Zpedia 

/ Zscalerと従来型ファイアウォールの比較:ハイブリッド インフラの保護

Zscalerと従来型ファイアウォールの比較:ハイブリッド インフラの保護

アプライアンスベースのファイアウォールでは、ハイブリッド インフラのセキュリティを確保することが難しく、最新の脅威に対する脆弱性が残ります。クラウド ファイアウォールで従来型ファイアウォールをリプレースすることで、複雑な分散型ネットワークを保護することが可能です。

Zscaler Zero Trust Firewallの詳細はこちら
ゼロトラストサイバー脅威対策ネットワーク セキュリティ
  1. ハイブリッド インフラと従来型ファイアウォール
  2. Zscalerによる従来型ファイアウォールのリプレース
  3. クラウド型のファイアウォール機能
  4. ハイブリッド インフラにおけるZscalerと従来型ファイアウォールの比較
  5. Zero Trust Firewallのメリット
  6. ユース ケース:ハイブリッド インフラの保護
  7. 未来のハイブリッド インフラ セキュリティ
  8. よくある質問
  9. 関連するトピック

従来型ファイアウォールではハイブリッド インフラを十分に保護できない理由

ハイブリッド インフラでは、オンプレミスのデータ センター、パブリック クラウド、プライベート クラウド、リモート ユーザーが接続され、柔軟性と拡張性が向上します。残念ながら、これにより攻撃対象領域も広がります。以下のような理由から、静的なオンプレミス ネットワーク セキュリティのために構築された従来型ファイアウォールはこの環境に適していません。

  • 固定された物理ハードウェアを基盤とするため、効果的に拡張できず、分散したユーザー、アプリ、データを保護できない
  • 現在のWebトラフィック全体の95%以上を占める暗号化されたトラフィックを、パフォーマンスを低下させずに検査することができない
  • IPおよびゾーンベースの保護に依存するため、攻撃対象領域が増加し、脅威のラテラル ムーブメントが可能になる
  • SaaSやクラウド向けの設計ではないため、ハイブリッド環境でのクラウド中心の攻撃に対して脆弱になる

分散化が進み、より動的になった企業環境では、こうした弱点を克服できるように設計されたソリューションが必要です。

ハイブリッド インフラでのZscalerによる従来型ファイアウォールのリプレース

Zscalerは、ハイブリッド インフラのニーズに適した独自のアプローチを採用しています。クラウド ネイティブのプラットフォームにより以下を実現します。

  • 包括的なトラフィック検査:非標準のWebトラフィックや非Webトラフィックを含むすべてのポートとプロトコルを保護します。
  • 大規模な検査:従来型ファイアウォールや次世代ファイアウォールとは異なり、パフォーマンスに影響を与えることなく、TLS/SSLで暗号化されたトラフィックの100%を検査します。
  • ユーザー中心のポリシー:あらゆる場所のユーザーに対して、ネットワーク境界から完全に切り離された均一な保護を適用します。
  • 真のゼロトラスト アーキテクチャー:拠点、クラウド、データ センター間およびそれらの内部で、ユーザー、ワークロード、デバイス間の通信を保護します。

Zscalerがクラウドからファイアウォール機能を提供する仕組み

クラウド ネイティブのZscaler Zero Trust Firewallは最小特権アクセスを付与し、ネットワーク内外を問わず、デフォルトではいかなるエンティティーも信頼しません。データ センターの先までセキュリティを拡張することで、経路を問わずあらゆるトラフィックを確実に保護します。具体的な機能には以下のようなものがあります。

  • 包括的なトラフィック検査:暗号化された接続を含むすべてのトラフィックに対して、ディープ パケット インスペクションを実行します。クラウド規模のTLS/SSL復号により、レイテンシーを最小限に抑え、すべてのトラフィックが検査対象から漏れないようにします。
  • 適応型ポリシー:従来型ファイアウォールの静的ルールとは異なり、ユーザー アイデンティティー、デバイス ポスチャー、リスク レベルなどのコンテキストに基づいて、動的なポリシーを通じてアクセスを許可または拒否します。
  • 広範な対応範囲:Webトラフィックと非Webトラフィック(DNS要求を含む)を処理し、ポートやプロトコルに関係なく、すべてのアプリケーションの全範囲のセキュリティを確保します。
  • リアルタイムの脅威制御:統合侵入防止システム(IPS)、DNSトンネル検出、高度な攻撃検出により、脅威を迅速に特定して無効化します。

