2012/05/19

PaloAltoネットワークス ハンズオンセミナーに行ってみた。


PaloAltoネットワークス ハンズオンセミナーに行ってみた。

次世代ファイアウォールの代表として注目を集めているPaloAltoネットワークスが主催するハンズオンセミナーに行ってみた。

ご家庭でも謎のハッカー集団との攻防が激化している昨今、次世代ファイアウォールも、もはや一家に一台の時代となりつつありますが、PaloAlto社のPAシリーズはその中でも代表格です。




前から気になってはいたのですが、なかなか導入の機会がなく、WEB上での情報以外に触れることもなかったのですが、PaloAlto社のHPをぼんやりと見ていたら、なんとハンズオンセミナーの案内があったので、申し込んで見ました。

実はハンズオンも興味あったのですが、それ以外にも次世代のファイアウォールが旧世代の親父に使えるのかとかじゃなくて、


  • そもそも次世代ファイアウォールとは何よ?
  • 既存のファイアウォールの機能を代替可能?
  • 導入時のメリットデメリットは?

という点をハンズオンの最中にそれとなく聞いてみようと厚かましくも思っていたのであります。

会場は紀尾井町のPaloAlto社のセミナールーム。
事前の申し込み確認メールに「ノートPCを持ってこい。」とだけ記載されていたので持参しました。

ノートPCはファイアウォールを設定するのに使用します。コンソールからの設定もできるようですが、セミナーではブラウザ上からGUIで設定をします。

メールにはPCの要件などは記載されていませんが、さほど高スペックなPCは必要ないのですが、有線LANポートは必須です。

当方は有線LANポートのない、Macbook Air 11を持参したのですが、(というかそれしかなかったで。)「ひょっとして...。」という思いがよぎり、念のため有線LANアダプタとケーブルを持参したので、ハンズオンセミナーが見学会になるという惨事をかろうじて免れました。

ちなみにブラウザはChromeでの設定はイマイチ不安定。Safariでは問題なく設定できます。

セミナーの講師はPaloAlto社のSEの方です。参加メンバーは私を含めて6名。各々名刺交換をして開始です。

まず次世代ファイアウォールとはどんな何よという説明をしていただきました。

基本的な機能については別のソースで紹介されている通りでありますが、現場では以下の質問をしてみました。

(Q)評価の対象となるアプリケーションが変更された場合、PaloAlto社のDBが更新されるリードタイムはどのくらいであるか?
(A)概ね2週間前後。

(Q)ActiveDrectoryと連携するとユーザのアクティビティがかなり可視化されるが、この機能は本体に実装されているのか?
(A)現在では別機能としての提供となってるが、次期OSからは本体に実装される予定である。

(Q)その場合のパフォーマンスの低下が懸念されるが。(A)米国本社にて検証を重ねている。パフォーマンスとしては問題ないと考えているが、導入時のサイジングの問題については利用シーン、機能要求を十分に検討する必要がある。

そのほか次期OSで実装されるフューチャーなどを説明していただいたが、個別の内容については別途問い合わせをお願いしますとのこと。

で、ハンズオン開始。機器の設定については何かしらのファイアウォールの心得があれば問題ないといったレベル。大まかな流れとしては、

  1. インターフェイスの設定(L2/L3もしくはステルスモード)
  2. ルーティングの設定
  3. セグメントの設定(Trust/Untrust/DMZ)
  4. ポリシーの設定
  5. チューニング
違う点は4のポリシーの設定だけ。ポリシーの設定はビルトインの他、カスタマイズも可能であり、その気になればかなり細かい制御が可能とのこと。

この通り、設定の方式は従来の機器と大きく違うところはなかので、機能的にも従来型のファイアウォールからの入れ替えも違和感なく行けそうです。

そして最後のメリットデメリット。

ハンズオンを通して感じたことですが、きめ細かい制御ができる反面、管理コストが増大する可能性があるのではないかと…。

その辺のところを思い切って聞いてみたところ、やはり、そういう指摘があると。
また、あまりに可視化されすぎて、知らなくてもよい情報までもたらされてしまい、逆に仕事が増えるというなどと言う横着な管理者も少なくないとのこと。

逆に一緒に参加していた大学の関係者によるとキャンパスネットワークにおいてはPaloAltoの導入が必須になっている。感度が高いフィールドではこのレベルが当たりなんですね。

ただ、セキュリティに対するリテラシの有無によっては興味の範疇を超えないということにもなりかねない。この製品導入の前提としてユーザのセキュリティ意識替えてもらう必要があるのかなと感じた。

ハンズオンを通して感じたことは機器の性能については額面通り、従来型ではできないような制御を実際に体験してみたるとかなり説得力がある製品です。

いろいろと根ほり葉ほり、失礼な質問にも丁寧にご回答いただきましたPaloAlto社のOさんには感謝です。本当にありがとうございました。

侘助拝
投稿者 時刻:
ラベル: , ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)