[go: up one dir, main page]

JP2025502606A - ネットワーキングおよびセキュリティスプリットアーキテクチャ - Google Patents

ネットワーキングおよびセキュリティスプリットアーキテクチャ Download PDF

Info

Publication number
JP2025502606A
JP2025502606A JP2024530445A JP2024530445A JP2025502606A JP 2025502606 A JP2025502606 A JP 2025502606A JP 2024530445 A JP2024530445 A JP 2024530445A JP 2024530445 A JP2024530445 A JP 2024530445A JP 2025502606 A JP2025502606 A JP 2025502606A
Authority
JP
Japan
Prior art keywords
security
flow
network
networking
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2024530445A
Other languages
English (en)
Inventor
ウォーバートン,トーマス,アーサー
ロン,ハオ
リン,シュウ
ペン,ミンフェイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Palo Alto Networks Inc
Original Assignee
Palo Alto Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Palo Alto Networks Inc filed Critical Palo Alto Networks Inc
Publication of JP2025502606A publication Critical patent/JP2025502606A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Computer And Data Communications (AREA)

Abstract

Figure 2025502606000001
ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するための技術が開示される。いくつかの実施形態において、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのシステム、プロセス、及び/又は、コンピュータプログラム製品は、セキュリティサービスにおいてフローを受信するステップと、1つ以上のネットワーキング機能を実行するために、セキュリティサービスのネットワーク層においてフローを処理するステップと、ポリシに基づいてセキュリティ実施を実行するために、フローをセキュリティサービスのセキュリティ層にオフロードするステップと、を含む。

