号化ライセンスを調達する必要がなくなります。また、ネット
ワーク・トラフィックの復号化が1度だけで済みます。
SSL復号化をアクティブ・ビジビリティと組み合わせることで、広
範でインテリジェントなリアルタイム・アクセスが可能になり、
エンタープライズの複数層セキュリティ・インフラストラクチャ上
のトラフィック・フローに関するインサイトを確保し、以下が実
現できます。
•マルウェア検知
• データ・ロス防止
•アプリケーション・パフォーマンス監視
•クラウド・サービス監視
ビジビリティ・ファブリックによるアクティ
ブ・ビジビリティ
GigaSMARTで実現する高度なトラフィック・インテリジェンスの一
例として、SSL復号化が挙げられます。ビジビリティ・ファブリ
ックでこの機能を有効化すると、SSLセッションを復号化し、アウ
トオブバンド監視ツールにトラフィックを送信します。Gigamon
のアプローチによって、アウトオブバンド・セキュリティ・ツー
ルの導入に包括的で高度なセキュリティ・サービスを提供するこ
とで、ツールのパフォーマンスを最大化することができます。
Z K Re s e a r c h の 創 設 者 兼 プ リ ン シ パ ル ・ ア ナ リ ス ト 、 Ze u s
Kerravala氏によると、大量トラフィック処理では、ビジビリティ・
アプライアンスなどのハードウェアベースの専用プラットフォー
ムのほうが、コモディティ・プラットフォーム上のソフトウェア
ベース・ソリューションよりもはるかに優れています。4
Gigamonのビジビリティ・ファブリック・ノードは拡張性を備え
ており、高可用性モードでインライン・トラフィック・セキュリ
ティに対応できるモジュールも含まれています。また、複数のイ
ンラインおよびアウトオブバンド・セキュリティ・ツールに、イ
ンテリジェントに負荷分散を行うこともできます。このノードは
インテリジェンスと堅牢なバイパス機能を使用して、重要なITト
ラフィックと、悪意のある行為を防止するためのインライン・ツー
ルの両方を保護します。アウトオブバンドの監視ツール用のトラ
フィックも、どこからビジネス・ファブリックに入ったのかに関係
なく、GigaSMARTインテリジェンスを活用することができます。
Gigamonのビジビリティ・ファブリック・ノードは各ツールに関
連しているデータを送信し、接続されたインライン・ツールの状
態を継続的に監視し、バイパス機能を活用してネットワークの可
用性を維持して保護します。
このアプローチのパイオニアとして、Gigamonは以下の特長を備
えたGigamonビジビリティ・ファブリックを提供しています。
•アクティブ・ビジビリティ特性
「FireEyeプラットフォーム内の複数のソリューション(インラ
• 共通のサービスおよびパフォーマンス管理ツールとしてのSSL
復号化
Gigamonは、最新のサイバー脅威を検出および回避しようとする
ビジビリティ・ファブリック内の高性能なノードにより、物理、
仮想、リモート・サイト、および今後のSDN/NFV(ソフトウェア
定義/ネットワーク機能仮想化)実稼動ネットワークにわたって広
範なビジビリティを提供します。ビジビリティ・ファブリックの
基盤になっているGigamon GigaVUE®ファブリック・ノードはモ
ジュール式で、1Gb 1RUノードから2.4Tbシャーシベース・ソリ
ューションまで幅広い規模と性能要件に拡張可能です。
イン、アウトオブバンド)でのトラフィック負荷分散が可能な
組織にとって、理想的なパートナーです。 … 顧客はセキュリティ・
アーキテクチャのスケール・アウト、インラインへの製品の移動、
高可用性ペアの導入によって、全体的なセキュリティを強化する
ことができます。」
–Steve Pataky氏、Worldwide Channels and Alliance担当
シニア・バイス・プレジデント、FireEye
ビジビリティ・ファブリック・ノードは、Gigamonが特許を
取得しているFlow Mapping ® などのファブリック・サービス
や、Gigamonの特許技術であるGigaSMART ®で稼働する高度な
トラフィック・インテリジェンス・アプリケーションを活用して、
トラフィックをインテリジェントに選択、アクセス、変換し、セ
キュリティ・ツールに渡します。
4
GKerravala, Zeus.(2014年10月29日)Network Intelligence http://www.networkworld.com/article/2840713/cisco-subnet/gigamon-rolls-out-active-visibility-stays-ahead-of-the-commodity-curve.html
© 2015-2016 Gigamon. All rights reserved.
