OpenStackのFirewall-as-a-Serviceの次期バージョンの進化について 第16回 18年03月 / 最終更新:2018.03.09

こんにちはー。野田貴子です。今回はOpenStack関連のコラムで面白いものがあったので意訳版をお届けします。昨今、OpenStackの注目度が高まっており、OpenStack開発者メーリングリストやコラムをチェックしている人も多いと思います。英語が苦手な方にとっては、日本語で要約版があると助かるのではないかと考え、日本語意訳したものをお伝えすることにしました。
興味がある方はご覧ください。海外動向を理解する上での参考になれば幸いです。

###

はじめに

バンクーバーのLibertyサミットにて、ネットワーキングチームがセキュリティグループの将来について語り、セキュリティグループを再設計する代わりに、そのイノベーションをFWaaS(Firewall-as-a-Service)V2に担わせることを決定しました。V2 APIは、その後の各リリースで進化してきました。

最初のステップは、RulesをL3ポートに適用し、ファイアウォールを必要とするトラフィックの方向を指定する手段を提供することでした。これにより、APIは従来のファイアウォールモデルと一線を画すようになりました。今やQueensのリリースにて、VMポートのサポートが追加されました。Default FWGの概念がサポートされたため、セキュリティグループと同様に、VMの起動時のセキュリティが保証されています。このロードマップの詳細については、ボストンのSummitセッションをご覧ください。

FWaaS V2は、スタンドアロン、あるいはセキュリティグループと組み合わせて実行することができます。ルールを許可するだけのセキュリティグループとは違い、FWaaS V2にはトラフィックのブロック、削除、または受け入れのルールを記述する豊富なAPIが用意されています。FWaaS V2はルータ(L3)とVMポート(L2)のどちらでも機能します。現在はOVSでのみ動作します。

FWaaS V2ビルディングブロック

FWaaS V2ではFirewall Groupに割り当てられる出力ポリシーと入力ポリシーが区別されます。ポリシーはファイアウォールルールで構成されています。Firewall GroupはルータまたはVMポートに割り当てられ、ポリシーのルールに従ってトラフィックを処理します。

たとえば、インターネット制御通知プロトコル(ICMP)トラフィックを許可するルールは次のようになります。

Action

Protocol

ip-version

src-ip/port

dest-ip/port

allow

icmp

4

None

None

同様に、アクションが「deny」または「reject」の場合、すべてのICMPがポートに到達しません。デフォルトではすべてのトラフィックは入力と出力の両方の方向で拒否されます。ユーザはトラフィックを明示的に許可する必要があります。

次の例を考えてみましょう:

Action

Protocol

ip-version

src-ip/port

dest-ip/port

allow

icmp

4

None

None

deny

icmp

4

None

None

 

この例では、ICMPトラフィックを許可するルールとそれを拒否するルールの2つのルールがあります。この場合、ファイアウォールルールはルールの順序に従って処理されるため、トラフィックは許可されます。

深い防御

FWaaS V2はセキュリティグループと並行して動作することができ、管理者はネットワーク内で安全であると考えるすべてのIP /ポートを開くことができます。これにより、ユーザはアプリケーションにとって安全なポート/ IPはなにかに焦点を当てることができます。その反対に、セキュリティグループはアプリにとって安全なものを扱うことができ、FWaaS V2ではルールを拒否することでこれをさらに制限することができます。

2つのシステムを相互に連携させることで、懸念事項を理にかなった方法で分割し、詳細な防御を可能にします。今後のバージョンでは、ユーザが管理者によって割り当てられたポリシーを変更できないように、階層を作成することを考えています。

FWaaS V2には、テナント間のリソースの共有、レビューする必要のあるものを迅速に識別するための監査フラグ、デフォルトのセキュリティグループと同様の機能を持つデフォルトのFirewall Group、といった機能があります。こちらでさらに詳細をご覧いただけます。

FWaaS V2の実際の動き

https://youtu.be/6NoIvm0J1W8

※本コラムは以下の文章を意訳したものです。

引用元
http://superuser.openstack.org/articles/firewall-service-openstack/

※本コラムは原文執筆者が公式に発表しているものでなく、翻訳者が独自に意訳しているものです。