ハイブリッド インフラにおけるZscalerのCloud Firewallと従来型ファイアウォールの比較

機能

従来型のファイアウォール

ゼロトラスト ファイアウォール

トラフィック フィルタリング

静的なルールに基づいており、頻繁な更新が必要

動的かつコンテキストに基づいた、ユーザー中心のポリシーを使用

暗号化トラフィックの処理

TLS/SSLインスペクションが限定的でボトルネックになりやすい

パフォーマンスを低下させない無制限の検査

拡張性

ハードウェアに依存し、トラフィックの増加に応じた拡張性に限界がある

クラウド ネイティブ、自動で拡張

ポリシーの施行

拠点単位の静的なルール

ユーザーおよびアプリ認識型ポリシーをすべての場所に適用

管理とメンテナンス

手動のポリシー更新とハードウェアのアップグレードが必要

クラウド型プラットフォームによる集中管理

コスト構造

高額な設備投資とサポートコスト

サブスクリプションベースの運用コスト、物理アプライアンスなし

Zero Trust Firewallのメリット

Zscaler Zero Trust Firewallは、以下のような機能を提供し、ハイブリッド インフラのセキュリティの再構築を支援します。

  • エンドツーエンドの保護:オンプレミス、クラウドベース、リモートを問わず、すべてのユーザー、デバイス、アプリを保護します。
  • ユーザー エクスペリエンスの改善:クラウドへの直接接続により、レイテンシーを削減し、あらゆる場所のユーザーの生産性を向上させます。
  • 簡素化された管理:一元的なポリシー管理により、変化に迅速に対応し、設定ミスのリスクを軽減します。
  • コンプライアンスの保証:きめ細かなログ記録と一貫した制御により、データ レジデンシーやプライバシー関連、および業界固有の要件に対応できます。
  • 将来を見据えた拡張性:ハードウェアの制限を心配することなく、業務のニーズに応じて簡単に拡張できます。

ユース ケース:Zscalerによるハイブリッド インフラの保護

  • すべてのトラフィックを保護:すべてのWebトラフィック(HTTP/HTTPS)と非Webトラフィック(SSH、RDP、SMB、DNSなど)を検査および制御します。
  • DNSトラフィックの制御:DNSレベルでセキュリティ ポリシーを適用し、トンネリング、フィッシング、データ窃取などの脅威をブロックします。
  • 回避型脅威をブロック:ファイルレス マルウェア、ゼロデイ攻撃、悪意のあるペイロードなどの高度なサイバー脅威を検出して阻止します。
  • 場所を問わない働き方を保護:すべての場所とユーザーに一貫したセキュリティ ポリシーを適用します。

Zscalerで未来のセキュリティを実現

従来型ファイアウォールは、中央集中型のデータ センターと静的な環境の時代には効果を発揮しましたが、現代のハイブリッド インフラには、適応型かつエンドツーエンドのセキュリティ ソリューションが必要です。

Zscaler Zero Trust Firewallは、アプライアンス中心のモデルを超える機能を持ち、パフォーマンスを損なうことなくユーザー、データ、アプリケーションを保護します。

よくある質問

Zscalerは、クラウドへの直接接続を実現し、拠点のトラフィックをデータ センターや本社にバックホールする必要性を排除します。Zscaler Internet AccessでWebトラフィックとSaaSトラフィックの安全を確保し、Zscaler Zero Trust FirewallでDNSを含む非Webトラフィックを保護することで、複雑なサイト間VPNを使用することなく一貫したセキュリティを実現できます。

Zscalerは、グローバルに分散する160以上のポイント オブ プレゼンス全体で大規模なTLSインスペクションを実行し、ボトルネックとなる中央集中型のトラフィック転送を行うことなくL7制御を適用します。ポリシーはユーザーの近くで施行されるため、SaaSおよびインターネットへのアクセスにおいて、アプライアンスへのバックホールよりも優れたパフォーマンスを提供します。

Zscalerは、一元的なログ管理、リアルタイム分析、SIEMへのストリーミングを提供し、ユーザー/アプリケーションに焦点を当てた可視化を実現します。ポリシーのバージョン管理や変更履歴の追跡も可能で、規制のための監査に対応します。また、各種制御をNIST、ISO、SOC 2、PCI DSS、HIPAAなどの一般的なフレームワークにマッピングできるほか、DLP/CASB機能を通じてSaaSやWeb利用におけるデータ ガバナンスを強化することが可能です。