Description

ファイアウォールは、一般的に、認可された通信がファイアウォールを通過することを可能にしながら、認可されていないアクセスからネットワークを保護する。ファイアウォールは、典型的に、ネットワークアクセスのためにファイアウォール機能を提供する、コンピュータといった、デバイスまたは一式のデバイス、もしくは、デバイスにおいて実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能なデバイス)のオペレーティングシステムの中に統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、または、データアプライアンス(例えば、セキュリティ機器、または、他のタイプの専用デバイス)に統合するか、または、ソフトウェアとして実行することもできる。
ファイアウォールは、典型的に、一式のルールに基づいてネットワーク送信を拒否または許可する。これらの一式のルールは、しばしば、ポリシと呼ばれる。例えば、ファイアウォールは、一式のルールまたはポリシを適用することによって、インバウンドトラフィックをフィルタリングすることができる。ファイアウォールは、また、一式のルールまたはポリシを適用することによって、アウトバウンドトラフィックをフィルタリングすることもできる。ファイアウォールは、また、基本的なルーティング機能を実行することもできる。
本発明の様々な実施形態が、以下の詳細な説明および添付の図面において開示されている。
図1は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのシステムアーキテクチャに係る機能図である。 図2は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのシステムアーキテクチャに係る別の機能図である。 図3は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのシステムアーキテクチャに係る別の機能図である。 図4Aは、データアプライアンスの一つの実施形態である。 図4Bは、データアプライアンスの一つの実施形態に係る論理コンポーネントの機能図である。 図5は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのプロセスを示すフローチャートである。 図6は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのプロセスを示す別のフローチャートである。 図7は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャによって提供される性能改善に係る一つの実施例を示している。
本発明は、プロセス、装置、システム、組成物、コンピュータ可読記憶媒体上に具現化されたコンピュータプログラム製品、及び/又は、プロセッサに結合されたメモリ上に保管された命令、及び/又は、メモリによって提供される命令を実行するように構成されたプロセッサといった、プロセッサを含む、多数の方法で実施することができる。本明細書では、これらの実装形態、または、本発明がとり得る任意の他の形態は、技法(technique)と称され得る。一般的に、開示されるプロセスのステップの順序は、本発明の範囲内で変更され得る。特に明記しない限り、タスクを実行するように構成されているものとして説明されるプロセッサまたはメモリといったコンポーネントは、所与の時間にタスクを実行するように一時的に構成される汎用コンポーネント、または、タスクを実行するように製造される所定のコンポーネントとして実装され得る。本明細書で使用されるように、「プロセッサ(“processor”)」という用語は、コンピュータプログラム命令といった、データを処理するように構成された1つ以上のデバイス、回路、及び/又は、処理コアを指す。
本発明の1つ以上の実施形態の詳細な説明が、本発明の原理を示す添付の図面とともに、以下に提供されている。本発明は、そうした実施形態に関連して説明されるが、本発明は、いかなる実施形態にも限定されるものではない。本発明の範囲は、請求項によってのみ限定されるものであり、かつ、本発明は、多数の代替、修正、および、均等物を包含する。本発明の完全な理解を提供するために、以下の説明において多数の具体的な詳細が記載されている。これらの詳細は、例示の目的で提供されるものであり、そして、本発明は、これらの具体的な詳細の一部または全部を伴わずに、請求項に従って実施され得る。明確にするために、本発明に関連する技術分野で知られている技術的材料は、本発明が不必要に不明瞭にならないように、詳細には説明されていない。
先進的または次世代ファイアウォール
マルウェアは、一般的に、悪意のあるソフトウェア(例えば、様々な敵対的、侵入的、及び/又は、そうでなければ不要なソフトウェアを含んでいる)を指すために使用される用語である。マルウェアは、コード、スクリプト、アクティブコンテンツ、及び/又は、他のソフトウェアの形態であり得る。マルウェアの例示的な使用は、コンピュータ及び/又はネットワーク動作を中断すること、機密情報(例えば、身元(identity)、金融、及び/又は、知的財産関連情報といった、秘密情報)を盗むこと、及び/又は、プライベート/専用コンピュータシステム及び/又はコンピュータネットワークへのアクセスを得ること、を含む。残念ながら、マルウェアの検出および軽減を助けるための技法が開発されるにつれて、不正な作者(nefarious author)は、そうした努力を回避する方法を見出している。従って、マルウェアを識別し、かつ、軽減するための技法に対する改善の必要性が引き続き存在している。
ファイアウォールは、一般的に、承認された通信がファイアウォールを通過することを許可し、一方で、不正アクセスからネットワークを保護している。ファイアウォールは、典型的には、ネットワークアクセスのためにファイアウォール機能を提供する、デバイス、一式のデバイス、または、デバイスにおいて実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能デバイス)のオペレーティングシステムの中に統合することができる。ファイアウォールは、また、種々のタイプのデバイスまたはセキュリティデバイス上のソフトウェアアプリケーションに統合されるか、またはそれとして実行されることもできる。コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、または、データアプライアンス(例えば、セキュリティ機器、または、他のタイプの特殊目的デバイス、そして、いくつかの実装では、所定の動作が、ASICまたはFPGA等の専用ハードウェア内に実装されることができる)といったものである。
ファイアウォールは、典型的に、一式のルールに基づいてネットワーク送信を拒否または許可する。これらの一式のルールは、しばしば、ポリシ(例えば、ネットワークポリシ、または、ネットワークセキュリティポリシ)と呼ばれる。例えば、ファイアウォールは、不要な外部トラフィックが保護デバイスに到達することを防ぐために、一式のルールまたはポリシを適用することによって、インバウンドトラフィックをフィルタリングすることができる。ファイアウォールは、また、一式のルールまたはポリシを適用することによってアウトバウンドトラフィックをフィルタリングすることもできる(例えば、許可(allow)、ブロック(block)、モニタリング(monitor)、通知(notify)、またはログ(log)、及び/又は、ファイアウォールルールまたはファイアウォールポリシにおいて指定され得る他のアクションであり、これらは、本明細書において説明されるような、様々な基準に基づいてトリガすることができる)。ファイアウォールは、また、同様に一式のルールまたはポリシを適用することによって、ローカルネットワーク(例えば、イントラネット)トラフィックをフィルタリングすることもできる。
セキュリティデバイス(例えば、セキュリティ機器、セキュリティゲートウェイ、セキュリティサービス、及び/又は、他のセキュリティデバイス)は、様々なセキュリティ動作(例えば、ファイアウォール、アンチ-マルウェア、侵入防止/検出、プロキシ、及び/又は、他のセキュリティ機能)、ネットワーク機能(例えば、ルーティング、クオリティ・オブ・サービス(QoS)、ネットワーク関連リソースのワークロードバランシング、及び/又は、他のネットワーキング機能)、及び/又は、他のセキュリティ及び/又はネットワーキング関連の動作を実行することができる。例えば、ルーティングは、送信元(source)情報(例えば、IPアドレスおよびポート)、宛先(destination)情報(例えば、IPアドレスおよびポート)、および、プロトコル情報(例えば、レイヤ3 IPベースのルーティング)に基づいて実行することができる。
基本的なパケットフィルタリング・ファイアウォールは、ネットワークを介して送信される個々のパケットを検査することによって、ネットワーク通信トラフィックをフィルタリングする(例えば、パケットフィルタリング・ファイアウォールまたは第1世代ファイアウォールであり、それらはステートレス(stateless)パケットフィルタリング・ファイアウォールである)。ステートレスパケットフィルタリング・ファイアウォールは、典型的に、個々のパケット自体を検査し、そして、検査されたパケットに基づいて(例えば、パケットの送信元および宛先のアドレス情報、プロトコル情報、および、ポート番号の組み合わせを使用して)ルールを適用する。
アプリケーション・ファイアウォールは、また、(例えば、TCP/IPスタックのアプリケーションレベルにおいて動作する、アプリケーション層フィルタリング・ファイアウォール、または、第2世代ファイアウォールを使用して)アプリケーション層フィルタリングを実行することもできる。アプリケーション層フィルタリング・ファイアウォールまたはアプリケーション・ファイアウォールは、一般的に、所定のアプリケーションおよびプロトコル(例えば、ハイパーテキスト転送プロトコル(HTTP)を使用したウェブブラウジング、ドメインネームシステム(DNS)要求、ファイル転送プロトコル(FTP)を使用したファイル転送、および、Telnet、DHCP、TCP、UDP、およびTFTP(GSS)といった、様々な他のタイプのアプリケーションおよび他のプロトコル)を識別することができる。例えば、アプリケーション・ファイアウォールは、標準ポートを介して通信を試みる未認可(unauthorized)プロトコルをブロックすることができる(例えば、そのプロトコルについて非標準(non-standard)ポートを使用することにより黙って通り抜けること(sneak through)を試みる未認可/外れたポリシプロトコルは、一般的に、アプリケーション・ファイアウォールを使用して識別することができる)。
ステートフル・ファイアウォールは、また、ステートフル・ベースのパケット検査を実行することもでき、そこでは、各パケットが、そのネットワーク送信のパケットフロー(例えば、ステートフル・ファイアウォールまたは第3世代ファイアウォール)(packets/packet flow)と関連する一式のパケットのコンテキストの中で検査される。このファイアウォール技法は、一般的に、ステートフル・パケット検査と呼ばれる。ファイアウォールを通過する全ての接続の記録を維持し、そして、パケットが、新しい接続の開始であるか、既存の接続の一部であるか、または、無効なパケットであるかを判断することができるからである。例えば、接続の状態は、それ自体が、ポリシの中のルールをトリガするクライテリアの1つになり得る。
先進的または次世代ファイアウォールは、上述のように、ステートレスおよびステートフルなパケットフィルタリングおよびアプリケーション層フィルタリングを実行することができる。次世代ファイアウォールは、また、追加のファイアウォール技法を実行することもできる。例えば、ときどき、先進的または次世代ファイアウォールと呼ばれる、所定の新しいファイアウォールは、また、ユーザおよびコンテンツを識別することもできる。特に、所定の次世代ファイアウォールは、これらのファイアウォールが自動的に識別できるアプリケーションのリストを、何千ものアプリケーションまで拡大している。そうした次世代ファイアウォールの例は、Palo Alto Networks社から市販されている(例えば、Palo Alto NetworksのPA Seriesファイアウォール)。