3
ホワイト・ペーパー: 複数層セキュリティ向けSSLトラフィックのアクティブ・ビジビリティ
ビジビリティ・ファブリックによる効果的な複数層セキュリティ導入のための5つのステップ
ステップ1 – 主要なすべてのリンクをタップし、Gigamonのビジビリティ・ファブリックに接続する
セキュリティに不可欠なビジビリティは、ネットワーク内の複数の場所をタップし、SPANポートで補うことから始
まります。40Gbの双方向リンクによる高速ネットワークでも、タップによってネットワークやアプリケーション・
パフォーマンスが影響されることはありません。Gigamonのビジビリティ・ファブリックはデータにアクセスする
必要があるITインフラストラクチャ、セキュリティおよび監視ツールをリンクし、接続されたネットワークのTAPと
SPANからのトラフィックを受信します。
ステップ2 – 監視対象のフローを選択し、セキュリティ・ツールを接続する
セキュリティ・ツールはビジビリティ・ファブリックによって関連するトラフィックにアクセスできなければなりま
せん。これにより、ネットワークの監視によって脅威を検知し、アクションが必要な場合にアラートを送信します。
たとえばサーバー内のVMトラフィックの場合、物理レイヤーをタップするだけでは完全に網羅できません。したが
って、管理者は仮想トラフィックをタップするだけでなく、ビジビリティ・ファブリックに転送するトラフィックも
選択する必要があります。
検出した脅威に迅速に対応するために、インラインに導入する前に、アウトオブバンドでツールをインストール、構
成、最適化することができます。インライン導入が単一障害点になるリスクはバイパス技術で回避することができま
す。これにより、停電発生時には有線に切り替え、インライン・ツールの障害を検出した場合は冗長パスへのフェイ
ルオーバーを行います。
ステップ3 – 暗号化鍵のセキュリティ確保
監視が必要なフローを特定したら、GigaSMARTエンジンが暗号化用の公開鍵と秘密鍵を使用してSSLトラフィック
の復号化を行います。トランザクション開始時に交換した公開鍵を特定し、管理者がアップロードした秘密鍵は暗号
化後、厳重なパスワードとロール・ベースのアクセス・コントロールによって保存されます。
ステップ4 – GigaSMARTのトラフィック・インテリジェンスを活用
GigaSMARTモジュールには、SSL復号化を処理する高性能なコンピュート・エンジンが含まれています。SSL処理
ニーズが増大しても、ビジビリティ・ファブリック・ノードにGigaSMARTモジュールを追加するか、ビジビリティ・
ファブリックで複数ノードのクラスタ化を行うことで、スループットをさらに高めることができます。
各種トラフィック・プロファイルに対して、豊富なGigaSMARTアプリケーションでのサービス連携や適用が可能で
す。複数のビジビリティ・サービスを組み合わせて実行することで、セキュリティ範囲が最大化できます。たとえ
ば、SSLトラフィックを復号化し、パケットの一部をスライシングまたはマスキングして機密データを保護すること
もできます。あるいは、カプセル化ヘッダーの除去前、または除去後に、NetFlowや他のネットワーク・メタデータ
をトラフィックから生成することもできます。これにより、組織は分散されたすべてのデバイスを一元化された管理
システムで制御しながら、垂直市場での個別のニーズに対応できます。
ステップ5 – ビジビリティ・ファブリックの管理を統合
Gigamonのファブリック・マネージャー、GigaVUE-FMでは、ビジビリティ・ファブリック全体のこの種の機能を一
元管理できます。これにより、組織は以下によって、所有コストの削減、パフォーマンスとアジリティの向上が可能
になります。
•ファブリック全体のレポーティング機能
「Gigamonのビジビリティ・ファブリックによってビジビリティが
• 概要表示とカスタマイズが可能なダッシュボード
得られ、IT組織の各種サイロを網羅した大規模なコラボレーショ
• 拡張レポートにより、使用率が最も高いまたは
低いツール・ポートを可視化し、ビジビリティ・ ンが実現します。また、組織や保存しているデータの安全性を確保
ファブリック全体のトラフィック・マップを表示 する各種セキュリティ・ツールも把握できます。これにより、プロ
•セキュリティ・コンプライアンスのための監
バイダーやメンバーで構成されたネットワークで、必要な情報に、
査証跡サポート
必要なタイミングで安全にアクセスできるようになります。」
•オフラインでの確認用にレポートをエクスポー
–J. Scott Haugdahl氏、ミネソタ州の大手ヘルス・プラン組織
ト可能
のプリンシパル・アーキテクト
• RESTベースのインターフェースを外部システ
ムと統合
© 2015-2016 Gigamon. All rights reserved.
