プロキシベースのファイアウォールだけでは不十分な理由

This post is also available in: English (英語)

概要

長い間、プロキシベースのファイアウォールやWebプロキシは必須のセキュリティ コンポーネントと考えられてきましたが、問題は解決されていないままです。ユーザーの安全を確保するうえで、プロキシは本当に役に立つのでしょうか。

最初のプロキシベースのファイアウォールでは、インターネット上でユーザーのアクセスが可能なWebサイトを制御するという基本的なタスクを達成しました。その後、テクノロジの発展と進化により、マルウェアの検出とブロック、インラインのdata loss prevention (データ損失防止 – DLP)、SSL/TLSインスペクション、帯域幅制御といった追加機能が利用できるようになりました。

ただし、Webプロキシには効果的なセキュリティ ツールになれない重大な欠点があります。

1. 実装

プロキシベースのファイアウォールの実装状況を示す技術的詳細によっては、すべてのトラフィックが保護されるとは限らない可能性があります。クラウドのプロキシベースのファイアウォールを導入する最も一般的な方法は、プロキシ自動設定 (PAC) ファイルを使用するか、ユーザーのオペレーティング システムとブラウザの設定でプロキシ サーバのアドレスを指定することです。

PACファイルではJavaScriptの関数を使って、トラフィックの送信先、つまり明示的に指定されたプロキシ サーバを介して送信するか、あるいはインターネットに直接送信するかを決定します。明示的なプロキシのデプロイでは、すべてのブラウザ トラフィックがプロキシ サーバを介して送信されます。

このようなデプロイの主な問題を以下に示します。

  • すべてのアプリケーションがプロキシを認識するわけではない。アプリケーションの中にはプロキシ サーバのシステム構成を無視し、常にトラフィックを直接送出するものもある。
  • 経験豊富なユーザーであれば、VPN、サーバ側のブラウジング アプリケーション (Puffin Browserなど)、匿名および暗号化に対応するブラウジング アプリケーション (Tor Browserなど) といった手法を用いて容易にプロキシ サーバを回避できる。

2. 効果

プロキシベースのファイアウォールの設計では、最新のセキュリティ脅威に対処できず、検査できるプロトコルはHTTP、HTTPS、FTP、DNSなどに限られていました。つまり、Webプロキシだけを使用すると、トラフィックに重大な死角が生じ、非標準ポートまたは複数のプロトコルを使用するアプリケーションおよび脅威を特定できなくなります。さらに、プロキシにまったく対応していないアプリケーションもあり、その場合は回避する必要があります。

新しいアプローチ: セキュア アクセス サービス エッジ (SASE)

従来のWebプロキシ ソリューションの課題を解決するソリューションとして、セキュア アクセス サービス エッジ (SASE) が浮上しつつあります。SASEでは、インターネット、SaaSアプリケーション、プライベート ホスト型アプリケーションへの完全なゼロ トラスト アクセスが提供されます。厳密な意味でのSASEソリューションは、クラウドから提供されるネットワークとセキュリティのサービスを統合したものです。このソリューションに含まれるテクノロジは、Cloud Access Security Broker (CASB)、ゼロトラスト ネットワーク アクセス (ZTNA)、Firewall as a Service (FWaaS)、高度な脅威防御など、さまざまです。

SASE製品はクラウド ネイティブであり、動的なスケーリングでのユーザー トラフィックに対する制御と可視性が向上します。このため、SASEでは両方のエンドポイントとブランチ オフィスで複数のテクノロジ (IPSecやSSL VPNなど) の使用が許可され、すべてのトラフィックを常にセキュリティで保護できます。したがって、ポリシーのアクションがビジネスの意思決定になります。技術的な制限によって妥協を強いられることはありません。

クラウドベースのセキュリティ パートナーを選ぶ判断は、軽々しく下すものではありません。購入前に、あらゆるテクノロジの手法、規模、効果を考慮しましょう。パロアルトネットワークスは、企業がネットワークとセキュリティのインフラストラクチャを変化させる方法に革命をもたらしつつあります。Prisma Accessは、業界有数の包括的なSASEソリューションです。すべてのトラフィック、すべてのアプリケーション、すべてのユーザーを対象として設計されたアーキテクチャで、企業が必要とするネットワークとセキュリティを提供します。

SASEの主要コンポーネントの詳細については、弊社のeブック『包括的なSASEソリューションの10の信条』を参照してください。

このブログは、クラウド セキュリティの最新情報をお伝えするシリーズの一部です。引き続き、次の記事『Secure Connectivity Is the Only Connectivity』をお読みください。