Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

概要

このトピックでは、cSRXコンテナファイアウォールとそのメリットについて説明します。

cSRXコンテナファイアウォール

コンテナ化されたSRX(cSRX)コンテナファイアウォールは、ジュニパーネットワーク®スのSRXシリーズファイアウォールのコンテナ化されたバージョンで、Dockerコンテナをベースに構築されており、俊敏で弾力性があり、コストを節約するセキュリティサービスを提供します。多くのネットワーキングサービスに組み込まれているcSRX仮想セキュリティソリューションは、AppSecureやコンテンツセキュリティなどの高度なセキュリティサービスをコンテナの形で提供します。

Dockerコンテナを使用すると、各コンテナがLinuxホストのOSカーネルを共有するため、オーバーヘッドが大幅に削減されます。Linux サーバーがホストするコンテナーの数に関係なく、使用できる OS インスタンスは 1 つだけです。

cSRXはフットプリントが小さく、コンテナ管理システムとしてDockerが使用されるため、俊敏で高密度なセキュリティサービスの導入が可能になります。

cSRXは、Dockerコンテナ環境のホスティングプラットフォームとして、Linuxベアメタルサーバー上で稼働します。cSRXパッケージには、すべての依存プロセス(またはデーモン)とライブラリが含まれており、さまざまなLinuxホスト配布方法(Ubuntu、Red Hat Enterprise Linux、またはCentOS)をサポートします。

図1:cSRXコンテナファイアウォールアーキテクチャ cSRX Container Firewall Architecture

cSRXがアクティブな場合、Dockerコンテナ内のいくつかのプロセス(またはデーモン)が自動的に起動します。一部のデーモンは Linux の機能をサポートしており、Linux ホストで実行しているときに提供するのと同じサービス(sshd、rsyslogd、monit など)を提供します。Junos OSから他のデーモンを移植してコンパイルし、セキュリティサービス(mgd、nsd、コンテンツセキュリティ、IDP、AppIDなど)の設定および制御ジョブを実行できます。SRX PFEは、cSRXの収益ポートからパケットを送受信するデータプレーンデーモンです。cSRXは、レイヤー2からレイヤー3の転送機能と、レイヤー4からレイヤー7のネットワークセキュリティサービスにSRX PFEを使用します。

cSRXソリューションは、以下の機能を提供します。

  • ファイアウォール、侵入防御システム(IPS)、AppSecure などのレイヤー 7 セキュリティ サービス
  • 自動化されたサービスプロビジョニングとオーケストレーション
  • 分散型およびマルチテナントのトラフィック保護
  • Junos Space® Security Director による管理の一元化(ポリシーとアドレスの動的更新、リモートログ収集、セキュリティ イベントの監視など)
  • 省スペースで拡張性の高いセキュリティサービス

Dockerを使用したコンテナの構築について、詳しくは「Day One:cSRXを使用したコンテナの構築」を参照してください

cSRXコンテナファイアウォールのメリット

cSRXには、コンテナ化されたワークロードを保護し、動的なコンテナ環境でのサイバーセキュリティの脅威に対する堅牢な保護においてその価値を実証する多くのメリットがあります。

  • リソースの効率的な利用 - 個別のゲストOSインスタンスが不要になるため、メモリとCPUの使用量が大幅に削減され、同じハードウェア上でより多くのアプリケーションを実行できます。

  • コンテンツセキュリティと脅威防御–ファイアウォール、侵入防御システム(IPS)、AppSecureなどのレイヤー7セキュリティサービスの統合により、環境の全体的なセキュリティ体制を強化し、幅広いネットワーク脅威に対して堅牢な保護を提供します。

  • 強化されたセキュリティと分離 - 複数のアプリケーションを独立して実行できる安全な環境を提供し、干渉やセキュリティ侵害のリスクを軽減します。

  • 依存関係管理の簡素化–競合する依存関係を持つ異なるコンテナを同じホスト上で同時に実行し、アプリケーション管理を合理化します。

  • 高密度環境向けに最適化 - フットプリントが小さく、リソースを効率的に利用するため、より高密度な導入が可能であり、リソースが限られている環境には特に有利です。また、ハードウェアに多額の投資をすることなく、セキュリティサービスの導入も可能です。