4
ホワイト・ペーパー: 複数層セキュリティ向けSSLトラフィックのアクティブ・ビジビリティ
Gigamonビジビリティ・ファブリック・イン
テリジェンスの拡大
ビジビリティ・ファブリックは、複数層セキュリティのための柔
軟で拡張性の高いビジビリティ・プラットフォームです。Flow
MappingやGigaSMARTアプリケーションを、ビジビリティ・ファ
ブリック内に追加することができます。
セキュリティ・ツールをインラインに配置すると、対象となるト
ラフィックだけをインライン・セキュリティ・ツールに送信し、
それ以外をバイパスすることで、パフォーマンスを高めることが
できます。GigamonのインラインFlow Mappingにより、関心の
ある特定アプリケーションに基づき、インライン・セキュリティ・
ツールにトラフィックを選択的に送信できます。この機能によっ
て、ユーザーが定義したマップ・ツールに基づき、特定のトラフィ
ックを1つ以上のツールに転送できるため、他のツールで分析が必
要なトラフィックがドロップされることがありません。
アウトオブバンド・ツールは、インライン・ツールとの間で送受
信するトラフィックのコピーを検査することで、インライン・ツー
ルを補うことができます。たとえば、セキュアなことがわかって
いるトラフィックはインライン・ツールを完全にバイパスするこ
とができますが、ネットワーク・フォレンジック用のレコーディ
ング・システムなど、アウトオブバンド・ツールに並行して送信
します。トラフィックを高性能なNetFlowやメタデータ生成エン
ジンに送信して、NetFlowやメタデータ・レコードを生成するこ
ともできます。
複数のネットワーク・リンクから多対多、多対1のトラフィック統
合を行うことで、インライン・バイバスの効率をさらに向上でき
ます。問題のある、または保守用に取り外したツールをバイパス
することで、インライン・ツールのシリアル導入の冗長性を高め、
実稼働ネットワークの中断を最小化します。バイパス実施時にビ
ジビリティ・ファブリックから送信されるアラートにより、適時
に、秩序立てて保守を行えるようになり、緊急エスカレーション
の必要性がなくなります。
対応範囲の最大化
SSLの使用拡大に伴い、あらゆるビジビリティ・ソリューション
で対応可能な範囲を最大化することが重要になっています。これ
により、SSL復号化アプライアンスを多数導入しなくても、イン
フラストラクチャのあらゆる部分からのトラフィックを迅速に検
査できるようになります。これは、ビジビリティ・ファブリック
の対応範囲を拡大し、ビジビリティ・ファブリック内の機能豊富
なコア・ノードとのクラスタ化が可能な、費用対効果の高いアク
セス・ソリューションによって実現します。Gigamonではトラフィ
ック取得範囲を拡大するために、以下を含む各種オプションを提
供しています。
• G i g a V U E TA シ リ ー ズ は ト ラ フ ィ ッ ク 集 約 用 の オ プ シ ョ ン
で、10Gb以上のネットワーク・リンクのトラフィックに効率よ
くアクセスできます。
• GigaVUE-VMはビジビリティ対象範囲を、仮想インフラストラ
クチャに拡大します。
•40Gb BiDi TAPは、コンパクトな1RUと3RUエンクロージャ、
および40GbB BiDi光モジュールで提供されています。40Gb
BiDiリンクにビジビリティ機能を提供した最初のベンダーとし
て、Gigamonは40Gb BiDiへのアップグレードを検討中のCisco
顧客向けに、アップグレード後もビジビリティを維持できる優
れた方法を提供しています。
• G i g a m o n の G i g a V U E H シ リ ー ズ ・ プ ラ ッ ト フ ォ ー ム
と、Quantaベア・メタル・スイッチなどの特定のサード
パーティ・ホワイト・ボックス・スイッチ・ハードウェア上
で、GigaVUE TAシリーズの稼働基盤になっているオペレーティ
ング・システム・ソフトウェア、GigaVUE-OSを実行すること