例えば、Palo Alto Networks社の次世代ファイアウォールは、様々な識別技術を使用して、企業が、-単にポート、IPアドレス、およびパケットだけでなく-アプリケーション、ユーザ、およびコンテンツを識別し、かつ、制御することを可能にする。様々な識別技術は、正確なアプリケーション識別のためのアプリケーションID(App-ID)、ユーザ識別のためのユーザID(User-ID)(例えば、ユーザまたはユーザグループ)、および、リアルタイムなコンテンツスキャニングのためのコンテンツID(Content-ID)(例えば、Webサーフィンを制御し、かつ、データおよびファイルの転送を制限する)、といったものである。これらの識別技術により、企業は、従来のポートブロッキングファイアウォールによって提供される従来のアプローチに従う代わりに、ビジネス関連の概念を使用して、アプリケーションの使用を安全に可能にすることができる。また、次世代ファイアウォールのための特定目的ハードウェアは、専用の機器として、汎用ハードウェアにおいて実行されるソフトウェアよりも、アプリケーション検査についてより高いパフォーマンスレベルを一般的に提供する(例えば、Palo Alto Networks社が提供するセキュリティ機器といったものであり、シングルパス・ソフトウェアエンジンと堅く統合されている、専用の、機能固有の処理を利用し、レイテンシ(latency)を最小化する一方で、ネットワークのスループットを最大化する)。
先進的または次世代ファイアウォールは、また、仮想化ファイアウォールを使用して実装することもできる。そうした次世代ファイアウォールの例は、Palo Alto Networks社から市販されている(Palo Alto Networksのファイアウォールは、例えば、VMware(R) ESXiTMおよびNSXTM、Citrix(R)Netscaler SDXTM、KVM/OpenStack(Centos/RHEL、Ubuntu(R))、および、Amazon Web Services(AWS)を含む、様々な商用仮想化環境をサポートしている)。例えば、仮想化ファイアウォールは、物理的フォームファクタ機器で利用可能な、類似の、または、全く同じ次世代ファイアウォールおよび先進的な脅威防止機能をサポートすることができ、企業は、アプリケーションがそのプライベート、パブリック、およびハイブリッドクラウドコンピューティング環境に流入し、それらにわたり安全に流れることができることを可能にする。VMモニタリング、ダイナミックアドレスグループ、およびRESTベースのAPIといった自動化機能により、企業は、VMの変化を動的にモニタすることができ、そのコンテキストをセキュリティポリシに反映させて、それにより、VMの変化時に生じ得るポリシの遅れ(lag)を排除している。
帯域幅が増加するネットワーク環境におけるセキュリティソリューションの技術的課題
セキュリティサービスプロバイダは、様々なファイアウォール、VPN、および、他のセキュリティ関連サービスを含む、様々な市販のセキュリティソリューションを提供する。例えば、いくつかのセキュリティサービスプロバイダは、様々なファイアウォール、VPN、および、他のセキュリティ関連サービスを含む、そうしたセキュリティソリューションを顧客に提供する。しかしながら、増加する帯域幅ネットワーク環境(例えば、100ギガバイト(100G)リンクを有するエンタープライズネットワーク環境)は、そうしたセキュリティソリューションに対する技術的課題を提示する。
具体的に、必要とされるものは、そうしたセキュリティソリューションについて高スループットを効率的に促進するための新しく、かつ、改善されたソリューションである。例えば、プライベートおよびパブリッククラウドネットワークは、100G又はより高速のネットワーク(例えば、100G又はより高速のリンクを有するネットワーク)に向かって移動している。結果として、仮想セキュリティソリューションを提供することはますます高価である(例えば、100G又はより高速における、Palo Alto Networks社から市販されているファイアウォールのための仮想セキュリティソリューションといったものであり、それらは、例えば、VMware(R) ESXiTMおよびNSXTM、Citrix(R)Netscaler SDXTM、KVM/OpenStack(Centos/RHEL、Ubuntu(R))、および、Amazon Web Services(AWS)、または、様々な他の市販のファイアウォールソリューションを含む、様々な商用仮想化環境を使用して提供されている)。既存のアプローチの一つの例は、ユーザ空間にある、VM/CNシリーズ仮想化環境を用いてオフロード(offload)を試みることである。しかしながら、このアプローチは、そうしたオフローディング動作のために利用されるコンピューティングリソースの点で高価である。
ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するための技法の概要
現在のSASE(Security Access Service Edge)環境においては、我々が克服する必要がある多くの技術的課題が存在している。これらの技術的課題の例が、これから、説明される。ネットワーキング機能は、パブリックIPアドレスおよびプライベートIPアドレスプール、等といった、ネットワーキング中心であり、かつ、本来は本質的に弾力性のない(not inherently elastic)、外部リソースに関連付けられる。また、セキュリティ処理能力のための真の弾力性(elasticity)を達成することは、一般的に、技術的には困難である。別の例として、より良好なサービスレベル性能および可用性を達成するために、サードパーティ、または、クラウドプロバイダサービスおよび機能を活用することは、一般的に、技術的には困難である。
従って、ネットワーキングおよびセキュリティスプリットアーキテクチャ(security split architecture)を提供するための様々な技法が開示される。本明細書で説明される一つの例は、セキュリティエンティティを、ネットワーキング機能層およびセキュリティ機能層へと分割する、新しいネットワーキングおよびセキュリティスプリットアーキテクチャである(例えば、PanOSプラットフォームを使用するといった、ネットワークゲートウェイファイアウォール(NGFW)であり、例として、カリフォルニア州サンタクララに本拠を置くPalo Alto Networks社から入手可能なPalo Alto Networks VM/CNシリーズ仮想ファイアウォールプラットフォームであり、または、他の市販のセキュリティプラットフォームは、本明細書で説明されるように、開示されるスプリットネットワーキングおよびセキュリティアーキテクチャ技法を使用して、同様に修正され得る)。
例示的な実装において、ネットワーキング機能層は、IPSec終了、ルーティング、ネットワークアドレス変換(NAT)、等といった、ネットワーキングタスクを終了し、かつ、処理(handle)するためにフロントエンドにおいて実装される。本明細書では、この層を、ネットワーキングアンカー層(Networking Anchor Layer)と呼ぶ。セキュリティ機能層は、レイヤ7コンテンツ検査、SSL復号(Decryption)、URLフィルタ、等といった、セキュリティタスクを処理するために、バックエンドに展開されている。本明細書では、この層を、セキュリティオフロード層(Security Offloading Layer)と呼ぶ。これら2つの層の間のインターフェイスは、オフロードインターフェイスと呼ばれる。
この例示的な実装においては、一旦、ネットワーキングアンカー層でネットワークトラフィックが受信されると、我々は、IPSec終了、ネットワーキングルックアップ、次いで、負荷分散(load balancing)を、様々なセキュリティオフロード層インスタンスに対して適用することができる。セキュリティオフロード層インスタンスは、次いで、セキュリティポリシルックアップ、レイヤ7コンテンツ検査、および、可能なSSL復号、または、他のセキュリティ機能を実行する。セキュリティ処理の後で、ネットワークトラフィックは、ルーティング、および、可能なNAT機能のために、ネットワーキングアンカー層に戻って転送される。
開示されるネットワーキングおよびセキュリティスプリットアーキテクチャは、セキュリティソリューションに対する既存のアプローチに対して様々な改善を提供する。例えば、ネットワーキングアンカー層は、CPU集中セキュリティタスクを実行するために、そうした層が必要とされないので、より良好なユニット性能を提供することができる。かくして、この層は、パブリックIPアドレスおよびプライベートIPアドレスプールといった、より多くのネットワーキングリソースを集約することができる。このことは、一般的に、インスタンス境界にわたり(例えば、仮想ファイアウォールインスタンス境界にわたり)これらのネットワーキングリソースを管理するための変更および困難を低減する。
別の例として、セキュリティオフロード層は、比較的に、ネットワークに依存しない(agnostic)。従って、セキュリティオフロード層は、ネットワーキングまたはロケーションの知識なしで、より弾力的に展開され得る。
いくつかの実施形態において、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのシステム、プロセス、及び/又は、コンピュータプログラム製品は、セキュリティサービス(例えば、一つのパブリッククラウドサービスプロバイダ、または、複数のパブリッククラウドサービスプロバイダを使用するといった、クラウドベースのセキュリティサービス)で、フローを受信すること、1つ以上のネットワーキング機能を実行するために、セキュリティサービスのネットワーク層(例えば、ネットワークアンカーインスタンス)で、フローを処理すること、および、ポリシに基づいてセキュリティ実施を実行するために、フローを、セキュリティサービスのセキュリティ層(例えば、オフロードセキュリティインスタンス)にオフロードすること、を含む。
例えば、フローは、セキュリティサービスで、新しいフローであると決定され、そして、メタ情報は、セキュリティサービスのネットワーク層でのフローの処理の最中にフローから抽出され得る。そこで、メタ情報は、フローに関連付けられたアプリケーション識別を含んでいる。
ネットワーク層でのフローの処理は、以下のうちの1つ以上を実行することを含み得る。すなわち、IPSEC終了、ルーティング、ネットワークアドレス変換(NAT)、および、ディープパケットインスペクション、である。
セキュリティ層は、(例えば、ファイアウォールの)複数のセキュリティインスタンスを含むことができ、かつ/あるいは、複数のセキュリティインスタンスは、以下のうちの1つ以上を含むセキュリティ機能の別個のマイクロサービスを実行するように実装され得る。すなわち、アンチウィルス、アンチスパム、DNSセキュリティ、侵入検知/防止セキュリティ(IDS/IPS)、および、データ抽出セキュリティ、である。
ネットワーク層は、以下のうちの1つ以上を含むことができる。すなわち、ネットワークルータ、仮想プライベートネットワーク(VPN)ゲートウェイ、および、ロードバランサ(例えば、ロードバランサは、セッションの第1パケットを、セキュリティ層の1つのセキュリティインスタンスに送信し、かつ、同じセッションの後続のパケットを、セキュリティ層の同じセキュリティインスタンスに送信することができる)、である。
フローが閉じられた(closed)後で、フローに関連付けられたセッション統計が、セキュリティ層によって生成され得る。
