データ センターにおける Palo Alto Networks: 妥協をなくす2011 年 5 月

データ センターにおける Palo Alto Networks: 妥協をなくす

2 ページ

要旨理論的には、データ センターのネットワーク セキュリティは簡単です。脅威を防御し、規制とエンタープライズ ポリシーを遵守し、ビジネスの妨げにならないようにそれを行います。しかし、実際には、アプリケーションの可用性とパフォーマンスに対する要求が高まり続けているため、絶えず進化する脅威の状況と、セキュリティの観点からアプリケーションで何が起きるのかを理解する必要性が合わさって、一見すると簡単に思えるデータ センターのネットワーク セキュリティに対する要求を満たすことが一層難しくなっています。確かに、ほとんどの組織は、大きな妥協を強いられてきました。セキュリティ、機能性、可視性と引き換えに、パフォーマンス、単純性、効率性を手に入れてきたのです。問題を総合すると、すべてのデータ センターが同じではないということです。内部エンタープライズ データ センターには、インターネットに接続されているデータ センターとは異なる使命とセキュリティ要件があります。アプリケーションとユーザーの特性、規制要件、および他の独特なセキュリティ上の問題はすべて、これら 2 種類のデータ センター間で異なっています。エンタープライズ データ センターの場合、ネットワーク セキュリティをさまざまなネットワーク アーキテクチャに統合できること、ビジネス関連の用語 (アプリケーションとユーザーなど ) に基づいてネットワークを分割できること、およびアプリケーション開発者に歩調を合わせることは、ネットワーク セキュリティ インフラストラクチャに対する重要で明確な要求です。一方、インターネットに接続されたデータ センターの管理者はおのずと、柔軟性の向上、可視性の向上、容易に統合可能な脅威防御の強化、さらには運用の信頼性向上を求めます。

Palo Alto Networks は、両方の種類のデータ センター環境におけるネットワーク セキュリティの要求をユニークな方法で満たします。データ センターのパフォーマンスと信頼性を目的に設計されたアーキテクチャに組み込まれた革新的なテクノロジー (App-ID™、User-ID、および Content-ID) を基盤として、Palo

Alto Networks の次世代ファイアウォールは、これまでデータ センターのネットワーク セキュリティ特有の問題であった受け入れがたい妥協の多くをなくす、データ センターのネットワーク セキュリティ ソリューションを組織に提供します。

データ センターのネットワーク セキュリティ ̶ 脅威の防御、遵守、機能有名な話ですが、アメリカ人の銀行強盗である Willie Sutton は、なぜ銀行を強盗するのかとたずねられたときに、「そこに金があるからさ」と答えたことで知られています。Sutton によるとこの話は作り話のようですが、同じ理由でデータ センターは犯人にとって魅力的です。そこにデータがあるからです (そして、データにはお金かそれと同等の価値があります )。考え方としては、データ センターのネットワーク セキュリティは簡単です。企業のお客様とお話ししているとき、現代のデーター センターのネットワーク セキュリティには 3 つ主要な要求があることに気付きました。

n 脅威を防御するn 遵守およびセグメント化するn アプリケーションのパフォーマンスと可用性を維持する

1 つ目の要素である脅威の防御は、正直なところここ数年ますます難しくなりました。インフラストラクチャに対する基本的な攻撃には、複数ベクトルで、アプリケーションに負担をかける高度な攻撃を行う一定の方法があります。それらの攻撃は、ひっそり行われ、利益第一であり、エンタープライズ ユーザーが知らずに手助けし、多くの場合、多様な形を持っています。これらの脅威の発展にかかわった組織のレベルも前例のないものです。2 番目の要件である遵守は、データ センター アーキテクチャとネットワーク

セキュリティに大きな影響を与え続けています。PCI、米国健康管理規制、ヨーロッパのプライバシー規制のどれであっても、重要な規制および遵守要件が存在するため、一般的には組織の、具体的にはデータ

センターの深くまでネットワーク セグメントが食い込んでいます。最後に、パフォーマンスと可用性の維持という 2 つの要件は 1 つにまとめることができ、通常は単純性と言い換えることができます。複雑になると、統合の問題、停止の頻度、および遅延が増加することがよくあります。単純に保つことは不可欠です。2 番目の要件は速度です。ビジネスに遅延をもたらさない高速な処理です。セキュリティ ソリューションを維持できない場合、データ センターにそれほど長くはとどまりません。