ができます。
REST API
Closed Loop Monitoring
Multi-tiered security
appliances
(inline or out-of-band)
GigaVUE-FM
NGFW
Core
switch
Spine
switch
Inline
Bypass
SSL
NetFlow
Decryption Generation
WAF
ANTI-MALWARE
Spine
switch
Leaf
switch
VM
VM
HYPERVISOR
GigaVUE-VM
Visibility Fabric
Leaf
switch
IPS
Core
switch
IDS
DLP
NETWORK FORENSICS
APT
図1:Gigamonの統合ビジビリティ・ファブリックは複数層セキュリティに対応し、エンタープライズ内のあらゆる場所から、運用シ
ステムやセキュリティ・デバイスのトラフィックへのアクセスを統合することにより、アクティブ・ビジビリティを実現
© 2015-2016 Gigamon. All rights reserved.
5
ホワイト・ペーパー: 複数層セキュリティ向けSSLトラフィックのアクティブ・ビジビリティ
「ビジビリティ・ファブリックに対するこのような機能強化は、監
視ファブリック分野における大きな進歩です。データ・センター
のより深い部分までビジビリティを拡大することで、適切な情報
がオンデマンドで得られます。管理用ファブリックの拡張でアプ
リケーション、パフォーマンス、セキュリティ監視のあらゆるレベ
ルで、組織の機能が強化されます。」
–Ted Turner氏、シニア・ネットワーク・エンジニア、Intuit Inc
ファブリック・マネージャーであるGigaVUE-FMは、ビジビリテ
ィ・インフラストラクチャ全体を網羅したコントロールおよび管
理プレーンを提供します。さらに、本書に記載しているすべての
ビジビリティ・ファブリックは同一の基本ソフトウェアで稼働す
るので、ビジビリティ・インフラストラクチャの管理が大幅に簡
略化できます。このようなベストインクラスのビジビリティ・イ
ンフラストラクチャにより、セキュリティ管理者はインフラスト
ラクチャ内の特定部分に限定されることなく、関心のあるあらゆ
るフローを柔軟に検査できます。Gigamonのビジビリティ・ファ
ブリックにより、セキュリティ・チームは定期保守まで、数日、
数週間、あるいは数か月待たなくても、1つのデバイスから次のデ
バイスにトラフィックを迅速にシフトさせることができます。
まとめ
変化する脅威環境やネットワーク・インフラストラクチャの進
化に伴い、セキュリティ・チームは、タイムリーな脅威インテリ
ジェンスによってネットワークを保護する複数層セキュリティ・
アーキテクチャの導入を進めています。しかしこのようなツール
の効果は、ツールが把握できる情報によって左右されます。さら
に、SSLなどの暗号化トラフィックの増加により、パフォーマン
スとセキュリティ監視の両方のビジビリティが制限されるだけで
なく、検査されないままのSSLセッションによってセキュリティ
脅威が拡大しています。
Gigamonではアウトオブバンド監視用にSSLトラフィックを復号
化し、Flow MappingとGigaSMARTトラフィック・インテリジェ
ンスを適用することで、この課題に対応しています。この種の機
能はビジビリティ・ファブリックと呼ばれる共通のビジビリティ・
プラットフォームによって提供されます。これにより、ますます
進化する脅威とネットワーク環境において、リスクの効率的な管
理と脅威への対処に必要なトラフィック・インテリジェンスを、
エンドツーエンドのビジビリティと共に提供します。
ビジビリティ・ファブリックについて
Gigamonのビジビリティ・ファブリックは、ネットワーク・トラ
フィックの高度なビジビリティ、修正、制御を可能にする分散ノー
ド・システムです。ビジビリティ・ファブリックは、アウトオブ
