vAZURE 向け SRX 仮想ファイアウォール

製品説明ワークロードをパブリッククラウドに移行すると、データを保護する方法だけでなく、クラウドと他の場所で実行されるワークロード間の通信の保護に関する課題も生じます。

ネットワークやセキュリティの専門家は、組織のセキュリティを損なうことなくクラウドの技術を活かすために、両方のバランスを慎重にとる必要があります。この課題に応えられるのは、進化する脅威に対応しながら、信頼性、可視性、制御性を損なわずにクラウド環境の俊敏性と拡張性に適合するセキュリティソリューションだけです。

ジュニパーネットワークスは、受賞歴のあるジュニパーネットワークス®SRX シリーズのサービスゲートウェイの機能を、Microsoft Azure 向けにクラウドネイティブの仮想ファイアウォールとして拡張することで、このような課題に真っ向から取り組んでいます。これにより、セキュリティ担当者は、Azure 内で実行するワークロードにファイアウォール保護を導入して拡張できます。 ジュニパーネットワークスの vSRX 仮想ファイアウォールは、侵入防御システム（IPS）、マルウェア防御、アプリケーション制御、オンデマンド脅威検知など、卓説した次世代型ファイアウォール（NGFW）セキュリティを提供します。vSRX はまた、ワークロード間のセキュアなセグメント化のため、セキュアなSD-WAN、Azure 仮想ネットワーク、SD-LAN の通信セキュリティもサポートします。

ネットワークとセキュリティ管理者は、クラウド環境の変化するニーズに応じて、Azure向け vSRX の自動プロビジョニング機能を活用することで、ファイアウォール保護メカニズムを迅速かつ効率的に導入して拡張できます。管理者は、vSRX を Junos Space®

Security Director または Contrail®サービスオーケストレーションの機能と組み合わせることによって、一元化された汎用プラットフォームから物理的資産と仮想資産の両方について、ポリシーの設定、管理、可視化を大幅に向上させることができます。

ジュニパーは、お客様が既存投資の価値を実現できるよう支援し、すべての SRX シリーズファイアウォールの相互運用性に投資してきました。vSRX は、Security Director とContrail サービスオーケストレーションのほか、OpenContrail®やその他のサードパーティーの管理ソリューションもサポートしています。vSRX は、OpenStack のような他の次世代型クラウドオーケストレーションツールと、直接または豊富な API を介して統合できます。

サービスプロバイダや企業は vSRX を利用することで、パブリッククラウドや従来の仮想化の使用事例に加え、あらゆるサイトの個々のニーズに対応できるエッジ防御機能を備えた安全な SD-WAN ファブリックを導入できます。また、ネットワーク全体で仮想化されたサービス指向のアプリケーションを柔軟に防御することもできます。

Security Director は、1 つの管理インスタンスから最大 25,000 台の SRX シリーズファイアウォールを管理でき、ファイアウォールが物理的、仮想的、コンテナ化されたものかは問いません。これにより、1 つのプラットフォームを使用して、エンドポイントからエッジ、そしてその間にある各クラウドまで、ネットワークのセキュリティ、仮想化、相互接続に対する管理、自動化、オーケストレーションが可能になります。

Data Sheet

1

製品概要

vSRX 仮想ファイアウォールは、Microsoft Azure 向けのクラウドネイティブで包括的な仮想ファイアウォールを提供します。これには、サービスプロバイダや企業向けの高度なセキュリティ、セキュアなSD-WAN、堅牢なネットワーク、自動化された仮想マシンのライフサイクル管理などが含まれます。Azure 向け vSRXのトライアル版をアクティブ化するには、AzureMarketplace にアクセスしてください。

アーキテクチャと主要コンポーネントセキュアな接続性Azure で vSRX を使用することで、さまざまな仮想ネットワークやオンプレミスのデータセンターで実行されるワークロード間の通信を保護できます。vSRX の VPN 機能により、同じ Azure リージョンの仮想ネットワークピアリングと、Azure リージョン全体のグローバルな仮想ネットワークピアリング間で、セキュアな接続が可能になります。これにより vSRX は、インターネットでデータフローを送信することなく、Azure 仮想ネットワーク間でセキュアな接続性を提供でき、コスト、遅延、可用性に関する懸念が最小限に抑えられます。

vSRX 仮想ファイアウォールは複数の接続性オプションを利用して、仮想サイトも物理サイトも、エンタープライズ WAN ファブリックにセキュアに接続できます。セキュアな接続性は、クラウドワークロードと安全に通信する必要がある他のデータセンター（サードパーティークラウド導入のコロケーションなど）にも拡張できます。

セキュアな SD-WAN

企業の支社はこれまで、Azure クラウドでホストされているアプリケーションにアクセスする場合、企業のキャンパス内に戻る接続を利用したあとで、Azure 内のアプリケーションにアクセスしていました。この場合、セキュアな SD-WAN を支社に導入し、Azure で vSRX を使用することで、Azure と直接つながる、接続が最適化されたソリューションをアクティブ化でき、キャンパスネットワークを通じたクラウドアプリケーションへのアクセスを回避できます。