3 ページ

データ センターのネットワーク セキュリティには受け入れられない妥協が伴うデータ センターのネットワーク セキュリティは、これまで正当な理由で境界ネットワーク セキュリティを遅らせてきました。その理由は、アプリケーションの可用性とパフォーマンスがセキュリティに勝るということです。データ センターにホストされたアプリケーションが使用できないか、ユーザーに応答しない場合、組織が収益のチャンスを失うことがよくあります。そのため、ネットワーク セキュリティの制御

(どれも遅延と停止をもたらすことがよくある ) は一般に “合理化” されました。エンタープライズがステートフル インスペクションを使用して境界ネットワーク セキュリティ インフラストラクチャを構築した場合、データ センターのネットワーク セキュリティにはルーター上の ACL が使用されました。のちに、企業の境界ネットワーク セキュリティ インフラストラクチャに IPS、プロキシ、DLP、および他のデバイスが採用されると、一部のデータ センターはステートフル インスペクション テクノロジを採用し始めました。この歴史的観点は、データ センターのネットワーク セキュリティでよく見られる重要な交換条件を例示しています。

n パフォーマンスかセキュリティかn 単純性か機能性かn 効率性か可視性か

多くの場合、これらの妥協はもともと存在するものです。たとえば、インターネットに接続されたデータ

センターを持つ組織は、機器の選択肢の中でパフォーマンスかセキュリティを選択する必要がありました。パフォーマンス能力は十分にあるがセキュリティが不足しているサービス プロバイダ クラスのファイアウォールを選択することも、セキュリティ機能は豊富にあるがパフォーマンスと一部の必須の信頼性機能が不足している境界クラスのファイアウォールを選択することもできます。問題は、一度組織が選択を行うと、変えることができなかったということです。セキュリティとパフォーマンスのバランスを変えるには、新しい設計と新しい製品を実装する必要がありました。

すべてのデータ センターがまったく同じようには作られていない保険会社の内部クレーム処理アプリケーションをホストするデータ センターと、小売 Web サイトをホストするデータ センターについて見てみましょう。大きな違いはすぐにわかります。それらの違いは、アプリケーションの性質や数、ユーザーの質や数、特定のセキュリティ制御の優先度と可能性などです。このホワイト ペーパーの以下の部分では、次の主な 2 種類のデータ センターにおけるさまざまなネットワーク セキュリティの属性と必要について説明します。

n エンタープライズ /内部データ センターn インターネットに接続されたデータ センター

Palo Alto Networks の次世代ファイアウォールを使用すると、組織はどちらの種類のデータ センターでも、データ センターのネットワーク セキュリティの主な要素を実現できます。大きな違いがあるため、Palo

Alto Networks の革新的なテクノロジ (付録を参照 ) の適用方法が異なります。

データ センターにおける Palo Alto Networks: 妥協をなくす

4 ページ

エンタープライズ /内部データ センター相対的に言うと、エンタープライズ データ センターの方が多くのアプリケーションをホストしますが、ユーザー数は少な目です。アプリケーションの出所はさまざまです。パッケージ製品、自社開発、またはカスタマイズされたアプリケーションがあります。ブラウザ ベースだが、クライアント /サーバーのように機能するアプリケーションもあります。端末ベースや仮想化されたアプリケーションもあります。ユーザーに関して言えば、通常は既知のユーザーであり、一般には従業員、請負業者、またはパートナーです。図 1 を参照してください。

図 1: エンタープライズ データ センター

エンタープライズ データ センターが直面する独特なネットワーク セキュリティの問題には、ネットワークのセグメント化の必要 (通常は遵守により生じます )、アプリケーション開発者と歩調を合わせる必要、ネットワーク セキュリティをさまざまなデータ センター設計に合わせる要件などがあります。エンタープライズ データ センターにおいてエンタープライズがますます強調している問題は、“不正な” アプリケーションの急増です。不正な SharePoint インストールであっても、標準以外のポートで SSH を使用する管理者であっても、データ センター ネットワークでこのようなアプリケーションを特定して識別する必要があります。