バンドとインライン・モードの両方で導入できます。アウトオブ
バンド・モードでは、実稼働ネットワークからのトラフィックの
コピーを、TAPポートまたはSPANポートからビジビリティ・ファ
ブリックにフィードし、次に高度なフィルタリングや処理インテ
リジェンスを適用後、セキュリティ、アプリケーション、ネット
ワーク・パフォーマンス、ユーザー・エクスペリエンス監視ツー
ルなどのITインフラストラクチャ監視/管理用ツールに送信しま
す。インライン・モードでは、ビジビリティ・ファブリック・ノー
ドは、他のインライン・セキュリティ・アプライアンスへの送信
用ネットワーク・トラフィック・フローを、他のネットワーク部
分に転送する前にビジビリティ・ファブリックを通過するステッ
プとして機能します。
ビジビリティ・ファブリックは、従来のネットワーキング・スイッ
チ/ルーターとは大きく異なります。ネットワーク・アドレス情報
(たとえばレイヤー2やレイヤー3のヘッダー)を基にトラフィッ
クを転送するネットワーキング・スイッチやルーターとは異なり、
ビジビリティ・ファブリック内のトラフィックは、ツールに関連
したコンテンツに基づいて転送されます。そのため、トラフィック
はパケットのコンテンツや、複数パケットにまたがる相互に関連
するトラフィック・フローに基づいてトラフィックが送信されま
す。こうしたトラフィック・ストリームは、複数のツール・セッ
トへの送信のために、ビジビリティ・ファブリック内で複製が必
要な場合があります。
このようなパケット複製もパケットのコンテンツと、相互に関連
するトラフィック・ストリームに基づいて行われるため、関連す
るトラフィックだけがツールに送信されます。これにより、ビジ
ビリティ・ファブリックは、従来のネットワーク・スイッチとは
まったく異なる、非常に特殊な機能になっています。
最大手のクラウド事業者、Fortune 1000のエンタープライズ企
業、行政機関、サービス・プロバイダーを含む、あらゆる先進企
業は、セキュリティやデータ・センターのビルドアウト・プラン
に欠かせない要素として、ビジビリティを組み込んでいます。
Gigamonについて
Gigamonは、インテリジェントな統合ビジビリティ・ファブ
リックを提供し、複雑化するネットワークの管理を容易にしま
す。Gigamonのテクノロジーは、インフラストラクチャの設計
者、管理者、オペレーターに対して、実稼働ネットワークのパフ
ォーマンスと安定性に影響を及ぼさずに、物理環境と仮想環境の
両方にまたがってトラフィックへの広範なビジビリティとコント
ロールを提供します。高可用性および高密度のファブリック・ノー
ドから成るポートフォリオは、特許を受けたテクノロジーと一元
化された管理を通じて、適切なネットワーク・トラフィックを管
理システム、監視システム、セキュリティ・システムにインテリ
ジェントに配信します。Gigamonソリューションは、世界中の企
業やデータ・センター、サービス・プロバイダーに導入されてい
ます。これには、Fortune 100の半数以上の企業や、政府や地方
機関も多数含まれます。
Gigamon統合ビジビリティ・ファブリックの詳細については、当
社のサイトをご覧ください:www.gigamon.com
© 2015-2016 Gigamon.All rights reserved.GigamonとGigamonのロゴは、米国および/または他の各国におけるGigamonの商標
です。Gigamonの商標の一覧は、www.gigamon.com/legal-trademarksに掲載されています。他の商標はすべて、それぞれの所
有者に帰属します。Gigamonは、この出版物を予告なしに変更、修正、移譲、あるいはその他の形態で改訂する権利を有します。
3300 Olcott Street, Santa Clara, CA 95054 USA | +1 (408) 831-4000 | www.gigamon.com
JP-3166-02 02/16