AWSが推奨する2つ以上のアベイラビリティゾーン(AZ)を用いたクロスAZ設計に、CloudGuardネットワークセキュリティのアーキテクチャが対応。それによりAWSのセキュリティ強化が容易に。


包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント）は、この度Check Point CloudGuard が、AWSのクロスAZクラスターに対応したことを発表しました。これにより企業における、AWSの複数AZへのセキュリティの適用が大幅に簡素化され、セキュリティ強化が容易になります。

大多数の企業は、顧客やユーザーに対する最高品質のサービス提供を目指しています。その思いが企業の競争力を高め、ベンダーを選ぶ際の差別化要因となる場合も多くあります。現在の常時接続されたデジタル世界において、サービスの基盤は、組織の可用性、レスポンスタイム、レジリエンス、そして顧客のニーズをサポートすること、もしくは障壁となるその他の特性に依存します。

「クラウド」は今や、お客様のビジネスをいつでも利用可能、サービス可能にすることの同義語となっています。しかし、クラウド上でアプリケーションやワークロードを管理している多くの企業は、それらの保護と“常時接続”の維持が困難かつ多くの時間を要する作業であることに気づきつつあります。
以下は、クラウドの可用性とセキュリティを確保するためのベストプラクティスです。

アベイラビリティゾーン(AZ)の重要性
可用性は業務に不可欠なアプリケーションの基盤であり、顧客サービスの基礎となります。この理由から、AWSでは可能な限り少なくとも2つのアベイラビリティゾーン < https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html > （Availability Zone／AZ）におけるアプリケーションの展開を推奨しています。AWS Well-Architected フレームワークでは、 2つ以上のAZを用いるクロスAZ設計の利用による99.99%のアップタイム実現 < https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/s-99.99-scenario.html > について解説しています。これは年間53分以下のダウンタイムに相当し、顧客、ユーザー、そして事業に利益をもたらすサービスレベルであることを示しています。

しかし、AWSで複数のAZにわたってセキュリティを実現することは容易ではありません。AWSではサブネットが1つのAZに制限されており、高可用性ネットワークセキュリティのクラスターは、複数AZにまたがっての実装には使用できないためです。この制限は、多くのクラウドベースのセキュリティゲートウェイでは同じサブネット上のユーザーしか保護できないことを意味します。各サブネットには独立した個別のクラウドセキュリティインスタンスが必要であり、組織全体では複数のクラウドセキュリティイメージの購入、設定、維持、管理が必要になります。その結果として考えられる可能性の一つは、難解で複雑、多くのリソースを必要とするクラウド資産保護のアプローチです。別の可能性は、障害発生時の相互バックアップを伴わない複数のサービス導入です。いずれの選択肢も理想的とは言えません。

クロスAZアーキテクチャに対応したセキュリティ
こうした制約を緩和し、信頼性が高く一貫したAWSセキュリティを提供するため、チェック・ポイントはこの度、Check Point CloudGuard Network SecurityがクロスAZクラスターに対応したことを発表します。これによりAWS環境の複数AZにまたがるセキュリティ導入が大幅に簡素化され、手動による設定と複雑さの低減とともに、可用性の高いファイアウォールやセキュリティゲートウェイの提供が可能になります。これはチェック・ポイントのお客様がAWSを利用する際の新たなリファレンスアーキテクチャであり、業界をリードするCloudGuardの高度な脅威防御によって、AWSのリージョンにまたがるクラウド導入におけるセキュリティレジリエンスを強化します。

この機能は、以下のようなAWSのトラフィック移動に対応しています。

南北（North/South）：インターネット、クラウド資産、オンプレミスのデータセンター、企業のイントラネットなど出入口における縦方向の通信
東西（East/West）：AWS内部での横方向の通信
AWS サイト間 VPN間通信

クロスAZクラスター対応は、CloudGuardソフトウェアの最近のリリースであるバージョンR81.20 < https://www.checkpoint.com/quantum/unified-cyber-security-platform/ > に含まれます。これによりお客様は、セキュリティへの妥協や、フェイルオーバに備えるための複雑なセキュリティアーキテクチャ構築を必要とせず、ベストプラクティスのアプリケーション設計を快適に導入いただけます。この機能は設定を簡素化し、クラウドセキュリティ管理における現行の課題解決を支援し、可能な限り簡素さを維持します。これにより、より多くの資産やユーザー、ゾーン、ルート、アプリケーションの追加による、お客様の貴重な運用リソースへの過剰な負荷を軽減することが可能となります。

新たに追加されたクロスAZクラスター機能は、以下のようなCheck Point CloudGuardのセキュリティ機能にも対応しています。

IPS
アプリケーション制御機能
アイデンティティ認識
URLフィルタリング
アンチボット
アンチウイルス
コンテンツ認識
サンドブラストゼロデイ保護

脅威エミュレーション
脅威抽出


サイト間VP
リモートアクセスVPN



この新機能の適用は直感的かつシンプルに行えます。「Geo Mode」を選択すると、クラスターが同期トラフィックを別々のサブネットに分散させ、クロスAZ用のVPNリンク選択を自動的に設定できます。すなわち、データパス一つ一つの指定も、全シナリオに利用可能な全データパスの設定も行う必要はありません。この機能は、クラスター間で割り当てられ共有される「Elastic仮想IPアドレス」によって実現されます。このエイリアスアドレスは、パブリックIPアドレスまたはプライベートIPアドレスと連動しているため、トラフィックは常にアクティブインターフェースに向けられることになります。障害発生時にはエイリアスアドレスがクラスターインターフェースの一方から他方へと自動的に切り替わるため、常にアクティブなインターフェースにトラフィック経路を指定し防御を保てます。