エンタープライズ データ センターにおける Palo Alto Networks前述のように、エンタープライズ データ センターにおけるネットワーク セキュリティは多くの場合ネットワークのセグメント化に関するものです。どのファイアウォールもネットワークのセグメント化を行うことができますが、ポートおよび IP アドレス ベースのセグメント化は、データ センターにおいては境界におけると同じほど意味のないことです。つまり、開いているポートをほぼどれでも利用できるアプリケーションと脅威の混合を目の前にすれば、事実上価値がありません。さらに、IP アドレスまたは IP アドレス プールによるアクセス制御は、どのユーザーにとっても貧弱なアクセス方法です。規制と他の外部要件 (PCI 付録 F など ) のどちらを遵守する場合でも、エンタープライズが求めているものは、ユーザーおよびアプリケーションによるネットワークのセグメント化です。それで、たとえば組織はカード保有者データが格納されたサーバーをセグメント化して切り離し、支払アプリケーションを使用する財務ユーザーのみにそのセグメントへのアクセスを許可できます。したがって、アクセスが区切られて制限され、個々のアカウントが管理されます。そのレベルで制御することにより、おそらく最も重要なこととして、多くの大規模エンタープライズにとって監査能力が不可欠であることがわかってきました。

エンタープライズ データ センターの別の主要な属性は、アーキテクチャの多様性です。その一部は、いくつかの組織では内部 “データ センター” が必ずしも 1 つの場所ではないという事実によります。つまり、ルーター、コア スイッチ、アクセス スイッチ、および他のネットワーク リソースの通常のスタックが、VLAN および分散アプリケーション コンポーネントを使用した場合には少し違って見えます。これは、Palo Alto Networks の次世代ファイアウォールのもう 1 つの強みです。これらのファイアウォールは、ポート密度の高いアプライアンスを介して混合モードで運用している場合でも、L1 (Virtual Wire)、L2、および L3 を統合することができます。さらに、セキュリティ ゾーンおよび仮想ファイアウォールを介した VLAN のトランキング、ポートの集約、および役割ベースの管理の実行機能により、組織は次世代ファイアウォールを、どのアーキテクチャおよび運用モデルにも統合できます。図 2 で、VLAN および L2 の統合を組み込んだ “スティック状のファイアウォール” 設計の図を参照してください。直列のままですが、柔軟な統合によりエンタープライズのお客様はその推奨ネットワーク アーキテクチャを使用することが可能になります。

データ センターにおける Palo Alto Networks: 妥協をなくす

5 ページ

データ センターにおける Palo Alto Networks: 妥協をなくす

図 2: Palo Alto Networks と共に VLAN を使用した L2 におけるエンタープライズ データ センター設計

最後に、エンタープライズ データ センターにおける Palo Alto Networks の次世代ファイアウォールの他の主要な用途は、不正なアプリケーションの制御です。誤った設定の不正な SharePoint 展開、標準以外のポートにおける SSH の権限のない使用、および P2P ファイル共有ですら、お客様の展開で検出され、制御されてきました。別の例は、もっと運用に焦点が当てられたものです。アプリケーション開発者は、便利などのポートにもデータベースや他のアプリケーション コンポーネントを実装するものです。アプリケーション開発者を制御しようとするのではなく、アプリケーションを制御してください。つまり、セキュリティ ゾーン間で MySQL が承認済みのアプリケーションである場合、どのポートを使用するかに関係なくそのアプリケーションは許可されます。これにより、開発者に歩調を合わせることがかなり容易になり、攻撃面を増やさずに主要なアプリケーションを安全に有効にできます。

インターネットに接続されたデータ センター反対に、インターネットに接続されたデータ センターでは、一般的にアプリケーションの数が比較的少なく、通常は Web (つまり、ブラウザ ベースの ) アプリケーションです。多くの場合、これらのアプリケーションは一般的な Web インフラストラクチャ “スタック” (IBM、LAMP、Microsoft、Oracle など ) のいずれかを使用します。ユーザーの数は多く、たいていは不明なユーザーまたは信頼できないユーザーです。図 3

を参照してください。

ユーザー データベース アプリケーション/Web サーバー

図 3: インターネットに接続されたデータ センター

インターネットに接続されたデータ センターが取り組む必要がある独特なネットワーク セキュリティの問題は、 設計 (ファイアウォールは耐障害性のある高スループットな配置で直列になっていますが、IPS パフォーマンスによくある問題を考えると、IPS をどこに配置すればよいのかなど )、および )、前述のもともと存在する妥協、および可視性 (何が使用されているのか、何が攻撃されているのかなど ) などです。