  • 迅速な導入とアップグレード – 従来の仮想マシンに比べて起動時間が短いため、アプリケーションの迅速な導入とシームレスなアップグレードが可能になります。

  • コスト削減:リソース使用量を最適化することで、ハードウェアコストとエネルギーコストが削減されるため、コンテナ仮想化は、複数のアプリケーションを実行するためのコスト効率の高いソリューションになります。
  • 拡張性と柔軟性:迅速なスケールアップとスケールダウンが可能なcSRXは、パブリッククラウド、プライベートクラウド、ハイブリッドクラウドなどの動的な環境に最適です。

ユースケース

cSRXにより、コンテナで実行するワークロードにまでセキュリティを拡張できます。Juniper Connected Securityは、ネットワーク上のすべての接続ポイントでユーザー、アプリケーション、クラウドワークロードを保護します。

  • cSRXは、Kubernetesクラスタ内のEast-Westトラフィックの脅威検知を提供するマイクロセグメンテーションなどのユースケースに適用できます。

  • cSRXをNorth-Southトラフィックのアプリケーション保護ゲートウェイとして導入できます。これにより、コンテナーで実行されているアプリとの対話が許可されるアプリケーションが制御されます。

  • cSRXには、容易で柔軟性と拡張性に優れた導入オプションが用意されています。これらのオプションは、アプリケーションの保護、マイクロセグメンテーション、Dockerコンテナ管理ソリューションを介したエッジゲートウェイとしてのセキュアなIoT導入など、お客様のさまざまなユースケースに対応します。

  • cSRXは、Contrail® Enterprise Multicloud、OpenContrail、その他のサードパーティソリューションを通じて、Software-Defined Networking(SDN)をサポートします。cSRXは、Kubernetesなどの他の次世代クラウドオーケストレーションツールとも統合されます。

  • 同じJunos OS構文でCLIから、またはネットワーク構成プロトコル(NETCONF)を使用して、Security Directorを介してcSRXを一元的に設定および管理できます。他のジュニパーのファイアウォールと同様に、cSRXはゼロトラスト原則に準拠します。設定されたポリシーで明示的に許可されない限り、トラフィックを通過することができません。

コンテナの概要

コンテナは、アプリケーションおよび関連する依存関係に対して、OSレベルの仮想化アプローチを提供し、アプリケーションを特定のプラットフォーム上で実行できるようにします。コンテナはVMではなく、専用のCPU、メモリ、I/O、ネットワークを備えた隔離された仮想環境です。

コンテナイメージは、コード、ランタイム、システムツール、システムライブラリ、設定など、実行に必要なすべてのものを含む、ソフトウェアの軽量でスタンドアロンの実行可能なパッケージです。また、コンテナが軽量であるため、サーバーは仮想マシン(VM)よりもはるかに多くのコンテナインスタンスをホストでき、使用率が大幅に向上します。

コンテナの主な特徴は次のとおりです。

  • アプリケーションのすべての依存関係を含み、競合する依存関係を持つ複数のコンテナーを同じ Linux ディストリビューションで実行できます。
  • グループや名前空間の分離などのホスト OS Linux カーネル機能を使用して、複数のコンテナーを同じ Linux ホスト OS 上で分離して実行できるようにします。
  • コンテナー内のアプリケーションは、Linux ホストの OS のカーネルを共有するため、VM に必要なゲスト OS を必要としないため、メモリ使用量を小さくすることができます。
  • スピンアップ速度が速く、VM と比較して起動にかかる時間が大幅に短くなります。これにより、アプリケーションのインストール、実行、およびアップグレードを迅速かつ効率的に行うことができます。

cSRXコンテナファイアウォールのライセンス

cSRXソフトウェアの機能を有効にするには、ライセンスが必要です。cSRXライセンスの詳細については、 cSRXでサポートされている機能ジュニパーアジャイルライセンシングガイドおよびcSRXライセンスの管理を参照してください。