ネットワーキングおよびセキュリティスプリットアーキテクチャを提供する開示される技術は、強化されたセキュリティソリューションのための任意の展開(deployment)に対して適用され得る。一つの例として、開示される技術は、サービスプロバイダネットワーク環境といった、高帯域幅ネットワーク環境に対して適用することができる。具体的に、サービスプロバイダの展開(例えば、AT&T、Verizon、または、他の市販のサービスセルラー、及び/又は、インターネット/ネットワークサービスプロバイダの展開)は、一般的に、高帯域幅ネットワーク環境に関連付けられる(例えば、そうしたサービスプロバイダは、典型的に、非常に高いスループット(例えば、100 Gbps)を所望する)。サービスプロバイダの展開は、また、一般的に、ネットワークトラフィックの大部分が典型的にはパススルートラフィック(passthrough traffic)(例えば、エレファントフロー(elephant flow))である、ネットワーク環境にも関連付けられる。かくして、サービスプロバイダネットワークにおけるネットワークトラフィックの著しい割合が、セキュリティ検査についてバイパスされる可能性を有する、より少数のフロー内に存在している(例えば、一つの例示的なサービスプロバイダネットワークでは、ネットワークトラフィックの約80%は、それが、この例示的なサービスプロバイダネットワークを通過しているエレファントフローの割合なので、オフロードされ得る。)。これらのエレファントフローは、典型的には、ビデオストリーム(例えば、Netflix、YouTube(登録商標)、等を使用するビデオストリーミング)、及び/又は、ビデオ会議(例えば、Zoom、WebEx、等を使用するビデオ会議)である。
ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するための開示される技術を使用することから利益を得ることができる、ネットワークトラフィックの他の例示的なタイプは、これら又は他の暗号化されたネットワークプロトコルを使用して暗号化される、SSH、SSL、および、IPSEC関連ネットワークトラフィックを含んでいる。サービスプロバイダは、典型的に、それらの顧客間のフローの中間にあるとすると、サービスプロバイダは、一般的に、そうした暗号化されたネットワークトラフィックを検査するために必要な鍵を有しておらず、そして、かくして、この暗号化されたトラフィックも、また、開示される技法を使用して、効果的にオフロードされ得る。様々な他のタイプのネットワークトラフィックが、同様に、開示される技法を使用して、効果的にオフロードされ得る。
従って、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するための様々な技法が開示され、以下でも、また、さらに説明される。
ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するための例示的なシステム実施形態
図1は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのシステムアーキテクチャに係る機能図である。図1を参照すると、ネットワーキングおよびセキュリティスプリットアーキテクチャソリューション102(例えば、仮想プライベートクラウド(VPC)におけるクラウドベースのセキュリティサービスとして実装されるもの)が提供されている。それは、ネットワーキングアンカー層(Networking Anchor Layer)104A、(例えば、ルーティング、ネットワーキングの終了、アンダーレイトンネリング、ネットワークアドレス変換(NAT)、等のためのレイヤを実装している、開示されるネットワーキングアンカー層の軽量バージョン(例えば、セキュリティ処理コンポーネントを含まない))、オフロードインターフェイス(Offloading Interface)106(例えば、ネットワーキングレイヤとセキュリティ層との間の機能インターフェイスを提供するためのレイヤを実装している)、および、セキュリティオフロード層(Security Offloading)108(例えば、SSL復号、セキュリティポリシ実施のためのディープパケットインスペクション(DPI)、等といったセキュリティ処理のためのレイヤを実装するための動的に割り当てられたセキュリティ処理インスタンス(securing processing instances))を含んでいる。図示のように、ネットワーキングアンカー層は、以下の例示的なコンポーネントを含む。すなわち、ルータ114、VPNゲートウェイ116、および、ロードバランサ118(例えば、適応ロードバランサとして実装され、それは、ポリシベースの転送(PBF)を実行し、かつ、ネクストホップ(next-hop)グループへのトラフィックの転送をサポートし、複数の転送先(オフロードインスタンス)を含むことができ、そして、動的に追加または除去することができ、同様に、グループベースのロードバランスハッシュアルゴリズム(例えば、セッションID/ソースのみ/宛先のみ/ソース-宛先/等)を使用している。また、図示されるように、セキュリティオフロード層は、セキュリティインスタンスグループを含む(例えば、複数のPanOSインスタンスを含んでおり、または、別の市販の仮想/コンテナベースのセキュリティプラットフォーム層が、同様に、この層において実装され得る)。
この例示的な実装において、ネットワーキングアンカー層は、CPU集約的なセキュリティタスクを実行するためにそうしたレイヤが必要とされないので、より良好なユニット性能を提供することができる。かくして、この層は、パブリックIPアドレスおよびプライベートIPアドレスプールといった、より多くのネットワーキングリソースを集約することができる。このことは、一般的に、インスタンス境界にわたり(例えば、仮想ファイアウォールインスタンス境界にわたり)これらのネットワーキングリソースを管理するための変更および困難を低減する。また、この例示的な軽量ネットワーキングアンカー層(例えば、純粋なネットワーキングアンカー層)は、同じ転送経路を用いてネットワークトラフィックの100%をカバーすることができる(例えば、全てのアプリケーションに対して同じスケーリング挙動を提供し、そして、セキュリティ完全性を維持する)。セキュリティオフロード層は、比較的に、ネットワークに依存しない。かくして、セキュリティオフロード層は、ネットワーキングまたはロケーションの知識なしに、より弾力的に展開され得る。
支社(Branch Office)112Aおよび112Bからのネットワークトラフィックは、IPSecトンネルを介して、ネットワーキングアンカー層に送信される。ルータは、暗号化されていない(non-encrypted)トラフィックをセキュリティオフロード層にルーティングし、そして、暗号化されたトラフィックをVPNゲートウェイにルーティングする。ルータは、また、インターネット110への/からのトラフィックをルーティングすることができる。ロードバランサは、示されるように、セキュリティオフロード層の様々なセキュリティインスタンスに対して、(例えば、ネットワークトラフィックまたはセッションに関連付けられたレイヤ4情報に基づいて)ネットワークトラフィックを動的に負荷分散する。この例示的な実装において、IPユーザマッピングが、ネットワーキングアンカー層およびセキュリティオフロード層の両方において生成され、そして、1つのインスタンスにおいて生成されるエントリが、他の全てのインスタンスに同期され得る。
図2は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのシステムアーキテクチャに係る別の機能図である。図2を参照すると、ネットワーキングおよびセキュリティスプリットアーキテクチャソリューション102B(例えば、仮想プライベートクラウド(VPC)においてクラウドベースのセキュリティサービスとして実装されるもの)が、同様に、提供されている。それは、ネットワーキングアンカー層104B(例えば、ルーティング、ネットワーキングの終了、アンダーレイトンネリング、ネットワークアドレス変換(NAT)、等のためのレイヤを実装している)、オフロードインターフェイス106(例えば、ネットワーク層とセキュリティ層との間の機能的インターフェイスを提供するためのレイヤを実装している、動的に割り当てられたセキュリティ処理インスタンス)、および、セキュリティオフロード層108(例えば、SSL復号、セキュリティポリシ実施のためのディープパケットインスペクション(DPI)、等といった、セキュリティ処理のためのレイヤを実装している)を含んでいる。図示されるように、この例示的な実装におけるネットワーキングアンカー層は、以下の例示的なコンポーネントを含む。すなわち、ルータ114、VPNゲートウェイ116、および、ロードバランサ118、並びに、非アンカー(un-anchored)ネットワークトラフィックにおけるセキュリティ処理(例えば、5%スループット)を実行するためのセキュリティ処理コンポーネント120、である。また、示されるように、セキュリティオフロード層は、図1に関して上記で説明されたのと同様にように、レイヤ4情報に基づいて負荷分散され得る、アンカートラフィックにおけるセキュリティ処理(例えば、95%スループット)のためのセキュリティインスタンスグループ(例えば、複数のPanOSインスタンスを含んでおり、または、別の市販の仮想/コンテナベースのセキュリティプラットフォーム層が、同様に、この層において実装され得る)を含む。
図3は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのシステムアーキテクチャに係る別の機能図である。図3を参照すると、ネットワーキングおよびセキュリティスプリットアーキテクチャソリューション102C(例えば、仮想プライベートクラウド(VPC)においてクラウドベースのセキュリティサービスとして実装されるもの)が、同様に、提供されている。それは、ネットワークトラフィック通信を、ネットワーキングおよびセキュリティスプリットアーキテクチャソリューション102Cと接続するためにセキュアトンネル(例えば、Global Protect(GP)VPNトンネルであり、Palo Alto Networks社Inc.から市販されているGlobal Protect(GP)エージェントを使用して提供されており、または、別のセキュアエンドポイントエージェントを同様に使用することができる)を介して接続する。図2に関して上述したのと同様に、ネットワーキングおよびセキュリティスプリットアーキテクチャソリューション102Cは、ネットワーキングアンカー層104C(例えば、ルーティング、ネットワーキングの終了、アンダーレイトンネリング、ネットワークアドレス変換(NAT)、等のためのレイヤを実装している)、オフロードインターフェイス106(例えば、ネットワーク層とセキュリティ層との間の機能的インターフェイスを提供するためのレイヤを実装している)、および、セキュリティオフロード層108(例えば、SSL復号、セキュリティポリシ実施のためのディープパケットインスペクション(DPI)、等といった、セキュリティ処理のためのレイヤを実装している、動的に割り当てられたセキュリティ処理インスタンス)を含んでいる。図示されるように、この例示的な実装におけるネットワーキングアンカー層は、以下の例示的なコンポーネントを含む。すなわち、ルータ114、VPNゲートウェイ116、および、ロードバランサ118、並びに、非アンカーネットワークトラフィックにおけるセキュリティ処理(例えば、5%スループット)を実行するためのセキュリティ処理コンポーネント120、である。また、示されるように、セキュリティオフロード層は、図1に関して上記で説明されたのと同様にように、レイヤ4情報に基づいて負荷分散され得る、アンカートラフィックにおけるセキュリティ処理(例えば、95%スループット)のためのセキュリティインスタンスグループ(例えば、複数のPanOSインスタンスを含んでおり、または、別の市販の仮想/コンテナベースのセキュリティプラットフォーム層が、同様に、この層において実装され得る)を含む。
