完全なゼロトラストネットワークセキュリティを強化するPAN-OS 10.1のイノベーション

By 
Jul 20, 2021
1 minutes
... views
Announcement
Next-Generation Firewalls
Products and Services
Zero Trust Security
Cloud Identity Engine
Decryption
Identity
Network Packet Broker
OpenConfig
PAN-OS
PAN-OS 10.1
Simplifying Network Operations
zero trust

パンデミックによって私たちの働き方やビジネスの進め方は永続的に変化しました。数回にわたる調査により、「安全が確認されたとしても、フルタイムで出勤する生活には戻りたくない」と思っている人が多いことが判明しました。ハイブリッドなワークスタイルがニューノーマルとなりつつあるため、組織はこの新たな現実をサポートするために、ネットワークとセキュリティのインフラストラクチャを再検討しています。 

企業は、働く場所や時間に関わらず最適なユーザーエクスペリエンスを従業員に確実に提供する一方で、正当なユーザーとデバイスによる適切なデータとアプリケーションへの安全なアクセスを維持する必要があります。これは、データ、アプリケーション、ユーザーIDがオンプレミスとクラウドのソースに分散しているハイブリッド クラウド環境では実現が困難です。一方、セキュリティチームは、限られた人員とリソースで、増大し続ける組織の攻撃対象領域を効率的に保護する必要に迫られています。

パロアルトネットワークスは、このような要件に対応し、ハイブリッドなワークスタイルという新たな現実の中で生産性を維持するために、徹底的なゼロ トラストネットワークセキュリティを発表しました。SaaSセキュリティサービス高度なURLフィルタリング、拡張されたDNSセキュリティ機能などの新サービスに加えて、ゼロトラストに向けた組織の進展を継続的にサポートするために、弊社はコアオペレーティングシステムにイノベーションを導入しました。 

最新のPAN-OS 10.1のイノベーションによって、IDベースのセキュリティをシンプル化し、復号を簡素化・統合し、オープンかつプログラム可能なプラットフォームを使用して効率的にファイアウォールを管理し、物理環境と仮想環境でハイパースケール セキュリティを提供できるようになります。以下に、PAN-OS 10.1で導入された主なイノベーションをご紹介します。 

IDに対するゼロ トラストの簡素化

今日の企業では、Active Directory(オンプレミス)、Okta(クラウド)、Azure AD(クラウド)などの異なるIDストア間でユーザー情報が断片化されているため、ユーザーを一貫して検証し、IDベースのセキュリティを適用することが困難になっています。このため、ネットワーク セキュリティ運用者は、従業員のセキュリティを確保し、アプリケーションやデータへの安全でセキュアなアクセスを実現することに苦心しています。複数のIDプロバイダでネットワーク セキュリティ エコシステムの構成、保守、同期を行うことは多くの時間とリソースを必要とするため、作業の大幅な増大とプロジェクトの遅延につながります。

Cloud Identity Engineを使用すると、セキュリティ チームは、拠点やユーザーIDの格納場所にかかわらず、一貫したユーザーの認証と許可ができるようになります。その結果、セキュリティチームは、クラウド、オンプレミス、ハイブリッドなど、あらゆる場所でアプリケーションやデータへのアクセスを容易に許可し、ゼロトラストのセキュリティ体制にすばやく移行することができます。Cloud Identity Engineは、クラウド ベースのアーキテクチャを提供し、クラウド内のすべてのID関連データを確実に同期して、企業内のあらゆる場所(データセンタ、事業拠点、パブリック クラウド、支店、リモート ユーザー)に制御を適用します。新しいIDソースは、数日や数カ月ではなく約10分で設定することができるため、ネットワークセキュリティインフラストラクチャにIDベースの制御を導入し、管理する時間が節約されます。

オンプレミスIDからクラウドIDへ
オンプレミスIDからクラウドIDへ

暗号化の統合と簡素化

すべてのコンテンツを保護する前に復号化を導入することが不可欠ですが、復号化を導入し、維持することは、業界にとって課題となっていました。全体的なセキュリティ スイートの一部としてサードパーティ セキュリティ制御を導入している組織は、セキュリティ スタック全体のメリットを実現するために、複数回にわたってトラフィックを復号化する必要があります。これにより、運用が複雑化し、ネットワーク遅延が増大し、エンドユーザー エクスペリエンスに悪影響が生じます。ファイアウォール ベンダは復号を提供していますが、サードパーティセキュリティツールにすべてのトラフィックを送信することは少ないため、盲点が生じています。このため、企業はセキュリティツールに対するトラフィックの復号、フィルタリング、転送のためにSSL復号化や専用パケットブローカーアプライアンスなどの追加のアプライアンスを購入することになり、コストと運用の複雑性が増大しています。

