フォーティネットジャパンは2015年11月17日、VMware NSXのセキュリティ機能を補完する仮想アプライアンス型のUTM(統合脅威管理)製品「FortiGate-VMX」を出荷した。ハイパーバイザー(ESXi)と連携して動作し、VM(仮想マシン)同士の通信トラフィックを監視し、各種のセキュリティ機能を追加する。
前提となるVMware NSXは、米ヴイエムウェアのSDN(ソフトウエアデファインドネットワーク)ソフト。オーバーレイ型のSDNを実現できるほか、負荷分散装置などのNFV(仮想アプライアンス型のネットワーク装置)機能を提供する。VMware NSXが標準で提供するファイアウオール機能はACL(アクセス制御リスト)によるフィルタリングのみ。これ以外の機能はAPIを介してサードパーティ製のセキュリティ機能を追加する。
FortiGate-VMXはサードパーティ製品の一つで、大きく三つの要素で成り立つ。ESXiホスト上では、仮想アプライアンスとして実装したUTM本体と、ハイパーバイザーのカーネルに組み込む専用のエージェントソフトが稼働する。VMware NSX上で設定したセキュリティポリシーに応じて、エージェントがトラフィックをUTM本体にリダイレクトする仕組み。最後の一つはFortiGate-VMXの管理サーバーで、これも仮想アプライアンスとして実装している。
FortiGate-VMXは、VM(仮想サーバー)の仮想NICと、VMware環境の仮想スイッチ(vSwitch)の間に位置し、VM同士の横方向(東西方向)の通信トラフィックを監視する(図1)。この位置で、アプリケーション制御やIPS(不正侵入防止)、ウイルス対策、URLフィルタリング、迷惑メール対策といった、次世代ファイアウォールやUTMの機能を提供する。
UTM機能も動的にプロビジョニング可能に
FortiGate-VMXを用意した背景について、フォーティネットジャパンでシニアコンサルティングSEを務める佐藤宇則氏(写真)は、「現在のデータセンターは、用途に応じて自動的にプロビジョニング(配備)する時代になっている」と説明。プライベートクラウドの運用管理ソフトを使って仮想サーバーやストレージを動的に配備する際にネットワークも動的に構成するためのソフトがVMware NSX。ここでUTM機能も一緒に配備できるようにする(図2)。
プロビジョニング機能を設定するには、まず管理サーバーの「FortiGate-VMX Service Manager」をVMwareの仮想環境にデプロイし、VMware NSX環境の管理サーバーであるVMware NSX Managerに登録する。配備先となるハイパーバイザー(ESXi)にFortiGate-VMXのカーネルエージェントが組み込まれる。UTM本体(仮想アプライアンス)も配備する。VMware NSX Manager上では、どのトラフィックをFortiGate-VMXに渡すのかを定義する。
ライセンスの参考価格(税別)は、配備先のハイパーバイザー側に導入する「FortiGate-VMXセキュリティノード」が、ハイパーバイザー当たり106万1000円、管理サーバーのFortiGate-VMX Service Managerが20万円。
