AristaとPalo Alto、AIデータセンターのセキュリティを強化

Arista NetworksとPalo Alto Networksは、データセンター内でゼロトラストセキュリティを実装するためのフレームワークを顧客に提供するため、パートナーシップを拡大しました。

この新しいフレームワークは、ネットワーク制御と管理活動をセキュリティポリシーと組み合わせ、エンタープライズ全体で統合された自動化と一貫した適用を可能にする方法を顧客に提供することを目的としています。これまで、AristaとPalo Altoは情報を共有しながらも個別に対応しており、統合は基本的に顧客自身が行う必要がありましたが、新たな合意によりこれが変わります。

DevOpsチームは、継続的インテグレーション/継続的デリバリーやその他の手法を用いてアプリを自動的に構築・更新しており、利用が拡大する中でアプリを円滑に稼働させるためには、リソースを自動的に追加し、クラウド環境をまたいだオーケストレーションが必要な場合も含めて、それらを調整できるシステムが必要だと、Aristaのキャンパス担当バイスプレジデント兼ゼネラルマネージャーのKumar Srikantan氏と、AristaのプロダクトマネジメントディレクターAlessandro Barbieri氏は述べています。

「この俊敏性と地理的に分散したスケールへの需要は、東西トラフィックの膨大な規模から生じる既存の深刻なセキュリティ課題をさらに複雑にします。これに加えて、AIを活用した新種の脅威が登場し、攻撃者はAIを使ってこれまでにない高度かつ大規模な回避型攻撃を仕掛けており、セキュリティインシデントの影響を大幅に高めています」と、Srikanta氏とBarbieri氏はパートナーシップに関するブログで述べています。「さらに、AI主導の攻撃は従来型の防御を高速ですり抜けるよう設計されています。データの持ち出し攻撃や脆弱性の悪用、ランサムウェアの開発など、かつては数週間や数日かかっていたものが、今では数時間や数分で行われることもあります。」

パートナーシップの拡大により、AristaとPalo Altoはこれらの課題に対応することを目指しています。

4つの主要機能のうち最初は、データセンター向けのゼロトラストセグメンテーションで、Palo Altoの次世代ファイアウォール（NGFW）とAristaのマルチドメインセグメンテーションサービス（MSS）ファブリックによって、セグメンテーション、可視化、ゾーン間保護を統合します。この機能により、ネットワーク全体の可視性を持つAristaファブリックが、東西アプリケーショントラフィックをPalo AltoのNGFWにインテリジェントに誘導し、レイヤ7での詳細な検査を実現すると、Palo Altoのプロダクト担当バイスプレジデントSrini Kotamraju氏がブログで述べています。

「この検査に基づき、NGFWは包括的でアプリケーション認識型のセキュリティポリシーを作成します。その後、Aristaファブリックに対し、同様のトラフィックフローに対してワイヤースピードでそのポリシーを適用するよう指示します」とKotamraju氏は述べています。「この『一度検査し、多数に適用』モデルは、すべてのトラフィックをファイアウォール経由でヘアピン転送したり、高価で破壊的なネットワーク再設計を強いることなく、きめ細かなゼロトラストセキュリティを実現します。」

2つ目の機能は、Palo AltoのNGFWがCloud-Delivered Security Services（CDSS）を利用して回避型脅威を特定できる動的隔離機能です。「これらのサービスは、ゼロデイマルウェア向けのAdvanced WildFireや未知の脆弱性向けのAdvanced Threat Preventionなどで、グローバルな脅威インテリジェンスを活用し、従来のセキュリティが見逃す攻撃を検出・ブロックします」とKotamraju氏は述べています。

Aristaファブリックは、検査後に信頼できる大容量の「エレファントフロー」をファイアウォールからインテリジェントにオフロードし、ファイアウォールが高リスクトラフィックに集中できるようにします。脅威が検出されると、NGFWはArista CloudVisionに通知し、ネットワークスイッチが自動的にハードウェアラインレートで侵害されたワークロードを隔離するようプログラムされます。「この即時対応により、パフォーマンスのボトルネックや手動介入を必要とせず、脅威の横展開を阻止します」とKotamraju氏は述べています。

3つ目の機能は統合ポリシーオーケストレーションで、Palo Alto Networksの管理プレーンがゾーンベースやマイクロペリメータポリシーを集中管理し、CloudVision MSSがAristaスイッチのオフロードと適用を担います。「これにより、地理的に分散したネットワーク全体を単一の論理スイッチとして扱い、ワークロードをクラウドネットワークやセキュリティドメイン間で自由に移動できるようになります」とSrikanta氏とBarbieri氏は述べています。

最後に、Arista Validated Design（AVD）データモデルはネットワークをコード化し、CI/CDパイプラインと統合します。AVDは、ベストプラクティス、テスト、ガードレール、生成された設定を組み込んだAristaのAVA（Autonomous Virtual Assist）AIエージェントによって生成することも可能です。

「私たちの統合は、ネットワークファブリックとセキュリティポリシーを分離するクリーンなアーキテクチャを実現し、この対立を直接解決します。これにより、NetOpsチーム（Aristaファブリックを管理）がSecOpsチーム（Palo Alto Networksのセキュリティを管理）と独立してスケール、アップグレード、イノベーションを行えるようになります」とKotamraju氏は述べています。「NetOpsは高性能で信頼性の高いネットワーク構築に集中し、SecOpsは最高水準のセキュリティサービス提供に専念できます。各チームは自分たちのドメイン固有の管理ツールを使い、統合レイヤーがポリシーと適用アクションを自動的に同期します。」

AristaはFortinet、Check Point、Splunkなど多くのセキュリティベンダーと連携していますが、Palo Altoほど深く統合された例はありません。また、ネットワークベンダーとしても、CloudVisionMSSやAI駆動のネットワーク検知・対応プラットフォームなど独自のセキュリティパッケージを提供しています。