パロアルトネットワークスは、包括的な可視性、最新プロトコルのサポート、簡単なトラブルシューティング、新しいハードウェアの次世代ファイアウォール(NGFW)、パフォーマンスを大幅に高めたデータ処理カードによって、復号の導入維持を容易にします。PAN-OS 10.1内でネットワークパケットブローカーを使用することにより、パロアルトネットワークスのNGFWは、1台のデバイスからサードパーティセキュリティツールのスイートに対してすべてのタイプのトラフィック(復号化されたTLS、暗号化されたTLS、非TLS)をインテリジェントに転送することができます。このため、顧客は、NGFWの組み込みの復号化とブローカーを使用して、ネットワークを簡素化し、資本経費と運用経費を削減することができます。また、ネットワーク セキュリティ チームは、特定のサードパーティセキュリティツールに必要なトラフィックのみを選択的に送信することにより、ネットワークパフォーマンスを最適化し、既存のセキュリティツールの効果を最大化することができるようになります。詳細は、「復号: その理由、場所、 方法」ホワイトペーパーをダウンロードしてください。

ゼロ トラストのネットワークセキュリティインフラストラクチャの管理を簡素化

ネットワーク運用者は、ネットワーク全体に対してゼロ トラストの適用を試みるときに課題に直面します。PAN-OS 10.1では、管理を簡素化して、ネットワークセキュリティインフラストラクチャ全体でゼロトラスト戦略の実現を改善するために、2つの新しい機能が導入されました。

OpenConfig (OC)

マルチベンダインフラストラクチャ内で複数のネットワーク要素にわたるネットワークサービスをプログラムによって管理することは、共通のスキーマ/モデルインターフェイスが欠けているために困難な場合があります。

OCのベンダ中立データモデルをサポートすることにより、パロアルトネットワークスは、NGFWに追加の自動化機能を導入します。顧客は、OCを使用してNGFWを管理することにより、インフラストラクチャ全体でネットワーク サービスの設定を自動化し、導入環境全体でNGFWの健全性とパフォーマンスの問題を迅速に解決できるようになります。

スケジュールされたプッシュ

管理ツールで設定の変更を管理する場合、管理者はすべての変更を蓄積して、次の変更管理時間枠まで待ってからファイアウォールに変更をプッシュする必要があります。一般に、変更管理時間枠はシステムの停止を回避するために営業時間外に設定されており、管理者は営業時間外にインタラクティブに変更をプッシュするために立ち会う必要があります。

PAN-OS 10.1を使用すると、管理者は、スケジュールされたプッシュとPanorama(ネットワークセキュリティ管理ソリューション)ですべてのファイアウォールに対する設定の変更を容易に自動化できるようになります。スケジュールされたプッシュにより、営業時間外の管理者の作業が減少します。管理者は、Panorama内で選択したファイアウォールに対して、立ち会う必要のない1回のプッシュまたは反復的なプッシュをスケジュール設定できるようになります。また、管理者は、1回のプッシュで導入環境全体に変更を効率的に適用することもできます。これはマルチ仮想システム(VSYS)ファイアウォールでも動作するため、ファイアウォールで複数のデバイス グループが異なるVSYSにマッピングされている場合でも、1回のスケジュールされたプッシュで複数のVSYSファイアウォールを更新できます。Panoramaは、すべての変更を追跡する機能も備えています。スケジュールされたプッシュの実行は無人で実行されますが、あらゆるエラーを含むすべての詳細はシステム ログと設定ログに記録されます。

ハイパースケールの仮想化ネットワークセキュリティ

ハイパースケールデータセンターでは、コンピューティングリソースをできる限り効率的に活用する必要性が極めて高くなります。サービスプロバイダと企業は同様に、効率を最大化して運用経費を引き下げることに取り組んでいます。これは組織が仮想化を採用する主な理由の1つですが、仮想環境でゼロトラストネットワークセキュリティを効果的に適用する方法が問題となります。

VM-Series仮想NGFWでは、新しいインテリジェントなトラフィックオフロード機能により、サービスプロバイダとハイパースケールデータセンターの環境でセキュリティとコスト間のトレードオフが解消されます。組織は、多額の費用をかけず、ネットワークパフォーマンスを低下させずに、仮想インフラストラクチャにゼロ トラストネットワークセキュリティ体制を適用できます。