インターネット データ センターにおける

Palo Alto Networks

インターネットに接続されたデータ センターでは、Palo Alto Networks の次世代ファイアウォールには、重要なメリット (柔軟性 ) が – があります。エンタープライズは、パフォーマンスとセキュリティの二者択一を強制しないネットワーク セキュリティ インフラストラクチャを選択することができるようになりました。セキュリティ対策の変更は、ポリシー設定です。フル コンテンツ スキャンから、アプリケーションおよびユーザー固有のファイアウォール ポリシー、基本的なファイアウォール ポリシーに変更します。

この設計の柔軟性には、重要な副効用 (単純化 ) があります。図 4 を参照してください。データ センターのネットワーク設計者は、IPS を組み込む方法を考えなくてよくなりました (これまでは難所でした )。Palo Alto Networks の次世代ファイアウォールでは、NSS により IPS がテストされました。最高のブロック率 (93.4%。判別不能は 100% 抑制 ) を実現しただけでなく、Palo Alto Networks の次世代ファイアウォールはデータシートの記載よりも高いパフォー

データベース アプリケーション サーバー Web サーバー

マンスを発揮しました (定格スループットの 115% を実現 )。このため、データ センターのネットワーク設計者か、簡単に設計を仕上げることができます。

最後に、1 か所での可視性も大きなメリットです。通常、“可視性” は複数のログ ファイルを確認して、見つかりそうにないものを探すことを意味します。しかし、Palo Alto Networks データ センターのお客様は、インバウンド

URL と脅威のログにアプリケーションの可視性、トラフィックの可視性を組み合わせることで (すべて 1 つのユーザー インターフェイスで利用可能 )、可視性と効率性を二者択一する必要がなくなったことに気付きました。

次世代ファイアウォールがデータ センターのネットワーク セキュリティを改革する少数の革新的なテクノロジ (App-ID、User-ID、Content-ID、およびシングル パス並列処理アーキテクチャ ̶ 詳細については付録を参照 ) により、Palo Alto Networks の次世代ファイアウォールは、これまでエンタープライズが取り組んできた従来のデータ センターのネットワーク セキュリティに関する妥協の多くをなくします。組織は最初から次のことを実現できます。

n 脅威を防御するn 遵守およびセグメント化するn アプリケーションのパフォーマンスと可用性を維持する

これらはすべて、パフォーマンス、単純性、および効率性と同時に、セキュリティ、機能性、および可視性を実現します。

図 4: インターネット データ センターと Palo Alto Networks

6 ページ

データ センターにおける Palo Alto Networks: 妥協をなくす

7 ページ

データ センターにおける Palo Alto Networks: 妥協をなくす

付録

Palo Alto Networks のユニークなテクノロジPalo Alto Networks には、パフォーマンス、単純性、および効率性のためにセキュリティ、機能性、および可視性を妥協しなくても、お客様が両方の種類のデータ センターでネットワーク セキュリティ要件を実現できるようにする 4 つのユニークなテクノロジがあります。

n App-IDn User-IDn Content-IDn シングル パス並列処理アーキテクチャ

App-ID は基礎的な識別メカニズムである正確なトラフィック識別はファイアウォールの中核になり、セキュリティ ポリシーの基盤になります。従来のファイアウォールではトラフィックをポートとプロトコルで識別しました。これは、1 か所においてデータ センターを守るのに十分なメカニズムでした。現在では、動的なポート変更、SSL や SSH による暗号化、80 番ポートの使用、ハイポートの使用などによって、アプリケーションや脅威は従来のポートベースのファイアウォールを容易にバイパスでるようになりました。Palo Alto Networks 独自の App-ID (特許出願中のトラフィック識別メカニズム ) は、デバイスがトラフィック ストリームを検出すると同時に複数の識別メカニズムを適用し、ネットワークを通過するアプリケーションを正確に識別することにより、従来のファイアウォールの問題であるトラフィック識別の限界を解決します。標準アプリケーション、パッケージ アプリケーション、カスタム アプリケーションのどれであるかは関係ありません。

