virtualization.info 日本語

さあ来た。Altor Networks社は、VMware社の新しいVMsafe APIをフル活用する全く新しいカーネルを搭載した同社のVirtual Firewall（VF）の第三世代を7月7日にリリースした。

同製品のコア部分を書き直すという選択によりその安定性が懸念されるところだが、そこには重要な理由がある。

VMware社はVMsafeのネットワークAPIを利用するために「Slow-Path」および「Fast-Path」という2つのモードを用意している。
セキュリティベンダーは「Slow-Path」を使うことで専用VMsafe仮想アプライアンス内の仮想トラフィックのコピーを要求し、保護されたVMを相互接続する仮想スイッチをつなぐ。
このアプローチは遅く（コンテキストスイッチングの実行が必要になる）、VMsafe仮想アプライアンス事態が攻撃対象になる可能性があるため、リスクのポテンシャルもある。 
代わりに「Fast-Path」を使うと、セキュリティベンダーがESX vKernelの内部から完全な透過モードで仮想トラフィックを処理できるようになる。
残念ながらFast-Pathを統合する方が難しいものの、パフォーマンス、柔軟性、そしてセキュリティ上のメリットが生まれるため、ベンダー各社は両方のモードを利用してハイブリッドソリューションを提供している。

Altor Networks社では、Fast-Pathモードだけを利用するよう自社製品のカーネルを手直しすることにし、スループット分析の概要からも分かるように、かなり低価格のハードウェアでも（そして新しいIntel Xeon 5500 CPUがなくても）競合各社の製品に対してパフォーマンスが10倍から20倍以上向上することを明らかにした。

さらに、Fast-Pathのアプローチでは仮想ネットワークのコンフィギュレーションをいじって複数のvSwitchインスタンスを導入する必要がないため、Altor Networks社はこれまで不可能だったCisco Nexus 1000Vを即座にサポートできるようになる。

VF 3.0には、圧倒的な人気を誇るオープンソースエンジンの「Snort.」をベースにした侵入検知システム（IDS）モジュールも搭載されている。Altor Networks社では、Snortの保守を行うSourcefire社との間で市販のアタック署名を再販するOEM契約を結んでおり、顧客が複数のゼロデイアタックを認識できるようにしている。
ほかの多くのセキュリティベンダーとは異なり、Altor Networks社はセキュリティエンジンをバンドルするだけでなく、それらを統一されたインターフェースでまとめようとしている。
同社は、IDS（将来的にはほかの各種モジュールも加わる）からの情報を使ってVFのルールベースをダイナミックに再配置することで、より密接な統合を目指している。
このアプローチには複雑な面もあるが、ほかの外見だけの多数のオールインワンソリューションよりこちらの方が興味深いことは間違いない。

大事なことを言い忘れていたが、新しいVF 3.0にはそのままの金額ですべての冗長コンポーネントが付属し、管理／コントロールモジュールのホットスタンバイコピーもある。
これらのパーツは、自社開発ツールでフェイルオーバーをコントロールしたいクラウドコンピューティングプロバイダー向けにAltor Networks社が開発した専用のAPIによって外部から管理することができる。

Altor Networks社をvirtualization.infoの仮想化レーダーに追加した。

ラベル: Altor Networks, Releases, Security