PAN-OS 10.1のイノベーションのインテリジェントなトラフィック オフロード サービスでVM-Seriesのパフォーマンスを加速してください。
PAN-OS 10.1のイノベーションのインテリジェントなトラフィック オフロード サービスでVM-Seriesのパフォーマンスを加速

パロアルトネットワークスによる新しい柔軟な職場の安全確保をご確認ください。新しいPAN-OS 10.1のイノベーションに関する詳細なリストについては、PAN-OSリリースノートを参照してください。今回の新機能・ハードウェアについて7月7日にお客様向けに行われた新製品発表会を視聴し、場所にかかわらず生産性を確保する準備を整えてください。

Related Blogs

Our library of online content is here to help you learn more, no matter what format you prefer or which topic interests you most.

Announcement, Product Features, Products and Services

次世代CASBのイノベーションでSASEにおけるリーダーシップを拡大

Announcement, Products and Services

「We’ve Got Next」再び

Announcement, Products and Services

世界でZTNA 2.0が必要とされる理由

Next-Generation Firewalls, Products and Services, Secure the Enterprise, Zero Trust Security

Cloud Identity Engineでシンプルに実現するIDベースセキュリティ

Announcement, Next-Generation Firewalls, Products and Services, Zero Trust Security

パロアルトネットワークスの完全なゼロトラスト ネットワーク セキュリティのご紹介

Announcement, Next-Generation Firewalls, Products and Services, Zero Trust Security, 視点

いまこそゼロトラストへ

PAN-OS 10.1 Innovations Empower Complete Zero Trust Network Security

By 
Jul 01, 2021
6 minutes
... views
Announcement
Next-Generation Firewalls
Products and Services
Zero Trust Security
Cloud Identity Engine
Decryption
Identity
Network Packet Broker
OpenConfig
PAN-OS
PAN-OS 10.1
Simplifying Network Operations
Zero Trust

The pandemic has changed the way we work and conduct business for good. Poll after poll confirms that people “do not want to go back to the office full time, even once it’s safe to do so.” With hybrid work environments becoming the new norm, organizations are reconsidering their networking and security infrastructure to support this new reality. 

Corporations need to ensure that their employees have optimal user experience wherever and whenever they work, while maintaining safe access to the right data and applications for the right users and devices. This is difficult to achieve in a hybrid cloud world where data, applications and user identity are spread across on-premises and cloud sources. Meanwhile, security teams are under pressure to secure the ever-increasing surface area of their organizations efficiently with finite people and limited resources.

Palo Alto Networks announced Complete Zero Trust Network Security to address these requirements and safeguard productivity in this new reality of a hybrid work environment. In addition to new services such as SaaS Security service, Advanced URL Filtering and expanded DNS security capabilities, we introduced innovations in the core operating system to continue to empower organizations to move toward Zero Trust. 

The latest PAN-OS 10.1 innovations simplify identity-based security, simplify and consolidate decryption, enable you to manage firewalls efficiently by using open and programmable platforms, and deliver hyperscale security in physical and virtual environments. Let's look at some of the key innovations introduced in PAN-OS 10.1. 

Simplify Zero Trust for Identity

Enterprises today find it hard to consistently verify their users and enforce identity-based security as user information is fragmented between different identity stores, such as Active Directory (on-premises), Okta (cloud), Azure AD (cloud) and more. This has led to network security operators struggling to secure their workforce and enable safe and secure access to applications and data. Configuring, maintaining and synchronizing the network security ecosystem with the multiple identity providers is time-consuming and resource-intensive, resulting in significantly increased effort and delayed projects.

With Cloud Identity Engine, security teams can now consistently authenticate and authorize their users, regardless of location or where user identity stores live. As a result, security teams can effortlessly allow access to applications and data everywhere – cloud, on-prem or hybrid – to quickly move toward a Zero Trust security posture. The Cloud Identity Engine offers a cloud-based architecture and assures synchronization of all identity-related data in the cloud to apply controls everywhere in the enterprise: data center, campus, public cloud, branches and remote users. New identity sources can be configured in about 10 minutes, versus days or months, saving time in deployment and management of identity-based controls on your network security infrastructure.

Transition from on-premises to cloud identity with PAN-OS 10.1 innovations.
On Premises to Cloud Identity

Consolidate and Simplify Decryption

Deploying decryption is crucial before securing all content, however, deploying and maintaining decryption has been a challenge for the industry. Organizations that deploy third-party security controls as part of their overall security suite need to decrypt traffic multiple times to realize the benefits of their entire security stack. Doing so introduces operational complexity, increases network latency and negatively impacts the end-user experience. Although firewall vendors offer decryption, they seldom send all the traffic to third-party security tools, which creates blind spots. As a result, enterprises buy additional appliances such as SSL decryption and dedicated packet broker appliances to decrypt, filter and forward traffic to security tools, increasing cost and operational complexity.