Azure に導入された vSRX は、SD-WAN のスポークまたはハブとして機能し、大規模な SD-WAN 導入の一環として、キャンパスや支社と Azure 間のセキュアなアクセスを提供します。また、Azure でホストされているクラウドリソースに安全にアクセスできる SD-WAN ハブとしても機能し、地域ベースのインターネットブレークアウトの中心ポイントになります。これにより、

Azure 上の vSRX は、ワークロードのセキュリティだけでなく、変化するビジネスニーズに応じた SD-WAN の接続性も提供できます。

ワークロードの保護ファイアウォールはワークロードを保護しますが、すべてのファイアウォールが同じように作られるわけではありません。Azureで vSRX を活用することで、ワークロードがオンプレミス、パブリッククラウド、エッジのいずれで動作する場合でも、ネットワーク全体で一貫性をもってポリシーを適用できます。ネットワークで SRX シリーズファイアウォールをすでにお使いの場合は、パブリッククラウドなどで運用している vSRX 仮想ファイアウォールに、そのポリシーを簡単に拡張できます。

vSRX は、メタデータタグを使用してファイアウォールポリシーの作成と導入をサポートします。これは、セキュリティの自動化を促進し、最初の実装や継続的な保守で必要となるルール数を削減します。このメタデータは、セキュリティ管理者にメタデータタグに基づくネットワークの全体ビューを提供して、可視化を向上させます。つまり、IP アドレスベースのルール管理とフィルタリングに制限されなくなります。

vSRX はポリシーの適用に加えて、IPS、アンチウィルス、アンチマルウェアなどの高度なセキュリティサービスを提供して、Azure クラウドでホストされているワークロードを標的とした高度な脅威を特定してブロックします。

ワークロードのセグメント化Azure 上で通信を保護し、ワークロードを確実にセグメント化するため、vSRX を導入し、ワークロードのセグメント間で許可すべき通信に関するポリシーを実施できます。vSRX により、仮想化されたワークロードレベルでセキュリティポリシーを適用できるため、きめ細かいネットワークのセグメント化と制御が容易になります。セキュリティ面では、脅威をブロックできるレベルが細かいほど、脅威の拡散防止が効果的になります。

vAzure 向け SRX 仮想ファイアウォール

2

図 1. vSRX による Azure のワークロード保護

特長とメリット表 1. Azure 向け vSRX の特長とメリット

特長 説明 メリット拡張可能なハードウェアサポート

4 つの CPU コアと 14 GB のメモリから開始して、最大 16 のコアと 56 GB のメモリまで拡張できます。

柔軟性、拡張性に優れたハードウェアフットプリントを提供し、現在のニーズと将来のトラフィック増加に対応します。

メタデータベースのファイアウォールポリシー

管理者は、vSRX の動的アドレスグループ機能を活用して、オブジェクトメタデータに基づき、ユーザーの意図に応じたファイアウォールポリシーを作成できます。

Azure タグなどのメタデータに基づいてファイアウォールポリシーを有効または無効にすることで、ポリシーの作成と保守のワークフローを簡素化します。

柔軟なライセンス 従量制（PAYG）オプションと個人所有ライセンス（BYOL）オプションの両方をサポート 柔軟なライセンスと購入オプションを提供し、Azure 内ワークロード、およびデータセンターと Azure 間の接続性を保護

Azure のロードバランサー Azure に導入された vSRX 仮想ファイアウォールプールに、トラフィック分散やロードバランシングを提供

Azure に導入された vSRX ファイアウォールの能力とパフォーマンスを向上

Microsoft Azure の主要ハードウェアセキュリティモジュール（HSM）

• vSRX が SHA256 ビット暗号化を使用して、現在の設定ファイルをハッシュ可能• vSRX に保存されているデータを暗号化するために使用する、デバイスのプライマリパ

スワードを暗号化• キーペアが生成され、Azure Key Vault に保存されるようにします。プライベートキーは

vSRX には保存されず、パブリックキーのみが vSRX に保存され、暗号化されます。

Azure で実行されている vSRX に保存されているデータを安全に暗号化することで、リスクを低減し、セキュリティを向上させます。

vAzure 向け SRX 仮想ファイアウォール

3

高度なセキュリティサービス従来のファイアウォールや個々のスタンドアロンアプライアンスやソフトウェアを中心に構築された、統合されていないレガシーシステムを導入しても、今日の高度な攻撃から保護するには十分ではありません。ジュニパーの高度なセキュリティ パッケージでは、ユーザーが現代の組織による進化する個別のニーズや常に変化する脅威に合わせて複数の技術を導入できます。技術やポリシーなどのセキュリティ機能はリアルタイムで更新され、常に最新の状態に保たれます。

Azure 向け vSRX は、IPS、マルウェア防御、アプリケーション制御、コンテンツセキュリティなど、汎用性があり強力で高度なセキュリティサービスを提供します。

