catch-img

教えて!Prisma Accessのライセンス構成難しいの?

どうも。ガードの固いセキュリティ近藤です。

Palo Alto Networksの『Prisma Access』ってご存知ですか?もう皆さんご存知ですよね。あの夢と希望が詰まったクラウドネットワークセキュリティ製品ですよ。

簡単に言えば、Palo Alto Networksが用意しているクラウドサービスにVPNで繋げば、あの次世代ファイアウォールのPAシリーズと同等のセキュリティレベルを担保できる柔軟性の高いクラウド商材です。

それこそ、Prisma Accessを介し拠点間通信、リモート端末と拠点間、各拠点やリモート端末からのインターネット向け通信も簡単に

セキュアな通信にすることが可能になります。最近流行りのワードで言い換えると「SASEを提供している」とも言えます。

こんなセキュアで便利なクラウド商材になりますが、その柔軟性の高さからライセンス構成が非常にややこしいのです!!

今回はこのライセンス形態について説明していきます。

目次[非表示]

  1. 1.4つの大事な要素
    1. 1.1.ユースケース
    2. 1.2.ロケーション
    3. 1.3.エディション
    4. 1.4.オプション
  2. 2.意外と簡単かも


4つの大事な要素

まず、ライセンスを何を選んだらいいか迷走している場合、この4つの要素に対して順に必要な要件を埋めていけばゴールが見えてくるはずです。

  1. ユースケース
  2. ロケーション
  3. エディション
  4. オプション

この4つの要素がライセンス構成のベースとなってきます。では1つ1つ説明していきましょう。

ユースケース

モバイル接続、リモートネットワークの利用形態によって決まる要素です。

Prisma AccessのSecurity Processing Node(SPN)へ接続し実際にセキュリティポリシーを適応させる対象はモバイル端末拠点のどちらかになります。つまりユースケースでは対象物は何か?を指しております。

その為、ユースケースでは導入時に3種類の形態が生まれます。
「モバイル接続のみ」「拠点接続のみ」「モバイル接続+拠点接続」

この3種類のうちから導入環境にあったユースケースを選択していきますが、モバイルと接続にてライセンスの数の次元を合わせる必要があります。ではどのようにこの要素を定量的にライセンスへ落とし込むのか?
Prisma Accessでは「ユニット」と呼ばれる単位で数えていきます。

拠点の場合は利用する合計帯域量1Mbps = 1ユニットと換算します。例えば複数の拠点にて合計750Mbpsを利用したい場合は750ユニットとなります。

また、モバイルユーザの場合は1ユーザ = 1ユニットと換算していきます。
ユーザ数が1000人いるのであればモバイル分で1000ユニット用意する必要があります。

このユニットという単位を使って、まずはいくつライセンスが必要なのかを導き出していきます。
※注 200ユニット以上からの販売となります。

200ユニット以下でPrisma Accessを利用することができません。その為、帯域は200Mbps以上または200ユーザ以上、帯域+ユーザで200ユニット以上が必要になります。

ロケーション

利用するロケーションの数からライセンス形態を決定していきます。

ロケーションには選択肢が2つあり「Local」「Global (Worldwide)」です。

Prisma Accessでは世界中に接続ポイントとなるゲートウェイをリージョンとロケーションで用意しております。リージョンやロケーションのリストは以下を参考ください。

List of Prisma Access Locations

導入する際にPrisma Accessをどこで利用するかによってLocalなのかGlobalなのかを選択する必要がございます。以下条件に合わせどちらかを選択します。

「Local」の場合は、5つのロケーションまで利用が可能になります。(200ユニットから選択が可能)

「Global」の場合は、全てのリージョン、ロケーションを利用することが可能になります。(1000ユニットから選択が可能)

日本だけで利用するのであればLocalを選択すれば問題無いですね。世界中で利用するのであればGlobal(Worldwode)が必要になります。

エディション

利用するセキュリティ機能、通信形態によって決定する必要があります。

エディションの中には「Business」「Business Premium」「ZTNA SIG」「Enterprise」という4種類の選択肢があります。

  • Businessエディション
    シンプルなSecure Web Gatewayをモバイル&ブランチに提供
  • Business Premiumエディション
    Secure Web Gatewayとしてより高度なセキュリティ機能をモバイル&ブランチに提供
  • ZTNA SIG (Zero Trust Network Access Secure Internet Gateway)
    モバイルユーザ利用専用エディション
  • Enterpriseエディション
    全てのセキュリティ機能を提供、拠点間通信の制御も可能

それぞれのエディションでは利用できる機能、通信形態が決まっており、どのようにPrisma Accessを利用するかによって選択する必要があります。

Prisma Access ライセンス

※略語について
DNS‥DNSセキュリティ、UF‥URLフィルタリング、TP‥脅威防御、WF‥WildFire、DLP‥データ損失防止、SC‥サービスコネクション、IC‥インターコネクト

オプション

エディションに合わせ必要なオプションを追加します。(エディションの追加オプション箇所※必要であれば追加できます。)

追加オプションには「DLP」「インターコネクト」「追加サービスコネクション」が存在します。

  • DLP
    PAシリーズでも追加ライセンスより利用可能な機能であるデータ損失防止機能です。クレジット番号や機密番号などがデータ部に含まれている場合制御する機能です。Business Premium、EnterpriseとZTNA SIGエディションにて適応が可能です。
  • インターコネクト
    Prisma Accessを経由した拠点間通信や拠点とモバイル間の通信を許可、可視化するオプションです。逆にこれが無いと拠点間通信ができませんのでSASEを意識する場合は必須になると考えております。Enterpriseエディションでのみ適応が可能です。
  • 追加サービスコネクション
    デフォルトではエディションZTNA SIGとEnterpriseでは付属している接続ポイントですが、個数を増やす場合にオプションとして追加することが可能です。EnterpriseとZTNA SIGエディションにて適応が可能です。

意外と簡単かも

なるほど、この4つの要素を順に当てはめていくことで何が必要かわかってきましたね。

すでに導入したい環境の要件がわかっておれば苦戦することなくライセンス構成を簡単に組むことができます。下図のように上から順に各要素について確認してください。

Prisma Access ライセンス 構成


Prisma Accessにてセキュリティを一元管理にしたい場合はインターコネクトが必要でしょうからEnterpriseエディションを選ぶなどすぐに判断できるようになります。


私も初めは不明部分が多くありましたが意外と簡単かも知れませんね!

さらに詳細は弊社のホームサイトでも解説しているので参考くださ〜い。

ネットワンパートナーズのPrisma Accessページ

近藤 潤(こんどう じゅん)

近藤 潤(こんどう じゅん)

2017年4月 ネットワンシステムズ入社。入社後ネットワンパートナーズでCisco Meraki担当→ワイヤレス→セキュリティ製品PaloAltoを担当に。