Palo Alto と F5 BIG-IP を組み合わせたサーバーサイドネットワークのセキュリティ設計を考えます。ここで重要なのは、どちらが優れているかではなく、どの装置にどの責務を持たせるかです。
Palo Alto は次世代ファイアウォールとして、App-ID、Threat Prevention、URL Filtering、SSL Decryption などの機能を持ちます。一方、F5 BIG-IP はロードバランサーとして有名で、SSL 終端、L7 制御、WAF、サーバーサイドの入口制御に強みがあります。
Palo Alto と BIG-IP は出自が違う
Palo Alto は、ネットワーク境界で通信を制御するファイアウォールとして見るのが自然です。ポート番号だけではなくアプリケーション識別や脅威防御を使い、通信を許可するか、止めるか、検査するかを判断します。
BIG-IP は、ロードバランサーを中心にしたサーバーサイドの入口装置として見る方が自然です。SSL オフロード、HTTP ヘッダー制御、プールメンバーへの振り分け、WAF、L7 の挙動制御など、アプリケーション入口に近い場所で力を発揮します。
| 装置 | 得意な領域 | 主な責務 |
|---|---|---|
| Palo Alto | L3/L4/L7 の境界制御、App-ID、Threat Prevention | ネットワーク境界、通信制御、脅威検査 |
| F5 BIG-IP | ロードバランス、SSL 終端、L7 制御、WAF | 公開サービスの入口、アプリケーション配信、サーバー保護 |
同じセキュリティ機器として雑にまとめると設計がぼやけます。Palo Alto は境界制御、BIG-IP はアプリケーション入口制御として見ると、役割分担がしやすくなります。
SSL Decryption と SSL オフロードを混同しない
Palo Alto で SSL Decryption を使うと、暗号化された通信の中身を検査できます。ただし、SSL Decryption は設計、証明書配布、性能、プライバシー、例外処理が重くなりやすい機能です。
一方、BIG-IP の SSL オフロードは、公開サービスの TLS を BIG-IP で終端し、背後のサーバーへ HTTP または再暗号化した HTTPS として転送する設計です。これはロードバランサーとしての入口処理であり、Palo Alto の SSL Decryption とは目的が異なります。
| 項目 | SSL Decryption | SSL オフロード |
|---|---|---|
| 主な場所 | ファイアウォール | ロードバランサー / ADC |
| 目的 | 暗号化通信の検査 | TLS 終端、証明書管理、L7 制御 |
| 主な対象 | 通過通信 | 公開サービスの入口 |
| 設計上の注意 | 性能、証明書配布、例外制御 | バックエンド再暗号化、ヘッダー、WAF 連携 |
サーバー公開系の通信では、BIG-IP で SSL 終端し、その後段で Palo Alto に検査させる、という設計も考えられます。ただし、その場合は復号後通信をどこまで平文で流すのか、再暗号化するのか、ログと責任境界をどう扱うのかを明確にする必要があります。
サーバーサイドでの責務分離
サーバーサイドネットワークでは、インターネットから入ってくる通信をいきなりサーバーへ渡すのではなく、入口で段階的に処理します。
- 外部境界: 送信元、宛先、アプリケーション、脅威を制御する
- 公開入口: TLS 終端、HTTP 制御、WAF、ロードバランスを行う
- DMZ: 公開系コンポーネントを内部 LAN から分離する
- サーバー VLAN: アプリケーションサーバーや DB への到達性を限定する
- 管理 VLAN: SSH、管理 GUI、監視などを公開経路から分離する
この構成では、Palo Alto に全てをやらせるのでも、BIG-IP に全てをやらせるのでもなく、それぞれの得意な位置で処理させることが重要です。
構成例
一例として、インターネット公開サービスを想定すると、次のような流れが考えられます。
- インターネットからの通信を Palo Alto で受ける
- 宛先、アプリケーション、脅威検査のポリシーを適用する
- 公開サービス向け通信を BIG-IP へ転送する
- BIG-IP で TLS 終端、WAF、HTTP ヘッダー制御、ロードバランスを行う
- 必要に応じてバックエンドへ再暗号化して転送する
