NDRをより効果的に使えるNPBの役割~アグリゲーション機能によるポートの集約編~
近年、セキュリティの考え方はすべてのトラフィックを信用しないことを前提とし、すべての通信の安全性や正当性を検証する「ゼロトラスト・セキュリティ」が主流です。
これまで外部からの不正侵入の検知・防御はIPS/IDS、WAF、ファイアーウォールなどを中心に行ってきましたが、最近特に注目を集めているのが、ネットワークの全体を監視し、ゲート側で脅威の検知・対処をするNDR(Network Detection and Response)です。
Keysight Technologies社製ネットワークパケットブローカー(NPB)であるVisionシリーズは従来のIPS/IDSなどのセキュリティ製品はもちろん、NDRとも相性が非常に良い製品です。
そこで今回は、NPBが持つ機能の全体像と、その中の一つ、アグリゲーション機能について当社のプラットフォーム事業グループ ITプロダクト&サービス事業本部 ネットワーク部 技術課 片岡 隆一朗氏に聞いてみました。
――VisionシリーズのNPBについて教えてください。
NPBはTAPやミラーポートから受け取ったパケットを、送信先であるネットワーク可視化装置やセキュリティ機器に合わせて最適化して送信する機器です。
Keysight Technologies社製NPBのVisionシリーズには大きく分けてネットスタック、パケットスタック、アップスタック、セキュアスタックという4つの機能があり、選択するモデルによって搭載される機能が異なります。そのため、お客様の設置環境に必要な機能が搭載された最適なモデルを選択することができます。
ネットスタック
- フィルタリング
- VLANタギング機能
- アグリゲーション&レプリケーション機能
- ロードバランス機能
パケットスタック
- パケット重複排除
- ヘッダーストリッピング&プロトコルトリミング
- タイムスタンプ機能
- データマスキング機能
- GREトンネリング機能
- バーストプロテクション
アップスタック
- アプリケーションフィルタリング
- ジオロケーション
- ReqExフィルタリング&データマスキング
- Netflow&IxFlow
- PCAP
セキュアスタック
- SSL複合化機能
| Vision E40 | Vision E100 | Vision E10S | Vision E1S | Vision ONE | Vision 7300 | Vision X | |
|---|---|---|---|---|---|---|---|
| ネットスタック | ◎ | ◎ | ◎ | ◎ | ◎ | ◎ | ◎ |
| パケットスタック | - | - | ◎ | ◎※ | ◎ | ◎ | ◎ |
| アップスタック | - | - | - | ◎※ | ◎ | ◎ | - |
| セキュアスタック | - | - | - | - | ◎ | ◎ | - |
※一部制約あり
上表を見ていただくと分かる通り、ネットスタックはどのモデルでも搭載されている機能です。
ネットスタックの主な機能はアグリゲーションやコピー(複製)、フィルタリング、VLANタギング、ロードバランスなどです。
今回のコラムではアグリゲーションについて説明したいと思います。
――アグリゲーションとは具体的にどのような機能ですか?
アグリゲーションとは「集約」を意味する単語ですが、この機能もそのまま「集約するもの」です。
昨今、大企業の多くではIDS/IPS、Sandboxなど複数のセキュリティ製品や、NDRなど、様々な機器を使用しているケースが増えています。
例えば、複数のポートから取得したトラフィックの情報を、一つのセキュリティ機器に集約して分析することがあります。
この時、NPBがない環境であれば、分析を行うセキュリティ機器などはミラーポートやTAPの数だけポートを用意する必要があります。ですが、セキュリティ機器などの場合、そう多くのポートを持っていないことが多く、ポート数が不足するケースが出てくることがあります。
NPBのアグリゲーション機能を使えば、複数の機器のトラフィックをまとめて、一つのポートに出力するといったことが可能になります。
――アグリゲーション機能を使用した具体例があれば教えてください。
ポート数の不足で使用されることが多いですが、セキュリティ製品が乱立している企業や、逆に高額なセキュリティ製品を何台も導入できないという企業で、使用するツールを削減するために使われています。
下図は実際に金融機関で行った際の環境イメージです。
緑(データセンター側)と赤(各店舗側)がTAPを入れた個所と、TAPから取得したパケットをVision E40(NPB)に取り込んだ後、同社が保有していたパケット分析装置によって分析が行われています。
Vision E40に取り込まれる前、緑のTAPは5個、赤のTAPは3つで、合計8個のTAPが使用されています。
そのため、本来であればパケット分析ツールは8個のポートが必要になります。
ですが、Visionシリーズのアグリゲーション機能を使えばTAPで取得されたトラフィックを少数のポートに集約することが可能です。本事例ではデータセンター側と各店舗側で分けて二つのポート(機器)にまとめています。
このように、監視対象としたいポイントの数が多いときや、インターネットへの出入り口が複数あるようなケースで使用されることが多いのですが、使うことで必要とするツールを減らすことができるので、重宝されています。
――アグリゲーション機能を使うことで得られる効果や注意点があれば教えてください。
先の例で挙げたように、使用するポートと装置を減らすことができますので、コストの削減はもちろん、物理の管理工数を減らすことができます。
ただ注意しなくてはならないのは、トラフィックの出力量です。
例えば3台の機器からそれぞれ1Gbpsずつのトラフィックが入ってくる場合、最大で3Gbpsのトラフィックが一つの出口から出力されることになります。そのため、出口となるポートにはより大きい速度を設定するか、ポートにバッファを持たせることが必要になります。
下図がVisionシリーズのGUI設定画面のイメージです。P01、P02、P03のトラフィックをP04にアグリゲーションする設定になります。
ちなみにF1、F2、F3はDynamic filterと呼ばれるもので、フィルタリングの設定を行う場所です。
次回はこのフィルタリング機能についてお話ししたいと思います。
Visionシリーズに関するご相談、価格のお問い合わせはこちらから
https://itps.scsk.jp/ixia/inquiry