iTOC事業部 マネージドビジネスソリューション部の武居です。 APCの本社NWインフラの請負部隊とICTセールス&コンサルチームの責任者として、お客様へITインフラ周りの提案を行っております。
これまではICTセールス&コンサルチーム側を取り上げてきましたが、今回は請負チームの主軸であるSIチームの取り組みについてアップしたいと思います。
今回はPaloalto Networksのファイアウォール管理ツールであるPanoramaから、クラウドベースのSCM (Strata Cloud Manager) に移行を実施しました。 本記事では、その背景や移行の流れ、実際の感想について紹介します。
そもそもの背景
既存のお客様は、これまでオンプレの PA シリーズをメインに使用していましたが、社内全体でゼロトラストを推進するため、Prisma Access への移行を進めていました。 その流れから、Panorama による一元管理から、より柔軟でスケーラブルな管理が可能な SCM (Strata Cloud Manager) への移行を検討しました。
何故、わざわざ記事にしたのか
移行手順については、以下のナレッジに共有されています。
当初は Paloalto 社のプロフェッショナルサービスを利用して進める方針でした。しかし、Paloalto の日本法人でも 日本国内での事例がなく、さらに移行ツールを使用するため、万が一の際に Panorama への切り戻しができない という課題がありました。 そのため、Paloalto 社としても、お客様の環境を熟知しているベンダーが対応することが望ましいと判断し、Paloalto 社と APC で体制を整えて対応することになりました。
本記事では、今後移行を検討しているお客様がナレッジを活用できるよう、以下のポイントをまとめています。
🔍 事前や当時はどのような準備をしたのか? 🔍 実際の手順したらどうなったのか? 🔍 移行後はどうなったのか?
移行ステップ
SCMへの移行は、大きく以下のステップで進めます。
1️⃣ 事前準備 各種バージョンの確認(Panorama、Prisma Access) 未設定項目の確認(Commitの未実施が無いかチェック) 各種バックアップ(running-config、デバイスステータス、tech-support) ※ Configは後で使います。
2️⃣ SCMへの移行 Strata Cloud Managerへのアクセス 移行ツールを使った適用 各種確認(ネットワーク、ポリシー、オブジェクト、ログなど) 差分設定(設定が反映されていない箇所を手動で設定)
3️⃣ 動作確認 通信、接続試験(GlobalProtectにてアクセス確認) 設定変更テスト(ポリシールール及び複合設定のメーカー推奨設定(O365含む)設定の有効化) 再試験(設定変更後も問題ないか)
4️⃣ 事後作業 各種バックアップ(Snapshotの保存)
移行の詳細な手順
① PortalからHub経由でログイン
② Strata Cloud Managerにログイン
③ Strata Cloud Managerへの移行
④最新の構成情報確認
※ 「Confirmed They are up to date」にチェックを入れる
⑤設定のインポート
※ 先に取得した「running-config.xml」を当てます
※ Master Keyは今回は「Default」のままです(もし手動で設定していた場合はMaster Keyが必要となります)
⑥設定のインポート
※ 全部チェックが付いたら、下にある「Next」を押します
差分チェックで変更が加わった部分を表示してくれます。
この辺りはさすがで、とても助かる機能です。
⑦移行完了
こちらの画面が出れば、無事完了です。
最後に、SCMでの各種確認と、SCM上からPrismaに設定がプッシュできれば作業は完了です。
所用時間は事前からここまで約5時間ほどで行えました。
実際に移行に携わった人の感想は?
今回は作業を担当したのは、丹野さんと前川さんの2名で実施したので、 それぞれに感想を聞いてみました。
「どこかつまづいた箇所はありますか?」
前川:導入作業の中で、設定時に意外な落とし穴となったのが「デフォルトポリシー」に関する挙動でした。 ログを保管するために一部設定をカスタマイズしていたのですが、そのまま移行できず。 「デフォルト」という表記もあったので移行可能と判断してしまったのと、エラー理由が出力されなかったことで、原因の特定に時間がかかってしまいました。
丹野:私はつまずいたというより、「移行完了」と表示されるまでに思った以上に時間がかかって、作業中に「本当に進んでいるのか」「途中で止まっていないか」といった不安がありました。 後でログを確認してみると、実際には出力までに1時間ほどかかっていたのですが、タスクバーなどで進捗が見えないこともあって、やはり心配になりましたね。
前川:少し技術的な話になりますが、複合化(復号)の方式が2種類ある点には注意が必要だと感じました。 具体的には、SCMではECDSA/RSAの両対応に変わっており、どちらか一方しか定義されていない場合は、移行後に通信に影響が出る可能性があります。 今回はRSAのみを使用していたので、移行後にECDSA側の定義も追加で必要になるため、事前に証明書の設定状態を確認しておくことが重要だと思います。 暗号化/復号化を使わない案件はほとんどないと思うので、移行前に確認すべきポイントの一つですね。
「ツールの信頼性という点で、不安に感じたことはありましたか」
前川:たまにページが表示されないことがあって焦りました。でも、そういうときはブラウザを更新しても改善しない場合、一度SCMに再ログインすれば表示されることが多かったです。 少し待てば徐々に設定が反映されてくることもあるようで、時間差で反映される仕組みなのかなと考えています。
丹野:表示に少し時間がかかることはありましたが、手動で移行作業をすることに比べれば圧倒的に楽でした。 設定もある程度自動で引き継がれるので、全体としてはとても素晴らしいツールだと感じています。
「PanoramaからSCMへ移行したことで、どう感じましたか?」
丹野:Panoramaをそこまで多く触っていたわけではないんですが、SCMは設定項目が整理されていて、視認性がとても良い印象を受けました。 特に、設定できない項目が一目でわかるUIや、ログ検索のしやすさは、作業効率の面でも助かりますね。
前川:逆に私はPanoramaを長く使ってきたので、SCMに移行したときは正直、画面構成の変化にギャップを感じました。 ログの検索方法も含めて、これまでの操作感との違いにまだ慣れていない部分があります。 とはいえ、クラウド環境ならではの安心感は感じています。アクセス性も向上しましたし、オンプレのように重い処理で固まってしまう心配が少ないのは良い点ですね。
前川:少し触ってみた中で感じたのは、Commitの概念がなくなり、プッシュ形式に変わったことで、運用面では少し注意が必要になるということです。 また、PanoramaではZoneの作成の際に、任意で名前が設定できていましたが、SCMではTrustとUntrustのみと制限がありました。 そのため、既存環境との違いや機能面の制限をあらかじめ把握しておくことが、スムーズな移行と安定した運用につながると感じました。
最後に
Panorama から SCM (Strata Cloud Manager) への移行は、クラウド時代に向けた大きなステップですが、切り戻し不可という点に不安を感じ、移行に踏み切れないお客様も多いのではないでしょうか。 私たちも正直なところ、移行に対して大きな不安を抱えながら臨みました。しかし、Paloalto が提供している移行ツールの精度は非常に高く、想定していたような大きなトラブルもなく、驚くほどスムーズに移行を完了することができました。
エーピーコミュニケーションズでは、SCMへの移行だけではなく、Paloaltoに関するサポートや導入支援も行っています。 「自社の環境でも導入できる?」「何から始めればいい?」といった疑問があれば、お気軽にご相談ください!