侵入防御システムAzure 向け vSRX の IPS は、 データを調査し、発生中の攻撃をブロックしたり、ファイアウォールで一連のルールを作成したりすることで、IT ネットワークへのアクセスを制御し、システムを攻撃から保護します。IPS はジュニパーのアプリケーションセキュリティ機能とネットワークインフラストラクチャを密接に統合し、脅威を緩和してさまざまな攻撃や脆弱性を阻止します。

Juniper Advanced Threat Prevention

Juniper Advanced Threat Protectionは、Azure 向け vSRX と連携して、既知のマルウェアや高度なゼロデイ脅威に対する動的な保護を自動で提供することで、ほぼ瞬時に対応します。

AppSecure によるアプリケーションの可視化と制御ジュニパーネットワークスの AppSecure は、脅威の可視化、保護、ポリシー適用、制御を実現する、次世代型アプリケーションセキュリティスイートです。このオプション機能が、強力な可視化と継続的なアプリケーション追跡を提供します。オープンシグネチャを使って独自のアプリケーションセットを監視し、計測し、コントロールすることで、組織のビジネス上の優先度に基づいてアプリケーションを適切に使用できます。

コンテンツセキュリティAzure 向け vSRX は、最高レベルのアンチウィルス、アンチスパム、Web フィルタリング、コンテンツフィルタリングによる総合的なコンテンツセキュリティ機能で、マルウェア、ウィルス、フィッシング攻撃、スパムなどの脅威に備えています。

Juniper Secure Connect

Juniper Secure Connect は、柔軟性に優れた SSL VPN アプリケーションです。これにより、保護されたリソースから離れた場所で仕事をしている従業員が、会社やクラウドのリソースに安全にアクセスできます。この SSL VPN アプリケーションは、一般的なオペレーティングシステムで使用可能です。場所やデバイスを問わず適応性のある接続を提供し、可視化とポリシー適用をユーザーからクラウドにまで拡大してリスクを軽減します。

仕様

表 2. Azure インスタンスタイプ上 vSRX

Azure インスタンスタイプ Standard_DS3_v2 Standard_DS4_v2 Standard_DS5_v2

vCPU コア 4 8 16

メモリ 14 GB 28 GB 56 GB

サポート対象の Azure インスタンスタイプの全リストは、https://www.juniper.net/documentation/en_US/vsrx/topics/reference/general/security-vsrx-azure-system-requirements.htmlでご確認ください。

vAzure 向け SRX 仮想ファイアウォール

4

注文情報ジュニパーネットワークス vSRX 仮想ファイアウォールの Azure向け個人所有ライセンス（BYOL）の詳細については、www.juniper.net/jp/jp/products-services/security/srx-series/vsrxをご覧いただくか、ジュニパーネットワークスの営業担当者までお問い合わせください。Azure 向け vSRX のトライアル版をアクティブ化するには、Azure Marketplace（https://azuremarketplace.microsoft.com/en-us/marketplace/apps/juniper-networks.vsrx-next-generation-firewall-payg?tab=PlansAndPrice）にアクセスしてください。

Azure Marketplace から直接購入する場合、Azure 向け vSRX 導入の従量制（PAYG）サブスクリプションには、1 時間または 1 年間の 2 つのオプションがあります。

表 3. Azure Marketplace での PAYG の注文情報

製品 説明vSRX 次世代ファイアウォール

• IPsec VPN、ネットワークアドレス変換（NAT）、CoS、豊富なルーティングサービスを備えたコアファイアウォール

• AppID、AppFW、AppQoS、AppTrack の機能をもつ AppSecure• IPS などのコンテンツセキュリティサービス

ジュニパーネットワークスについてジュニパーネットワークスは、世界をつなぐ製品、ソリューション、サービスを通じて、ネットワークを簡素化します。エンジニアリングのイノベーションにより、クラウド時代のネットワークの制約や複雑さを解消し、お客様およびパートナーの皆様が日々直面している困難な課題を解決します。ジュニパーネットワークスは、世界に変革をもたらす知識の共有や人類の進歩のリソースとなるのはネットワークであると考えています。私たちは、ビジネスニーズにあわせた、拡張性の高い、自動化されたセキュアなネットワークを提供するための革新的な方法の創造に取り組んでいます。

vAzure 向け SRX 仮想ファイアウォール

Corporate and Sales Headquarters

Juniper Networks, Inc.

1133 Innovation Way

Sunnyvale, CA 94089 USA

電話番号：888.JUNIPER (888.586.4737)

または +1.408.745.2000

www.juniper.net

APAC and EMEA Headquarters

Juniper Networks International B.V. Boeing

Avenue 240 1119 PZ Schiphol-Rijk

Amsterdam, The Netherlands

電話番号：+31.0.207.125.700

Copyright 2020 Juniper Networks, Inc. All rights reserved. Juniper Networks、Juniper Networks ロゴ、Juniper、Junos およびその他の商標は、米国およびその他の国における JuniperNetworks, Inc.およびその関連会社の登録商標です。その他の名称は、それぞれの所有者の商標である可能性があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。

1000679-001-JP 2020 年 10 月 5