こんにちは!今年度からCato Cloudを担当することになりました山形です。 以前はFortiGateを担当していました。オンプレミスのファイアウォールを触ってきた目線で、 これからCato Cloudを導入する方向けに役立つ情報を発信していきたいと思います!
今回は「ハードウェア」に焦点を当てて紹介します!
はじめに
Cato Cloudのハードウェアといえば、Socketが該当します。 FortiGateと似ている部分がありますが、実は役割が異なります。
・Cato Socket:Cato Cloudに接続するためのエッジ装置
・FortiGate:オンプレミス上で通信を制御するファイアウォール
Socketはあくまでエッジ装置で、実際のセキュリティ設定はCato Cloud (Cato Management Application=CMA)上で行います。
ちなみにFortiGateではFortiGateCloudというのものがあり、FortiGateで設定した情報やログがFortiGateCloudへ転送される機能です。ハードウェアのスペック(例:ログを貯めるディスクサイズが少ない等)の関係で、FortiGate本体でのログ保管は限界があります。そのため、FortiGateCloudを利用してログを貯めておくという使い方をします。
Cato SocketとFortiGateの外観比較
実際にFortiGateとSocketを並べてみました! 今回比較した機種はFortiGate 50Gと、Cato Socket X1500です。
FortiGateに比べて、Socketは一回り小さいですね!外観やインターフェイスの構成、LEDランプはかなり似ています。
個人的に一番驚いたのは、Socketではコンソールケーブルをほぼ使わない点です。 FortiGateでもGUIで設定可能ですが、トラブル時や設定する情報によってはコンソール操作の方が早く、常にコンソールケーブルを持ち歩いていました。 (外出作業時に忘れるとかなり焦ります…) 一方、Socketは基本的にGUIから操作するため、初心者でも扱いやすいと感じました。
セキュリティ処理はどこで動く?ハードウェアスペックとの関係
冒頭「はじめに」にて、FortiGateとCatoでは、設定を行う場所が機器上かクラウド上かで異なると記載しました。
この違いは、ハードウェアのリソース設計にも影響します。
FortiGateの場合、ファイアウォールやIPS、アンチウイルスなどのセキュリティ処理をすべて機器上で実行するため、CPUやメモリのリソースが重要になります。特に近年ではセキュリティ機能の高度化により、安定して運用するためにはメモリ8GB以上が必要と言われています。
FortiGateのようなオンプレミス機器で注意すべきなのは、「導入時には十分だったスペックでも、数年後には不足する可能性がある。」という点です。例えば5年間の利用を想定した場合、トラフィック増加やセキュリティ機能追加によって性能要件が上がり、運用途中でリソースが不足してしまいます。FortiGateでこのような状態になると、セキュリティ処理や新規セッションの受付を制御する等、通信影響が発生します。
一方、Catoの場合はセキュリティ処理がクラウド側で実行されるため、Socket自体のリソースは主にトラフィック転送に利用されます。そのため、FortiGateのようにセキュリティ機能の増加によってメモリ使用率が逼迫するケースは少なく、Socketのハードウェアスペックを過度に意識する必要がない点が特徴です。
起動・再起動・シャットダウン
起動はSocketとFortiGateのどちらも電源ケーブルを挿すだけです。 起動時間も大きな差は感じませんでした。
一方で、驚いたのは再起動とシャットダウンの違いです。 Socketは電源の抜き差しで対応可能です。(再起動時は30秒ほど間隔を空け ることを推奨します。) 「シャットダウンコマンドは不要なの?」と最初は驚きましたが、 シンプルに扱える設計になっていると感じました。
FortiGateではコマンドを実行して、再起動やシャットダウンをするのがマストでした。もちろんFortiGateも電源の抜き差しで対応できるような最低限のハードウェア設計はされていると思いますが、 基本的にはコマンド操作が推奨されています。
実際に、計画停電の際にシャットダウンコマンドを実行し忘れてしまい、 復電後に機器が正常起動しない…というお客様を何度も見てきました。さらに設定を保存し忘れていた かつ FortiGateCloudに情報が残っていない…となると、一から新規で設定し直すというなかなかつらい状況になることもあります。
アップグレード
Socketのアップグレードは、事前にCMA上で指定したメンテナンス時間内に自動で実施されます。メジャーバージョンは年に3~4回程度リリースされています。
一方、FortiGateのアップグレードもスケジュール設定は可能ですが、失敗時の全体影響を考慮し、実際の運用では手動で実施するケースが多い印象です。
メジャーバージョンとマイナーバージョンの考え方はSocketとほぼ同じです。FortiGate OSのメジャーバージョンは年1回程度ですが、マイナーバージョンは年4~5回程度リリースされています。 脆弱性対応のためにはマイナーバージョンのアップデートも都度対応が必要になります。この点が日々の運用を悩ませるポイントになります。
まとめ
今回はCato SocketとFortiGateをハードウェアの観点で比較してみました。 実際に触ってみると、 「似ている部分もあるけど、そもそも作られ方や考え方が違うな」という印象が強かったです。 特にハードウェアにおける運用のシンプルさは、 Catoならではの特徴だと感じました。
まだまだCato Cloudは勉強中ではありますが、 今後も実際に触ってみて気づいたことをご紹介できればと思います!