米ユニコーン企業のAviatrixが分散型のクラウドファイアウォール ソリューションを発表した。クラウドネットワークがますます多様化している昨今、一般的な次世代ファイアウォール（NGFW）製品は現状に対応できていないというのが同社の考えだ。新たな選択肢として、「NGFWと同じ機能を分散型で」提供するのが同ソリューションだという。ソリューションマーケティング担当バイスプレジデントのRob Stuhlmuller（ロブ・ストゥールマラー）氏が米SDxCentralの取材で語った。

Stuhlmuller氏の話では、パロアルトネットワークスやチェックポイント、フォーティネットといったベンダーが提供しているNGFWはデータセンターの時代の製品であり、「クラウドで同じことができる新しい方法がまだ存在しなかった」ために支持を得ていたにすぎないという。

分散型クラウド、ハイブリッドクラウドといった環境が普及している現在、単にクラウドにNGFWをボルトオンするだけでは十分とは言えない。しかし、「（NGFWベンダー各社は）データセンターの時と全く同じやり方をしています。クラウドに適した方法にはなっていません」とStuhlmuller氏は指摘する。

また、クラウドハイパースケーラーがNGFWベンダーと大きく異なる形でファイアウォールを構築したということもないようだ。Amazon Web Services（AWS）、Microsoft Azure、Google Cloudはいずれもファイアウォール サービスを提供しているが、3社とも大差のない集中型の運用モデルを採用している。「分散型で提供されるということはありませんでした――クラウドには分散型の方が適しているのですが」。氏は繰り返し強調している。

「クラウドというものは、境界がなく、アジャイルで、動的かつスケールアウトができるようになっています」。AviatrixのCEO、Steve Mullaney（スティーブ・マラニー）氏も補足する。「ネットワークセキュリティもそれに合わせなくてはなりません。真にゼロトラストでアジャイルな環境を実現するためには、分散型で、なおかつネットワークに組み込まれている必要があるのです。Aviatrixの分散型クラウドファイアウォール ソリューションはお客様のクラウドセキュリティ計画を劇的に変えるとともに、多くの費用を削減可能です」とアピールした。

Aviatrix、新しい製品カテゴリーを定義

同ソリューションでは、全ネットワークトラフィックを直接クラウドに送るのではなく検査ポイントを通すようになっている。ネットワークに脅威が侵入する経路になり得るためだ。この可能性に対処するため、Aviatrixはクラウドネットワーク全体にファイアウォール機能を組み込み、分散型の検査・実行機能を提供、集中管理ができるようにしている。

Stuhlmuller氏によると、さらにEast-WestファイアウォールやL7での複合化、ポリシーのフィルタリング・検査・実行といった機能を「クラウド全体に分散した形で」サポートしているという。中央に配置した単独あるいは複数のNGFWに全トラフィックを再ルーティングする方法とは対照的だ。

「様々なクラウドネイティブ ファイアウォール製品にもましてクラウドネイティブです。当社にとって画期的なソリューションでした」。米Choice Hotelsのエンジニアリング担当バイスプレジデント、Jason Simpson（ジェイソン・シンプソン）氏は言う。「Aviatrixはクラウドのネットワークセキュリティの方程式を反転させたと思います。トラフィックを中央の検査ポイントにリダイレクトするのではなく、クラウドネットワーク全体に検査・実行機能を分散させ、トラフィックが自然に流れていく先で利用できるようになりました」

Stuhlmuller氏はクラウドファイアウォールでAviatrixのようなアプローチを取っているベンダーは他にはないと断言する。一方で、「すぐに自分たちもやっていると主張する人々が現れるでしょう」とも予測している。「ですが、現在普及しているNGFWを採用して（仮想マシン）全台にインストールしたとしても、それをすべて個別のファイアウォールとして管理しなくてはならないのが現状です。実際に分散システムを構築しているわけではないので、方向転換するのには時間がかかるでしょう」

「こうしたことをやっているのは当社が最初ですから、現時点では本当にオンリーワンなのです」とStuhlmuller氏は胸を張った。

Aviatrix squares up to Palo Alto Networks, Checkpoint, Fortinet with distributed cloud firewall