この例示的な実装において(例えば、図2及び/又は図3に示されるように)、ネットワーキングアンカー層のセキュリティ処理コンポーネント、および、セキュリティオフロード層の両方において実行されるセキュリティ処理は、上記と同様に、ユーザID、コンテンツID、および、アプリケーションID(App-ID)ベースのセキュリティ処理技法を含む、様々なDPIセキュリティ処理技法を実装することができる(例えば、対照的に、図1の例示的な実装において、そうしたDPIセキュリティ処理技法は、上記と同様に、セキュリティオフロード層においてのみ実行される)。
この例示的な実装において、ネットワーキングアンカー層とセキュリティオフロード層との間のメタ情報は、転送されるネットワークトラフィックにおいてカプセル化され得る。例えば、セキュリティゾーン(例えば、ソースおよび宛先)情報は、ネットワーキングアンカー層インスタンスの入口および出口インターフェイスに対してゾーンが結合される際に、セキュリティインスタンスに搬送され得る(例えば、そして、他のメタデータ情報も、また、提供され得る)。
L3/L4負荷分散(Load Balancing)
上述したのと同様に、開示されるスプリットアーキテクチャは、性能向上のための別個のネットワークおよびセキュリティ処理を促進する(例えば、高ネットワーク帯域幅環境は、上述したのと同様に、これらの性能改善から利益を得ることができる)。ネットワーキングコンポーネントは、パブリックIP、プライベートIPプール、ボーダーゲートウェイプロトコル(BGP)、および、トンネリング(例えば、VPNトンネリング、等)といった、様々なネットワーキングリソースを処理することができ、一方で、セキュリティコンポーネントは、一般的に、上述したのと同様に、また、様々なL7セキュリティ機能も処理することができる。この例示的な実装において、セキュリティコンポーネントは、クラウドネイティブ環境において弾性的であるように設計され、かつ、我々の現在のネットワークテスト分析に基づいており、ネットワークコンポーネントは、セキュリティコンポーネントよりも、はるかに高いネットワーキングトラフィックのスループットを処理することができる。かくして、いくつかのタイプのトラフィックをネットワーキングのカウンターパート(counterpart)からセキュリティコンポーネントのグループへと効率的にリダイレクトすることを促進するために、L3/L4ロードバランサが、さらに開示される。
開示されるスプリットアーキテクチャシステム設計に係る一つの例示的な実装において、PanOS VMシリーズは、アンカーインスタンスとして使用される(例えば、代替的に、サードパーティまたは他のオープンソースファイアウォールソリューションが、同様に、そうしたアンカーインスタンスとして使用され得る)。この例示的な実装において、ポリシベースの転送(Policy-Based Forwarding、PBF)は、L3/L4ロードバランサをサポートするように拡張される。
PBF(すなわち、ポリシベースの転送)は、転送決定を行うときに、ルーティングよりも高い優先度を有する、転送機能である。必ずしも全てのトラフィックがセキュリティコンポーネントに転送されるわけではないことを考慮すると、トラフィックフィルタリングを実施するためにPBFを使用することができる。現在、PBFを使用するときに、トラフィックは、1つの宛先のみにリダイレクトされ得るが、ロードバランサとして機能するために、この例示的な実装では(例えば、例示的なPanOS VMシリーズ実装)、ネクストホップのグループ(例えば、マルチパス)に転送することができるように拡張される。
以下は、この例示的なPanOS VMシリーズ実装について、開示されるPBFからマルチパスへの拡張の実装のための一つの例示的なスキーマである。
マルチパスへのPBFのスキーマ(Schema for PBF to Multipath)
Figure 2025502606000002
PBFネクストホップは、パケットが送信される出口インターフェイスとネクストホップアドレスとの組み合わせである。
PBFマルチパスグループは(例えば、総数は4)、PBFネクストホップのグループである(例えば、最大で64)。セッションがPBFマルチパスルールに一致する場合には、そのルールで定義されたハッシュアルゴリズムに基づいて、このグループで定義されたネクストホップに転送する。
PBFマルチパスハッシュ実装のためのハッシュアルゴリズムは、セッションのトラフィックのうち、どのネクストホップが宛先として使用され得るかを決定する。現在のサポートハッシュアルゴリズムは、ソースIP、宛先IP、ソースー宛先IP、および、セッションIDに基づいている。
他の全てのPBFルールと同様に、PBFルールマッチングは、セッションの出口ゾーンを決定するためのセッションのまさに最初のパケットについてのみ起こる。
他のタイプのPBFルールとは異なり、PBFマルチパスルールは、c2sトラフィックのみにマッチする。このルールは、s2cマッチングを行うときには無視される。
しかしながら、PBFマルチパスルールにヒットしたが、マルチパスグループ内でアクティブなネクストホップが定義されていない場合、このルールは無視され、そして、ルーティングが、代わりに、使用される。
かくして、アンカーインスタンスは、依然として、完全な機能性を有することができる。
マルチパスルールがヒットし、かつ、グループ内にアクティブなネクストホップが存在する場合には、ネクストホップのうちの1つが選択され、そして、ルール内で定義されたハッシュに基づいて、セッション内にキャッシュされる。
このセッションに一致するパケットは、選択されたネクストホップに転送される。
また、マルチパスグループへの/からの、ネクストホップの追加/除去は、一般的に、既存のセッションに影響を与えない。
ネットワーキングおよびセキュリティスプリットアーキテクチャにおける性能改善
開示されるネットワーキングおよびセキュリティスプリットアーキテクチャは、これから説明するように、クラウドベースのセキュリティソリューションについて様々な性能改善を促進することができる。
例えば、単一リモートノード(RN)の性能について、上述したのと同様に、セキュリティ負荷をオフロード層へとオフロードすることによって、単一RNの性能を改善することができる。
別の重要な態様は、コンピューティング能力あたりの全体的な性能(コア)である。開示されるスプリットアーキテクチャは、アンカー(外側)層に張り付く(sticking)ネットワーキングリソースを可能にすることができる。これにより、クラウドベースのセキュリティサービスは、日中の全体的な性能を損なうことなく、トラフィックが少ない夜間にコンピューティング/処理コストを低減することができる。
かくして、開示されるスプリットアーキテクチャは、技術的に可能な限りセキュリティ処理を、内側レイヤにオフロードすることを促進する。例えば、4:1(内側vs外側)よりも大きい比を達成することができる場合には、性能を失わないことによって、全体的なコスト節約が見られる。
図7は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャによって提供される性能改善に係る一つの実施例を図示している。
図7に示されるように、例えば、1つの4コアのRNノードが250MbpsのSSL復号トラフィックを処理することができる場合に、このRNノードを使用して、1つの200MbpsのRN、または、4つの50MbpsのRNをプロビジョニングすることができる。総アグリゲーションスループットは、200Mbpsである。コア当たりのスループットは、50Mbps/コアである。単一の最高RN終端(termination)は、200Mbpsである。
開示されるスプリットアーキテクチャを使用することなく、FQDNベースのスケーリングを実行する場合には、4つの50MbpsのRNを4つの異なるRNノードに分離することができ、そして、次いで、各RNは、200Mbpsまで到達することができる。すると、総アグリゲーションスループットは、800Mbpsである。コア当たりのスループットは、依然として50Mbps/コアである。単一の最高RN終端は、依然として200Mbpsである。FQDNベースのスケーリングは、アンカーノードが処理できる容量まで、RNスケーリングを可能にする。しかしながら、FQDNベースのスケーリングは、アンカーノード容量制限が存在するので、単一のRNインスタンスに対してそれ以上スケールアップすることはできない。
対照的に、開示されるスプリットアーキテクチャを使用して、内部オフロード層に対してヘビーリフティングSSL復号トラフィックをオフロードすることによって、アンカーノードにおけるスループット容量を増加させることができる。かくして、開示されるスプリットアーキテクチャを用いて、アンカー対オフロードの4:1の性能処理比率を達成することができる場合には、トラフィックを以下のように処理することができる。すなわち、1つの800MbpsのRN、または、4つの200MbpsのRN、である。次いで、この場合に、総アグリゲーションスループットは、800Mbpsである。コア当たりのスループットは、40Mbps/コアである。単一の最高RN終端は、800Mbpsである。かくして、RN容量の高い上限(high ceiling)が著しく増加され、これは、開示されるスプリットアーキテクチャがどのように単一RN性能を著しく改善することができるかを明らかにする。
従って、ネットワーキングおよびセキュリティスプリットアーキテクチャのための開示される技法は、フレキシブルであり、そして、例えば、仮想ベース及び/又はコンテナベースのファイアウォール(例えば、Palo Alto NetworksのVM-SeriesまたはCN-Seriesファイアウォール、あるいは、他の市販の仮想ベースまたはコンテナベースのファイアウォール)を使用して、セキュリティオフロード層のセキュリティインスタンスを実装する、任意の展開のために機能することができる。例えば、開示される分割ネットワーキングおよびセキュリティアーキテクチャは、節約される全ての計算サイクルがパケット処理および追加のファイアウォール性能のために使用され得るので、著しいスループットのブーストを提供することができる。
データアプライアンス400の一つの実施形態が図4Aに示されている。示される例は、様々な実施形態において、ネットワークゲートウェイがデータアプライアンスとして実装される場合に、ネットワークゲートウェイ400に含まれ得る物理的なコンポーネントの表現である。具体的に、データアプライアンスは、高性能マルチコア中央処理装置(CPU)402、および、ランダムアクセスメモリ(RAM)404を含んでいる。データアプライアンスは、また、ストレージ410(1つ以上のハードディスクまたはソリッドステートストレージユニット、といったもの)も含んでいる。様々な実施形態において、データアプライアンスは、エンタープライズネットワークをモニタリングし、かつ、開示される技法を実装する際に使用される情報を(RAM 404、ストレージ410、及び/又は、他の適切な場所のいずれかに)保管する。そうした情報の例は、アプリケーション識別子、コンテンツ識別子、ユーザ識別子、要求されたURL、IPアドレスマッピング、ポリシおよび他の構成情報、署名、ホスト名/URL分類情報、マルウェアプロファイル、および、機械学習モデルを含んでいる。データアプライアンスは、また、1つ以上の任意的なハードウェアアクセラレータを含むこともできる。例えば、データアプライアンスは、暗号化および復号動作を実行するように構成されている暗号エンジン406、および、マッチングを実行し、ネットワークプロセッサとして作用し、かつ/あるいは、他のタスクを実行するように構成されている1つ以上のフィールドプログラマブルゲートアレイ(FPGA)408、を含むことができる。
