#Bluemix Infrastructure(旧称SoftLayer)と Firewall について
インターネットに露出した環境を守るのに最低限必要な道具は何でしょうか?それは Firewall でしょう。もちろん、Firewall があれば万全だという意味ではありませんが、外からの攻撃を効率よく防ぐには最も効果的なものが Firewall ですね。
そんなFirewallですが、Bluemix Infraには、たくさんの選択肢があります。
#転ばぬ先の杖 
杖1:Bluemix Infraで選択できる Firewallラインナップ
用途や保護したい対象に応じて豊富な選択肢があります。
多くのクラウドにおいて、専有型の Firewall があるのも特徴です。
専有型は、in/out の双方を監視対象にできるため、企業用のシステムや、厳しい管理対象としなければならないシステムの Firewall として選ばれています。
| 特徴 | OS Firewall |
Hardware Firewall 共用型 |
Hardware Firewall 専有型 |
Fortigate Security Appliance |
Vyatta Gateway Appliance |
WAF Netscaler VPX Plemium |
|---|---|---|---|---|---|---|
| 適用範囲 | OS | サーバーの IPアドレス1個 |
パブリック VLAN1個 |
パブリック VLAN1個 |
パブリック, プライベート VLAN N個 |
パブリック, プライベート VLAN 1個 |
| 共用・専用 | 専用 | 共用 | 専用 | 専用 | 専用 | 専用 |
| HA構成 | n/a | コールド スタンバイ |
可能 | 可能 | 可能 | 可能 |
| 管理方法 | CLI, GUI | カスタマー ポータル |
カスタマー ポータル |
Web-GUI, CLI | 主にCLI, Web-GUIも有 | Web-GUI, CLI |
| 保護対象 | L4(TCP) | L4(TCP) | L4(TCP) | L4(TCP) | L4(TCP) | L7(アプリ) |
| 複数VLAN 保護 |
不可 | 不可 | 不可 | 不可 | 可能 | 不可 |
| 性能 | サーバー 性能に 依存 |
10~ 2000Mbps |
1Gbps (NICリンク速度) |
1Gbps (NICリンク速度) |
10Mbps~ 10Gbps |
10Mbps~ 1Gbps |
| そのほか | OSバンドルFW またはAPF |
サーバー単位 | VLAN単位 | Outbound保護 FortiGuardAV, NGFW, Web filtering |
VPN, NAT, VLAN トランク対応, VyOS(サポート有) | アプリ脆弱性対応 |
ちなみに、Hardware Firewall はアプライアンス型としても選択できる Fortigate です。
また、Vyattaの10Gbpsを選択するには、一番最初のオーダー時に10Gbpsまで拡張できるものを選択しておかないと最大1Gbps(Redundant構成で2Gbps)となります。ご注意を。
杖2:Firewallあるある
Firewallはオーダーするだけでは何の防御もしてくれません。ルールを追加し、必要な Filter などの設定をして始めてシステムが安全になります。またログも定期的に監視し、ルールが適切かどうかなどの確認をするようにしておくとより安心です。
杖3:Fortigateのあるある
Dedicated Hardware Firewall(Fortigate)を使っていてHA構成を組んでいるユーザーは注意が必要です。
Fortigateの仕様(バグというべき?)で、497日間連続稼動すると、Heartbeatが失敗し、意図しないFailoverが起きてしまいます。
対象:
- FortiOS 4.3 系: 4.3.16 と、それ以降の全て
- FortiOS 5.0 系: 5.0.5 と、それ以降の全て
- FortiOS 5.2 系: 5.2.0 と、それ以降の全て
暫定対応: 497日前に再起動する
恒久対応: FortiOS 5.2.5以降にバージョンアップ
get system performance status で何日間起動していたか、get system status でバージョンを確認できます。ご注意を。