User-ID はディレクトリ ユーザー /グループをネットワーク セキュリティ ポリシーに統合するすべての Palo Alto Networks ファイアウォール プラットフォームの標準機能である User-ID テクノロジは、IP アドレスを特定のユーザー ID にリンクし、ユーザー ベースでのネットワーク アクティビティの可視性と制御を可能にします。Microsoft Active Directory (AD) および他の LDAP ディレクトリと緊密に統合された Palo Alto Networks (ユーザー識別エージェント ) により、この目標が 2 つの方法でサポートされます。まず、ログイン監視、エンド ステーション ポーリング、および Captive Portal の手法の組み合わせを使用して、ユーザーと IP アドレスの関係を定期的に確認および維持します。次に、AD ドメイン コントローラと通信し、役割やグループの割り当てなどの関連するユーザー情報を収集します。その後、これらの詳細を次の目的で使用できます。

n すべてのアプリケーション、コンテンツ、およびネットワーク上の脅威トラフィックに対して具体的にだれが責任を負っているかに関する可視性 (および監査能力 ) を取得する。

n ユーザー ID を、アクセス制御ポリシー内の変数として使用できるようにする。

n トラブルシューティングやインシデントへの対応を行いやすくし、レポートで使用する。

User-ID を使用して、IT 部門は高度な方法でアプリケーションの使用を制御するのに役立つ別の強力なメカニズムを取得します。たとえば、規制されたデータを保持するアプリケーションは、使用する正当な理由を持つ個人またはグループに対して有効にできますが、リスクを軽減するためにスキャンし、監査および保持要件を満たすためにアクセスを記録できます。

Content-ID は許可されたトラフィックで脅威をスキャンするもう 1 つのテクノロジと同様に、Content-ID は、これまでエンタープライズ ファイアウォールにはなかった機能を Palo Alto Networks の次世代ファイアウォールにもたらします。この場合は、許可されたアプリケーション トラフィックに含まれる脅威のリアルタイム防御、Web アプリケーション利用の細かい可視性、およびファイルとデータのフィルタ処理です。

脅威防御 : Content-ID のこのコンポーネントは、複数の革新的な機能を活用して、スパイウェア、ウイルス、およびアプリケーションの脆弱性がただ乗りするアプリケーション トラフィックの種類 (従来のアプリケーションでも新しいアプリケーションでも ) にかかわらず、ネットワークに侵入するのを防御します。

8 ページ

データ センターにおける Palo Alto Networks: 妥協をなくす

n アプリケーション デコーダ : Content-ID は、この App-ID コンポーネントを活用してデータ ストリームを前処理し、特定の脅威の証拠がないかを検査します。

n 統一された脅威シグネチャ形式 :脅威の種類ごとに別個のスキャン エンジンを使用しなくてもよいようにすることで、パフォーマンスがさらに向上します。ウイルス、スパイウェア、および脆弱性の利用はすべてシングル パスで検出されます。

n 脆弱性攻撃保護 (IPS):トラフィックの正常化および最適化のための堅牢なルーチンが、プロトコル異常、動作異常、およびヒューリスティック検出メカニズムと連携して、既知の脅威と不明な脅威の両方から広範囲かつ総合的に保護します。

n 統合された URL ログ作成機能 : データ センターにおける Web アプリケーションのどの要素が使用または攻撃されているかを知ることができます。

ファイルとデータのフィルタ処理 : App-ID による詳細なアプリケーション検査の結果を利用することで、この機能セットを使用して不正なファイルおよびデータの転送に関連するリスクを軽減するポリシーを適用できます。具体的な機能としては、実際の種類 (つまり、拡張子だけでなく ) によりファイルをブロックする機能や、クレジット カード番号や社会保障番号などの機密データのパターンの転送を制御する機能などがあります。

結論として、IT 部門は Content-ID を使用することで、既知の脅威と不明な脅威を止める機能、可視性を上げる機能、適切な使用を保証する機能を手に入れることができます。どれも、パフォーマンス、単純性、または効率性を妥協せずに実現できます。

シングル パス並列処理アーキテクチャによりハイ パフォーマンスの基盤が形成される何よりもまず、データ センターのネットワーク セキュリティ インフラストラクチャが機能する必要があります。前述のように、機能しないものはどれもデータ センターにインストールされません。本物の次世代ファイアウォールを実装するため、Palo Alto Networks はワイヤー スピードで大量の処理を行う機能