Palo Alto Networks makes it easy to deploy and maintain decryption with comprehensive visibility, support for modern protocols, easy troubleshooting and new hardware Next-Generation Firewalls (NGFW) and Data Processing Cards with heavily accelerated performance. With Network Packet Broker in PAN-OS 10.1, NGFWs by Palo Alto Networks can intelligently broker all types of traffic (Decrypted TLS, encrypted TLS and non-TLS) to a suite of third-party security tools from a single device. This allows customers to simplify their network and reduce capital and operating expenses with built-in decryption and broker on the NGFWs. In addition, network security teams can now optimize their network performance and maximize their existing security tools' efficacy by selectively sending only the necessary traffic to a given third-party security tool. For more information, download our “Decryption: Why, Where and How” whitepaper.

Simplify Management of Zero Trust Network Security Infrastructure

Network operators face a challenge while trying to enforce Zero Trust across their network. In PAN-OS 10.1 we have introduced two new capabilities to simplify management to better enable your Zero Trust strategy across network security infrastructure.

OpenConfig (OC)

Programmatically managing network services that span multiple network elements in their multi-vendor infrastructure can be difficult due to a lack of common schema/model interfaces.

With the support for OC vendor-neutral data models, Palo Alto Networks brings additional automation capabilities to the NGFWs. Customers can now manage NGFWs with OC to automate network service configuration across their infrastructure and stream telemetry to quickly resolve NGFW health and performance issues for their entire deployment.

Scheduled Push

When it comes to managing configuration changes in the management tools, administrators accumulate all the changes and have to wait for the next change management window to push the changes to the firewalls. Change management windows are typically off hours to avoid outages and admins’ need to be present to push the changes interactively during that time.

With PAN-OS 10.1, we are making it simple for admins to automate configuration changes for all firewalls with Scheduled Push with Panorama – a network security management solution. Schedule Push reduces human involvement during off hours. Admins can now schedule a one-time or recurring push to firewalls of their choice within Panorama, without having to be present. Admins can also efficiently push changes across their entire deployment in one single push. This also works for multi-virtual system (VSYS) firewalls, so if multiple device groups are mapped to different VSYS on a firewall, a single scheduled push can update the multi-VSYS firewalls. Panorama also gives you the ability to track all the changes. The execution of the scheduled push happens unsupervised, but all details are captured in system logs and configuration logs, including any errors.

Hyperscale Virtualized Network Security

In hyperscale data centers, the need to leverage compute resources as efficiently as possible is paramount. Service providers and enterprises alike strive to maximize efficiency to drive operating expenses down. This is one of the core reasons that organizations adopt virtualization, but it raises a question about how to effectively enforce Zero Trust Network Security in a virtual environment.

With the new Intelligent Traffic Offload feature, the VM-Series virtual NGFWs eliminate the tradeoff between security and cost in service provider and hyperscale data center environments. Organizations can extend Zero Trust Network Security posture to a virtualized infrastructure without breaking the bank or compromising network performance.

Turbocharge your VM series performance with Intelligent Traffic Offload Service by PAN-OS 10.1 innovations.

Find out how we’re securing the new flexible workplace. For a complete list of new PAN-OS 10.1 innovations, please see our PAN-OS Release Notes. Watch our virtual launch event on-demand: Complete Zero Trust Network Security. And get ready to secure productivity wherever it takes place.

Related Blogs

Our library of online content is here to help you learn more, no matter what format you prefer or which topic interests you most.

Announcement, Must-Read Articles, News and Events, Partners, Products and Services

Identity Protection That Spans the Entire Attack Lifecycle

Announcement, Industrial OT Security, IoT Security, Products and Services, Zero Trust Security

Untangling IT-OT Security Knots with a Zero Trust Platform Approach

Announcement, Company & Culture, Points of View, Products and Services

More on the PAN-OS CVE-2024-3400

Announcement, Products and Services, SD-WAN

Why Your Branch of the Future Needs Next-Gen SD-WAN and Prisma SASE

Announcement, Products and Services

Enabling Secure Digital Transformation in Healthcare

Announcement, Company & Culture, Products and Services

Enforce Zero Trust for 5G Security to Work

Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.

Get the latest news, invites to events, and threat alerts