Palo Alto と F5 を使用したサーバーサイドネットワークのセキュリティ設計を考えてみます。
まず、Palo Alto は次世代ファイアウォールと呼ばれ、有名なファイアウォールですね。いつまで次世代なのか?という疑問はありつつも、従来のファイアウォールより深く広くセキュリティをカバーしています。具体的には、かなり多くのセキュリティ機能があるものの、代表的な機能は App-ID や Threat Prevention が分かりやすいと思います。App-ID はポート番号ではなく、実際のペイロードをチェックして識別できるため、より限定的な制御ができるようになります。Threat Prevention には、侵入検知/防御・アンチウイルス・アンチスパイウェアが含まれます。
実際、多くの企業では、Palo Alto ファイアウォールを内部ネットワークのインターネットの出口として使用しており、適切なセキュリティ設計をしていれば、十分なセキュリティ対策になっていると思います。
一方で、SSL Decryption を有効にしないと、本来のセキュリティ機能を最大限に活用できないという点もありますが、SSL Decryption は著しい性能劣化が問題になることがあります。かなり昔ですが、10 分の 1 になるという極端な情報も普通に言われていました。
次に F5 です。F5 はロードバランサーとして非常に有名であり、それの代名詞的な存在でもあります。BIG-IP という名前の方が有名かもしれません。BIG-IP には ロードバランサー以外に、セキュリティ機能としてファイアウォール と WAF があります。いづれも十分な機能であるものの、BIG-IP はどちらかというとサーバーよりのネットワーク機器と考えた方がよく、それはベースがロードバランサーであることに基づいています。つまり、ファイアウォールと言っても Palo Alto のように純粋なネットワーク機器から派生したものとは少し違うということです。詳細は本題から外れるため割愛しますが、これはある程度のネットワークエンジニアであれば理解できると思います。また、ベースがロードバランサーであることから、BIG-IP は SSL オフロードが得意でもあります。
本題ですが、両方を組み合わせて、いいとこどりをした設計をできないかを考えてみます。
セキュリティ機能として、Palo Alto には App-ID, Threat Prevention があり、BIG-IP には WAF があります。Palo Alto は SSL Decryption を有効にすると著しい性能劣化がありますが、BIG-IP は SSL オフロードが得意であり、ロードバランサー機能が中心です。
両者の良いところを活かす場合、やはりサーバーサイドネットワークで強い連携が可能だと思います。
提案する構成として、何らかのサーバーを公開するシステムにおいて、システムのインターネットの接続点に BIG-IP にファイアウォールと WAF を実装し、さらに SSL オフロードをします。次に Palo Alto を配置して App-ID, Threat Prevention を実装します。Palo Alto は SSL Decryption を行いませんが、BIG-IP で SSLオフロードをしているため、Palo Alto では不要です。こうすることで、Palo Alto の App-ID, Threat Prevention は完全な状態で機能することができ、両者を組み合わせた最大限のネットワークセキュリティを実現することができます。
あくまでサーバーサイドネットワークの提案なので、クライアントのインターネットアクセスには大きく関係しませんが、一つのアイデアとしてありかと思っています。