- サーバー VLAN への通信は必要最小限に限定する
- 管理系通信は VPN や管理 VLAN に閉じる
このように考えると、Palo Alto はネットワーク境界の制御、BIG-IP はアプリケーション入口の制御、という分担になります。
BIG-IP の WAF はサーバーに近い場所で効く
WAF は HTTP リクエストの内容を見て、アプリケーション攻撃を検知・遮断するための仕組みです。SQL インジェクション、XSS、不正なパラメータ、異常なリクエストなどは、L3/L4 のファイアウォールだけでは十分に扱えません。
BIG-IP はロードバランサーとしてサーバーの入口に近い位置に置かれるため、WAF との相性が良いです。どの仮想サーバーに、どの URL に、どのポリシーを適用するかをアプリケーション単位で考えやすくなります。
Palo Alto に期待しすぎない方がよい領域
Palo Alto は強力なファイアウォールですが、公開 Web アプリケーションの L7 詳細制御をすべて担当させる設計は、必ずしも自然ではありません。SSL Decryption、App-ID、Threat Prevention は有効ですが、Web アプリケーション固有のパラメータや URL ごとの防御は WAF の領域です。
逆に、BIG-IP に境界ファイアウォールとしての役割を過剰に持たせるのも設計がぼやけます。BIG-IP はサーバー入口に近い装置であり、広域の通信制御やインターネット出口制御を担う装置ではありません。
設計で見るべきポイント
- TLS はどこで終端するのか
- 復号後通信をどこまで流すのか
- BIG-IP とバックエンド間を再暗号化するのか
- WAF のログとファイアウォールログをどう突き合わせるのか
- 管理系通信を公開経路から分離できているか
- DMZ とサーバー VLAN の責任境界が明確か
- 障害時に Palo Alto と BIG-IP のどちらを見るべきか明確か
セキュリティ製品を重ねれば自動的に安全になるわけではありません。どこで止めるのか、どこで復号するのか、どこでアプリケーションを見るのか、どのログを根拠に判断するのかを設計しておく必要があります。
参考書籍
書籍
ModSecurity Handbook, Second Edition
ModSecurity と Web Application Firewall の設定、ログ、ルール、チューニングを確認したい場合の参考書籍です。英語書籍であり、価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
関連する記事
まとめ
Palo Alto と F5 BIG-IP を組み合わせるなら、両方をセキュリティ製品として横並びに見るのではなく、責務を分けて考えるべきです。Palo Alto は境界制御と脅威防御、BIG-IP は公開サービスの入口、SSL 終端、ロードバランス、WAF として見ると設計が整理しやすくなります。
重要なのは、製品を重ねることではなく、通信がどこで復号され、どこで検査され、どこでアプリケーションへ渡されるのかを明確にすることです。サーバーサイドネットワークのセキュリティ設計では、機能の多さよりも責務分離の明確さが効きます。
Related posts:
Palo Alto GlobalProtect のゼロデイ脆弱性 CVE-2024-3400
自宅用 VLAN 対応スイッチの選び方 – タグ VLAN、管理機能、仮想化環境を整理する
BUFFALO BHR-4RV VPN ルーターを今どう見るか – PPTP 時代の自宅ネットワーク機器を読み替える
DD-WRT の導入検討
DD-WRT 化は断念
FQDN フィルタリングのメリットと限界 – Juniper SSG 5 から DNS 依存の制御を考える
NTT の IOWN とは何か – APN、デジタルツイン、通信インフラの将来像を整理する
IPv6 Router Advertisement と DHCPv6 の役割整理
BUFFALO BS-GS2016 を自宅基盤用スイッチとして見る – VLAN、管理機能、IPv6 対応範囲の考え方
MicroK8s で IPv6/IPv4 デュアルスタックが動かない時に見ること
TCP フラグ ECE/CWR とは何か – ECN の交渉と輻輳通知を整理する
IPv6 における NAT66 再考 – ULA、GUA、Prefix 設計主権、IPv4 NAT の設計抽象