リファレンスアーキテクチャ
(1) AWS Transit Gatewayがない場合のクロスAZクラスター


このリファレンスアーキテクチャ図は、以下を含みます。

異なるAZに導入されたCloudGuardクロスZAクラスターメンバーによるセキュリティVPC
クロスAZクラスターメンバー間での同期
パブリックサブネット関連のパブリックルーティングテーブル
アクティブメンバーのプライベートインターフェース（eth1）へのデフォルトルートを持つ、プライベートサブネット関連のプライベートルーティングテーブル
Ingress Routingの統合：

アクティブメンバーのパブリックインターフェース（eth0）を保護するためのサブネットからのルートを持つ、IGW関連のIGWルーティングテーブル




(2) AWS Transit Gateway がある場合のクロスAZクラスター


このリファレンスアーキテクチャ図は、以下を含みます。


アクティブメンバーのパブリックインターフェース（eth0）へのデフォルトルートを持つ、TGWサブネット関連のTGWルーティングテーブル
セキュリティVPCからAWS TGWへのVPC接続、TGWサブネットによる接続
AWS TGWに接続されたスポーク（コンシューマー）VPC


お客様のメリット
主要なメリットは、複雑性の軽減、業務効率の向上、時間および費用の削減です。この新機能はアクティブ／スタンバイのアーキテクチャに対応し、クロスAZによる可用性の向上を実現しています。チェック・ポイントと早期導入のお客様による広範囲にわたるテストを経て、チェック・ポイントが定める安定性に関する厳密な要件を満たすことが証明されています。
この新機能はVPNターミネーションへの使用が可能でより高いパフォーマンスを発揮し、またクラウドインフラに由来する制限を回避できます （https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html をご覧ください）。
さらに、同ソリューションは全トラフィックフローのステートフル検査への利用が可能です。

お客様からのコメント
Verisk社のネットワークエンジニアリング担当ディレクター、ソフィー・トゥウ（Sophie Twu）氏は次のように述べています。
「当社はこの数年にわたり、複雑なグローバルビジネスにおけるクラウド導入に取り組んできました。そのビジネス戦略の1つがオンプレミスVPNからクラウドへの移行です。クロスAZクラスター対応のバージョンR81.20を使用することにより、当社では複雑な作業やパブリックIPスキーマの変更を必要とせず、AWSにおける高レジリエンスなクラスターの実装を実現できました。このソリューションは拡張性を持ち、管理も非常に容易です。当社にとって今回の導入は時間と費用の節減につながりました。チェック・ポイントと連携した新たなソリューション、将来的なアプリケーションの登場にも期待しています」

CloudGuard Network Securityの旧ソフトウェアバージョンを使用中でこの新機能の利用を希望されるお客様は、バージョンR81.20にソフトウェアをアップグレードいただけます。チェック・ポイントのセキュリティエンジニアとチャネルパートナーが、お客様のクラウドセキュリティ環境への新機能の追加をお手伝いします。複雑性の軽減、時間および費用の低減によるメリットを実感ください。

今後の予定
チェック・ポイントをご利用中のお客様は、「CloudGuard for AWS Cross-AZ Cluster Administration Guide < https://sc1.checkpoint.com/documents/IaaS/WebAdminGuides/EN/CP_CloudGuard_for_AWS_Cross_AZ_Cluster/Content/Topics-AWS-CrossAZ-Cluster-AG/Check-Point-CloudGuard-for-AWS.htm > 」をご覧ください。
本リリースでご説明した新機能の詳細は、チェック・ポイントのチャネルパートナーまたはお近くのチェック・ポイントのアカウントチームまで直接お問い合わせいただくか、こちら < https://www.checkpoint.com/about-us/contact-us/ > からご連絡ください。

以下の資料でもCloudGuardネットワークセキュリティの詳細をご覧いただけます。

チェック・ポイントウェブサイト、パブリッククラウドネットワークセキュリティ関連ページ < https://www.checkpoint.com/jp/cloudguard/cloud-network-security/iaas-public-cloud-security/ >
ホワイトペーパー: Cloud Security Blueprint 2.0 < https://pages.checkpoint.com/cloud-security-blueprint.html >
参照ドキュメント： Security Architecture References for Public Clouds < https://pages.checkpoint.com/cloud-security-architecture-references.html >
クラウドネットワークセキュリティ購入ガイド < https://pages.checkpoint.com/buyers-guide-to-cloud-network-security.html >

本リリースは米国時間2022年12月19日に発表されたブログ< https://blog.checkpoint.com/2022/12/23/check-point-enhances-aws-security-with-cross-az-cluster-support/ >(英語)をもとに作成しています。

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

企業プレスリリース詳細へ
PRTIMESトップへ