(アプリケーション識別など ) を実行できる新しいアーキテクチャを開発する必要がありました。

Palo Alto Networks の次世代ファイアウォールは、シングル パス並列処理 (SP3) アーキテクチャを使用して、最大 20 Gbps の速度でデータ センター環境を保護します。

SP3 アーキテクチャを構成する 2 つの主要な要素は、シングル パス ソフトウェア アーキテクチャとカスタム構築されたハードウェア プラットフォームです。Palo Alto Networks の SP3 アーキテクチャは、ハードウェアとソフトウェアを統合することで、管理の簡素化、処理の合理化、およびパフォーマンスの最大化を図るユニークなアプローチです。

シングル パス ソフトウェアPalo Alto Networks のシングル パス ソフトウェアは、Palo Alto Networks の次世代ファイアウォール内で 2 つの主要な機能を実現するように設計されています。まず、シングル パス ソフトウェアはパケットごとに 1 回ずつ処理を実行します。パッケージが処理されるとき、ネットワーキング機能、ポリシー検索、アプリケーションの識別とデコード、すべての脅威とコンテンツに対するシグネチャ

マッチングがすべて 1 回だけ実行されます。これにより、1 つのセキュリティ デバイスで複数の機能を実行するのに必要な処理のオーバーヘッド量が大幅に減少します。

2 つ目に、Palo Alto Networks のシングル パス ソフトウェアにおけるコンテンツ スキャン ステップはストリーム ベースであり、統一されたシグネチャ マッチングを使用して脅威を検出およびブロックします。別個のエンジンとシグネチャ セットを使用したり (複数パス スキャンが必要 )、ファイル

プロキシを使用したり (スキャン前にファイルのダウンロードが必要 ) する代わりに、次世代ファイアウォールのシングル パス ソフトウェアはコンテンツを 1 回スキャンし、ストリーム ベースの方式で遅延の発生を防ぎます。

3300 Olcott Street Santa Clara, CA 95054

代表: +1.408.573.4000販売: +1.866.320.4788 サポート: +1.866.898.9087

お問い合わせ先: www.paloaltonetworks.com

Copyright ©2011, Palo Alto Networks, Inc. All rights reserved.Palo Alto Networks、Palo Alto Networks ロゴ、PAN-OS、App-ID、および Panorama は、Palo Alto Networks, Inc. の商標です。すべての仕様は予告なく変更される場合があります。Palo Alto Networks は、本書の記述の間違いまたは本書の情報の更新について責任を負いません。Palo Alto Networks は、本書を予告なく変更、修正、または改訂する権利を保有します。PAN_WP_DC_051811

データ センターにおける Palo Alto Networks: 妥協をなくす

このシングル パス トラフィック処理により、すべてのセキュリティ機能をアクティブにしたまま、スループットを大幅に高めて遅延を減らすことが可能 になります。完全に統合された 1 つのポリシーという他のメリットもあり、エンタープライズ ネットワーク セキュリティの簡素化された管理が可能になります。

並列処理ハードウェアPalo Alto Networks SP3 アーキテクチャの他の重要な部分は、ハードウェアです。Palo Alto

Networks の次世代ファイアウォールは、並列で処理する専用の機能群を使用して、シングル パス

ソフトウェアができる限り効率的に動作するようにします。

n ネットワーキング : ルーティング、フロー検索、統計の集計、NAT、および同様の機能がネットワーク固有のプロセッサで実行されます。

n セキュリティ : User-ID、App-ID、およびポリシー検索はすべて、暗号化、解読、および解凍が高速化されたマルチコア セキュリティ専用処理エンジンで実行されます。

n 脅威防御 : Content-ID は、専用のコンテンツ スキャン プロセッサを使用して、あらゆる種類のマルウェアのコンテンツを分析します。

n 管理機能 : 専用の管理プロセッサにより、データ処理ハードウェアを操作しなくても、設定の管理、ログ作成、レポート作成を容易に行うことができます。

アーキテクチャの最後の要素は、データ プレーンと制御プレーンを物理的に分離することで実現される組み込みの弾力性を中心に展開されます。この分離を行うと、一方を集中的に利用しても、もう一方にマイナスの影響を与えることがありません。たとえば、管理者がプロセッサを大量に消費するレポートを実行しても、データ プレーンとコントロール プレーンが分離されているため、パケットを処理する能力は妨げられません。