データアプライアンスによって実行されるものとして本明細書で説明される機能性は、様々な方法で提供/実装され得る。例えば、データアプライアンスは、専用デバイス、または、一式のデバイスであり得る。データアプライアンスによって提供される機能性は、また、汎用コンピュータ、コンピュータサーバ、ゲートウェイ、及び/又は、ネットワーク/ルーティングデバイスに統合されてもよく、または、そこでソフトウェアとして実行されてもよい。いくつかの実施形態において、データアプライアンスによって提供されるものとして説明される少なくともいくつかのサービスは、代わりに(または、追加的に)、クライアントデバイス上で実行されているソフトウェアによって、クライアントデバイス(例えば、ラップトップ、スマートフォン、等といった、エンドポイントデバイス)に対して提供される。
データアプライアンスがタスクを実行していると説明される場合はいつでも、データアプライアンスの単一のコンポーネント、コンポーネントのサブセット、または、全てのコンポーネントが協働してタスクを実行し得る。同様に、データアプライアンスのコンポーネントがタスクを実行していると説明される場合はいつでも、サブコンポーネントがタスクを実行し、かつ/あるいは、コンポーネントが他のコンポーネントと共にタスクを実行得る。様々な実施形態において、データアプライアンスの一部は、1つ以上のサードパーティによって提供される。データアプライアンスに利用可能なコンピューティングリソースの量といった要因に応じて、データアプライアンスの種々の論理コンポーネント及び/又は特徴は、省略され、そして、本明細書で説明される技法は、それに応じて、適合され得る。同様に、追加的な論理コンポーネント/特徴が、適用可能な場合に、データアプライアンスの実施形態に含まれ得る。様々な実施形態においてデータアプライアンスに含まれるコンポーネントの一つの例は、(例えば、パケットフロー分析に基づいてアプリケーションを識別するために様々なアプリケーションシグネチャを使用して)アプリケーションを識別するように構成されている、アプリケーション識別エンジンである。例えば、アプリケーション識別エンジンは、どのタイプのトラフィックをセッションが含んでいるかを決定することができる。ウェブブラウジング-ソーシャルネットワーキング、ウェブブラウジング-ニュース、SSH、といったものである。
開示されるシステム処理アーキテクチャは、以下のような、異なる展開シナリオにおいて、異なるタイプのクラウドと共に使用され得る。すなわち、(1)パブリッククラウド、(2)オンプレミスのプライベートクラウド、および、(3)ハイエンドの物理的ファイアウォールの内部、である。プライベートクラウドを実行するために、(例えば、Palo Alto Networks PA-5200 Seriesファイアウォールアプライアンス内の管理プレーン(MP)を使用して)いくらかの処理能力を割り当てることができる。
図4Bは、データアプライアンスの一つの実施形態の論理コンポーネントに係る機能図である。示される例は、様々な実施形態においてネットワークゲートウェイ400に含まれ得る論理コンポーネントの表現である。別段の指定がない限り、ネットワークゲートウェイ400の様々な論理コンポーネントは、一般的に、様々な方法で実装可能であり、1つ以上のスクリプトのセットとして含んでいる(例えば、適用可能な場合、Java(登録商標)、python、等で書かれている)。
図示されるように、ネットワークゲートウェイ400は、ファイアウォールを含み、そして、管理プレーン432およびデータプレーン434を含んでいる。管理プレーンは、ポリシを構成すること、および、ログデータを閲覧するためにユーザインターフェイスを提供することなどによって、ユーザインタラクションを管理することを担う。データプレーンは、パケット処理およびセッション処理を実行することなどによって、データを管理することを担う。
ネットワークプロセッサ436は、クライアントデバイスからパケットを受信し、かつ、それらを処理のためにデータプレーン434に提供するように構成されている。フローモジュール438は、パケットを新しいセッションの一部であると識別するときはいつでも、新しいセッションフローを作成する。後続のパケットは、フロールックアップに基づいて、セッションに属するものとして識別される。適用可能な場合、SSL復号は、SSL復号エンジン440によって適用される。そうでなければ、SSL復号エンジン440による処理は省略される。復号エンジン440は、ネットワークゲートウェイ400がSSL/TLSおよびSSH暗号化トラフィックを検査し、かつ、制御するのを助けることができ、そして、従って、そうでなければ暗号化トラフィック無いに隠されたままになり得る脅威を停止するのを助けることができる。復号エンジン440は、また、機密コンテンツが、エンタープライズ/セキュアな顧客のネットワークから離れることを防止するのを助けることもできる。復号は、URLカテゴリ、トラフィックソース、トラフィック宛先、ユーザ、ユーザグループ、および、ポートといった、パラメータに基づいて選択的に制御(例えば、有効化または無効化)することができる。復号ポリシ(例えば、どのセッションを復号するかを指定する)に加えて、復号プロファイルは、ポリシによって制御されるセッションのための種々のオプションを制御するように割り当てられることができる。例えば、特定の暗号スイートおよび暗号化プロトコルバージョンの使用が必要とされ得る。
アプリケーション識別(APP-ID)エンジン442は、セッションがどのタイプのトラフィックを伴うかを決定するように構成されている。一つの例として、アプリケーション識別エンジン442は、受信されたデータにおけるGET要求を認識し、そして、セッションがHTTPデコーダを必要とすると結論付けることができる。いくつかの場合、例えば、ウェブブラウジングセッションにおいて、識別されたアプリケーションは変化することができ、そして、そうした変化はネットワークゲートウェイ400によって記録される。例えば、ユーザは、最初に、企業Wiki(訪問したURLに基づいて「ウェブブラウジング-生産性(“Web Browsing-Productivity”)」として分類される)をブラウズし、そして、次いで、ソーシャルネットワーキングサイト(訪問したURLに基づいて「ウェブブラウジング-ソーシャルネットワーキング(“Web Browsing-Social Networking”)」として分類される)をブラウズすることができる。異なるタイプのプロトコルは、対応するデコーダを有している。
アプリケーション識別(APP-ID)エンジン442によって行われた決定に基づいて、パケットは、脅威エンジン444によって、パケット(順序が乱れて受信され得る)を正しい順序へと組み立て、トークン化を実行し、かつ、情報を抽出するように構成された適切なデコーダに対して送信される。脅威エンジン444は、また、パケットに何が起こるべきかを決定するためにシグネチャマッチングを実行する。必要に応じて、SSL暗号化エンジン446は、復号されたデータを再暗号化することができる。パケットは、送信のために(例えば、宛先に対して)転送モジュール448を使用して転送される。
図4Bにも、また、示されるように、ポリシ452は、管理プレーン432において受信され、かつ、保管される。ポリシは、ドメイン、及び/又は、ホスト/サーバ名を使用して指定され得る、1つ以上のルールを含むことができ、そして、ルールは、モニタリングされたセッショントラフィックフローからの様々な抽出されたパラメータ/情報に基づく、加入者/IPフローに対するセキュリティポリシの実施などのために、1つ以上のシグネチャ、または他の一致する基準、もしくはヒューリスティクスを適用することができる。インターフェイス(I/F)通信機450は、(例えば、(REST)API、メッセージ、もしくは、ネットワークプロトコル通信または他の通信メカニズムを介した)管理通信のために提供されている。
ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するための例示的なプロセス実施形態
図5は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのプロセスを示すフローチャートである。一つの実施形態において、プロセス500は、上述のシステムアーキテクチャ(例えば、図1-図4Bに関して上述したようなもの)を使用して実行される。
プロセスは、フローがセキュリティサービスにおいて受信されるときに、502で開始する。例えば、セキュリティサービスは、上述したのと同様に、クラウドベースのセキュリティサービスであり得る。一つの例示的な実装において、セキュリティサービスは、仮想ベース/コンテナベースのネットワークインスタンス(例えば、VMシリーズまたはCNシリーズのファイアウォール、もしくは、サードパーティのネットワークインスタンスまたはクラウドサービス)上に実装され、そのフローは、上述したのと同様に、ネットワーキングアンカー層によるネットワーク処理の後でセキュリティ処理のためにオフロードされる(例えば、ファイアウォールを通過する全体的なネットワークトラフィックの全部またはサブセット)。
504では、1つ以上のネットワーキング機能を実行するために、セキュリティサービスのネットワーク層でフローの処理が実行される。例えば、IPSEC終了(termination)、ネットワークルーティング、及び/又は、ネットワークアドレス変換(NAT)は、上述したのと同様に、ネットワーキングアンカー層において実行され得る。
506では、ポリシに基づいてセキュリティ実施を実行するために、フローをセキュリティサービスのセキュリティ層にオフロードすることが実行される。例えば、ネットワーキングアンカー層のロードバランサは、上述したのと同様に、フローをセキュリティオフロード層のセキュリティインスタンスに対して送信することができる。
図6は、いくつかの実施形態に従った、ネットワーキングおよびセキュリティスプリットアーキテクチャを提供するためのプロセスを示す別のフローチャートである。一つの実施形態において、プロセス600は、上述のシステムアーキテクチャ(例えば、図1-図4Bに関して上述したようなもの)を使用して実行される。
プロセスは、複数のフローがセキュリティサービスにおいて受信されるとき、602で開始する。例えば、セキュリティサービスは、上述したのと同様に、クラウドベースのセキュリティサービスであり得る。一つの例示的な実装において、セキュリティサービスは、仮想ベース/コンテナベースのネットワークインスタンス(例えば、VMシリーズまたはCNシリーズのファイアウォール、もしくは、サードパーティのネットワークインスタンスまたはクラウドサービス)上に実装され、そのフローは、上述したのと同様に、ネットワーキングアンカー層によるネットワーク処理の後でセキュリティ処理のためにオフロードされる(例えば、ファイアウォールを通過する全体的なネットワークトラフィックの全部またはサブセット)。
604では、1つ以上のネットワーキング機能を実行するために、セキュリティサービスのネットワーク層でフローの処理が実行される。例えば、IPSEC終端、ネットワークルーティング、及び/又は、ネットワークアドレス変換(NAT)は、上述したのと同様に、ネットワーキングアンカー層において実行され得る。
606では、セキュリティサービスのセキュリティ層にオフロードするために、複数のフローの負荷分散が実行される。例えば、ネットワーキングアンカー層は、上述したのと同様に、ロードバランサを含むことができる。
608では、セキュリティサービスのセキュリティ層でのポリシに基づいて、オフロードされた複数のフローのそれぞれに対してセキュリティ検査および実施が実行される。例えば、ネットワーキングアンカー層のロードバランサは、上述したのと同様に、フローをセキュリティオフロード層のセキュリティインスタンスに対して送信することができる。
610では、複数のフローのそれぞれに関連付けられたセッション統計が、上述したのと同様に、セキュリティ層から生成される。
前述の実施形態は、理解を明確にする目的で、ある程度詳細に説明されてきたが、本発明は、提供される詳細に限定されるものではない。本発明を実施する多くの代替方法が存在している。開示される実施形態は、例示的なものであり、かつ、限定的なものではない。

