ZStackクラウドプラットフォームをベースにFortiGateを導入

序文

クラウド コンピューティング テクノロジーの継続的な改善と発展により、クラウド コンピューティングは広く認識され受け入れられるようになり、多くの組織がクラウド コンピューティング システムを構築しているか、構築しようとしています。同時に、情報サービス中心のモデルが人々の心に深く根付き、多数のアプリケーションが出現し、組織は従来のアプリケーションをクラウドに移行し始めました。

クラウド コンピューティング テクノロジーは、従来の IT インフラストラクチャ、アプリケーション、データ、および IT 運用管理に革命的な変化をもたらしました。同時に、セキュリティ対策の改善・向上、セキュリティアプリケーションの設計・実装、セキュリティの運用・管理にも問題や課題が生じています。また、セキュリティ サービスの内容、実装メカニズム、配信方法の革新と開発も推進しています。

クラウド コンピューティング モデルは、クラウド コンピューティング サーバーにデータを統一された方法で保存することにより、従来の IT テクノロジに基づく仮想化レイヤーを追加します。また、リソース プーリング、オンデマンド割り当て、弾力的な展開、高い信頼性などの特徴も備えています。ただし、これにより、仮想ネットワークをより適切に保護できなくなります。たとえば、同じネットワーク セグメント内のトラフィックが内部的に相互作用し、トラフィックを監視できなくなる場合があります。同じテナントの異なるネットワーク内のトラフィックは物理ファイアウォールを通過できないため、監査できません。

クラウドコンピューティング環境では、仮想化環境に適応し、仮想マシン間のトラフィックやセキュリティドメイン境界を越えたトラフィックへのアクセスを監視・制御する必要性から、セキュリティデバイスは、アーキテクチャや機能を維持しながら、製品形態や導入方法に一定の変化を遂げてきました。

製品の形態としては、主にハードウェアからソフトウェアへの移行を反映しています。展開方法に関しては、仮想化されたセキュリティ デバイスは、主に仮想化されたネットワークの論理構造を適切に設計することによって適切な論理的な場所に展開され、仮想ホストが動的に移行する際にセキュリティ保護対策とポリシーが遵守されることが保証されます。

ZStack クラウド プラットフォームでは、仮想マシンの形式でセキュリティ デバイスを迅速に展開できます。この記事では、FortiGate を例に説明します。

1 FortiGateを導入する

1.1 アーキテクチャの概要

ネットワーク環境ではセキュリティ保護が不可欠です。従来のセキュリティ保護手段は、ネットワークの出口に物理ファイアウォール、IPS、ウイルス対策ウォールなどの一連の物理セキュリティ デバイスを展開することです。クラウドネットワークにも仮想ファイアウォールは存在しますが、クラウドプラットフォーム上の仮想ファイアウォールは機能が少なく、4層のパケットフィルタリングしかサポートできず、ウイルス対策などの機能が欠けています。プロのセキュリティメーカーの機器をクラウドプラットフォームと組み合わせて使用​​できますか?答えは、セキュリティメーカーの仮想機器を使用することです。すべての Fortinet 製品は仮想マシン形式で導入できます。この記事では、ファイアウォールFortiGateの導入方法を紹介します。

FortiGate はクラウド ホストを使用して展開されます。クラウド ホストには 2 つのネットワーク カードがあり、それぞれパブリック ネットワークとプライベート ネットワークに接続されています。パブリック ネットワークを介して物理ネットワーク デバイスに接続し、プライベート ネットワークを介してビジネス仮想マシンに接続し、ビジネス仮想マシンのゲートウェイとして機能します。

FortiGate 上で ospf を起動し、仮想マシンのネットワーク セグメントを物理スイッチ ネイバーに通知し、次にネットワーク全体に通知して、ネットワーク全体がビジネス仮想マシンにアクセスできるようにします。ビジネス仮想マシンにアクセスするトラフィックは、まずセキュリティ監査のために FortiGate を通過し、その後ビジネス仮想マシンに送信されます。

1.2 クラウドプラットフォーム環境の準備

ZStack クラウド プラットフォームの展開手順の詳細については、公式ドキュメントを参照してください: https://www.zstack.io/help/product_manuals/user_guide/3.html#c3

クラウドホストを作成する

「クラウド リソース プール」を選択 à 「クラウド ホスト」をクリック à 「クラウド ホストの作成ボタン」をクリックして、クラウド ホストの作成ページを開きます。

クラウド ホストを作成する手順:

1) 単一の仮想マシンを作成するための追加方法を選択します

2) クラウドホスト名をFortiGateに設定する

3) 計算仕様を選択する

4) FortiGateイメージテンプレートを選択する

5) 3層ネットワークを選択します。ネットワークを構成する際、クラウド プラットフォームの仮想マシンはゲートウェイ IP を直接構成できないため、プライベート ネットワークで FortiGate の IP を予約する必要があることに注意してください。たとえば、ゲートウェイが 10.20.0.1 の場合、FortiGate 用に 10.20.0.254 を予約します。 FortiGate仮想マシンを作成するときに、10.20.0.254を直接指定し、FortiGate仮想マシンにログインしてIPを10.20.0.1に変更します。

6) 設定が正しいことを確認したら、「OK」をクリックして作成を開始します。

2 FortiGateの設定

2.1 基本設定

FortiGate仮想マシンコンソールを開きます。デフォルトのユーザー名はadmin、デフォルトのパスワードは空白です。FortiGate CLIターミナルにログインします。

ポートIPを構成する

構成システムインターフェース

ポート1を編集

DHCPモードを設定する

許可アクセスを設定する ping https ssh snmp http

次

ポート2を編集

IPアドレスを10.20.0.1 255.255.255.0に設定する

許可アクセスを設定する ping https ssh snmp http

次

終わり

2.2 Web管理端末にログインする

ブラウザにポート 1 の IP アドレス 172.32.1.240 を入力して、ログイン ページに入ります。

デフォルトのユーザー名adminを入力し、パスワードは空白のままにして[ログイン]をクリックします。

2.3 ポートポリシーの設定

左側のナビゲーションバーで、ポリシーとオブジェクト -> IPv4ポリシーを選択します。

「新規」ボタンをクリックして外部から内部へのトラフィック ポリシーを構成し、完了したら「確認」をクリックします。

「新規」ボタンをもう一度クリックして、内部から外部へのトラフィックポリシーを設定し、完了したら「確認」をクリックします。

2.4 動的ルーティングプロトコルの設定

左側のナビゲーションバーで、ネットワーク->OSPFを選択します。

対応するエリアとネットワーク公開を構成する

また、物理スイッチ側でも対応する設定を行い、FortiGateとのOSPFネイバーを確立し、ルーティング情報を交換します。

2.5 接続テスト

プライベートネットワークを使用して仮想マシンを作成し、ゲートウェイをFortiGateのポート2のIPに設定する

他のマシンを使用してこの仮想マシンを外部からpingすると、正常にpingできます。

2.6 変更戦略

TCPパケットのみが通過できるように入力ポリシーを変更する

pingをテストすると、pingが実行できなくなったことが判明しました

3 結論

ZStack クラウド プラットフォームをベースにした FortiGate は、迅速に導入してクラウド ホストのセキュリティ保護を提供できます。 FortiGate の構成と物理環境は同じであり、導入が高速です。クラウドホストの場合、FortiGate を導入すると、ファイアウォール保護だけでなく、IPS、ウイルス対策、WEB 保護などの包括的な保護機能も提供されます。より包括的かつ強固な保護のために FortiGate を使用すると、ビジネス システムの安全性と信頼性が向上します。