Claims (20)

  1. システムであって、
    プロセッサ、および、メモリを含み、
    前記プロセッサは、
    セキュリティサービスにおいてフローを受信し、
    1つ以上のネットワーキング機能を実行するために、前記セキュリティサービスのネットワーク層において前記フローを処理し、かつ、
    ポリシに基づいてセキュリティ実施を実行するために、前記フローを、前記セキュリティサービスのセキュリティ層にオフロードする、
    ように構成されており、
    前記メモリは、
    前記プロセッサに結合され、かつ、
    前記プロセッサに命令を提供するように構成されている、
    システム。
  2. 前記フローは、前記セキュリティサービスにおいて新しいフローであると決定され、
    前記セキュリティサービスの前記ネットワーク層において前記フローを処理する最中に、メタ情報が、前記フローから抽出され、
    前記メタ情報は、前記フローに関連付けられたアプリケーション識別子を含んでいる、
    請求項1に記載のシステム。
  3. 前記ネットワーク層で前記フローを処理することは、IPSEC終了を実行することを含む、
    請求項1に記載のシステム。
  4. 前記ネットワーク層で前記フローを処理することは、ルーティングを実行することを含む、
    請求項1に記載のシステム。
  5. 前記ネットワーク層で前記フローを処理することは、ネットワークアドレス変換(NAT)を実行することを含む、
    請求項1に記載のシステム。
  6. 前記ネットワーク層で前記フローを処理することは、ディープパケットインスペクションを使用することを含む、
    請求項1に記載のシステム。
  7. 前記セキュリティ層は、複数のセキュリティインスタンスを含む、
    請求項1に記載のシステム。
  8. 前記セキュリティ層は、ファイアウォールのセキュリティインスタンスを含む、
    請求項1に記載のシステム。
  9. 前記セキュリティ層は、セキュリティ機能の別個のマイクロサービスのための複数のセキュリティインスタンスを含み、
    前記セキュリティインスタンスは、アンチウィルス、アンチスパム、DNSセキュリティ、侵入検知/防止セキュリティ(IDS/IPS)、および、データ抽出セキュリティ、のうち1つ以上を含んでいる、
    請求項1に記載のシステム。
  10. 前記ネットワーク層は、ネットワークルータを含む、
    請求項1に記載のシステム。
  11. 前記ネットワーク層は、仮想プライベートネットワーク(VPN)ゲートウェイを含む、
    請求項1に記載のシステム。
  12. 前記ネットワーク層は、ロードバランサを含む、
    請求項1に記載のシステム。
  13. 前記ネットワーク層は、ロードバランサを含み、
    前記ロードバランサは、前記フローの第1セッションを前記セキュリティ層の第1セキュリティインスタンスに送信し、かつ、
    前記フローの前記第1セッションの子を前記セキュリティ層の前記第1セキュリティインスタンスに送信する、
    請求項1に記載のシステム。
  14. 前記ネットワーク層は、ネットワークアンカーインスタンスを含む、
    請求項1に記載のシステム。
  15. 前記セキュリティサービスは、クラウドベースのセキュリティサービスである、
    請求項1に記載のシステム。
  16. 前記セキュリティサービスは、パブリッククラウドサービスプロバイダを使用して提供される、クラウドベースのセキュリティサービスである、
    請求項1に記載のシステム。
  17. 前記セキュリティサービスは、複数のパブリッククラウドサービスプロバイダを使用して提供される、クラウドベースのセキュリティサービスである、
    請求項1に記載のシステム。
  18. 前記プロセッサは、さらに、
    前記フローを閉じ、かつ、
    前記セキュリティ層から前記フローに関連するセッション統計を受信する、
    ように構成されている、
    請求項1に記載のシステム。
  19. 方法であって、
    セキュリティサービスにおいてフローを受信するステップと、
    1つ以上のネットワーキング機能を実行するために、前記セキュリティサービスのネットワーク層において前記フローを処理するステップと、
    ポリシに基づいてセキュリティ実施を実行するために、前記フローを、前記セキュリティサービスのセキュリティ層にオフロードするステップと、
    を含む、方法。
  20. コンピュータプログラムであって、
    前記コンピュータプログラムは、複数のコンピュータ命令を含み、かつ、非一時的有形コンピュータ可読記憶媒体に保管されており、
    前記命令が実行されると、
    セキュリティサービスにおいてフローを受信するステップと、
    1つ以上のネットワーキング機能を実行するために、前記セキュリティサービスのネットワーク層において前記フローを処理するステップと、
    ポリシに基づいてセキュリティ実施を実行するために、前記フローを、前記セキュリティサービスのセキュリティ層にオフロードするステップと、
    を実施する、コンピュータプログラム。
JP2024530445A 2021-12-22 2022-12-06 ネットワーキングおよびセキュリティスプリットアーキテクチャ Pending JP2025502606A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17/559,966 US12069025B2 (en) 2021-12-22 2021-12-22 Networking and security split architecture
US17/559,966 2021-12-22
PCT/US2022/052048 WO2023121868A1 (en) 2021-12-22 2022-12-06 Networking and security split architecture

Publications (1)

Publication Number Publication Date
JP2025502606A true JP2025502606A (ja) 2025-01-28

Family

ID=85018335

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2024530445A Pending JP2025502606A (ja) 2021-12-22 2022-12-06 ネットワーキングおよびセキュリティスプリットアーキテクチャ

Country Status (6)

Country Link
US (2) US12069025B2 (ja)
EP (1) EP4454217A1 (ja)
JP (1) JP2025502606A (ja)
KR (1) KR20240093847A (ja)
CN (1) CN118285078A (ja)
WO (1) WO2023121868A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2025029748A1 (en) * 2023-07-28 2025-02-06 Cisco Technology, Inc. Using dpu devices and ebpf programs to add metadata for security and observability

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9461967B2 (en) 2013-07-18 2016-10-04 Palo Alto Networks, Inc. Packet classification for network routing
US10270809B2 (en) * 2013-12-02 2019-04-23 Akamai Technologies, Inc. Virtual private network (VPN)-as-a-service with delivery optimizations while maintaining end-to-end data security
US9509574B2 (en) * 2015-04-03 2016-11-29 Illumio, Inc. End-to-end policy enforcement in the presence of a traffic midpoint device
US10135789B2 (en) * 2015-04-13 2018-11-20 Nicira, Inc. Method and system of establishing a virtual private network in a cloud service for branch networking
EP3387517A4 (en) * 2015-12-07 2019-05-15 Prismo Systems Inc. SYSTEMS AND METHODS FOR DETECTING AND RESPONDING TO SECURITY THREATS USING THE SCREENING OF APPLICATION AND CONNECTION EXECUTION LINES
CN111884827B (zh) * 2016-08-26 2021-10-15 华为技术有限公司 一种sfc网络中同步拓扑信息的方法及路由网元
US9985872B2 (en) * 2016-10-03 2018-05-29 128 Technology, Inc. Router with bilateral TCP session monitoring
US10931637B2 (en) 2017-09-15 2021-02-23 Palo Alto Networks, Inc. Outbound/inbound lateral traffic punting based on process risk
US11025588B2 (en) * 2018-10-31 2021-06-01 Hewlett Packard Enterprise Development Lp Identify assets of interest in enterprise using popularity as measure of importance
US11057348B2 (en) * 2019-08-22 2021-07-06 Saudi Arabian Oil Company Method for data center network segmentation
US11252106B2 (en) * 2019-08-27 2022-02-15 Vmware, Inc. Alleviating congestion in a virtual network deployed over public clouds for an entity
US11272043B2 (en) * 2020-01-22 2022-03-08 Vmware, Inc. Packet handling based on user information included in packet headers by a network gateway
US12184554B2 (en) * 2020-09-11 2024-12-31 Intel Corporation Multi-access management service packet classification and prioritization techniques
US12212603B2 (en) * 2020-09-25 2025-01-28 Fortinet, Inc. Adjusting behavior of an endpoint security agent based on network location
US11095612B1 (en) 2020-10-30 2021-08-17 Palo Alto Networks, Inc. Flow metadata exchanges between network and security functions for a security service
US12015619B2 (en) * 2021-01-30 2024-06-18 Netskope, Inc. Dynamic routing of access request streams in a unified policy enforcement system
US11665139B2 (en) 2021-04-30 2023-05-30 Palo Alto Networks, Inc. Distributed offload leveraging different offload devices

Also Published As

Publication number Publication date
US12069025B2 (en) 2024-08-20
CN118285078A (zh) 2024-07-02
KR20240093847A (ko) 2024-06-24
US20240372829A1 (en) 2024-11-07
US20230198944A1 (en) 2023-06-22
WO2023121868A8 (en) 2024-01-11
WO2023121868A1 (en) 2023-06-29
EP4454217A1 (en) 2024-10-30

Similar Documents

Publication Publication Date Title
US11665139B2 (en) Distributed offload leveraging different offload devices
US11095612B1 (en) Flow metadata exchanges between network and security functions for a security service
US12107829B2 (en) Localization at scale for a cloud-based security service
US12143423B2 (en) Consistent monitoring and analytics for security insights for network and security functions for a security service
JP7568351B2 (ja) セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換
US11894947B2 (en) Network layer performance and security provided by a distributed cloud computing network
US12231399B2 (en) Distributed traffic steering and enforcement for security solutions
US20240372829A1 (en) Networking and security split architecture
US20240056388A1 (en) Supporting overlapping network addresses universally
US12267298B2 (en) Distributed traffic steering and enforcement for security solutions
US20250039151A1 (en) Load balancing secure network traffic
US20250039150A1 (en) Load balancing secure network traffic
US20240259290A1 (en) Deploying symmetric routing
US20250112893A1 (en) Centralized identity redistribution
US20240121187A1 (en) Deploying ipv6 routing
WO2025024378A1 (en) Load balancing secure network traffic
Moriarty Transport Evolution: The Encrypted Stack

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240719