現在、ほとんどのデータセンターコンポーネントが、ハードウェアリソースの汎用プールとして機能しています。コンピューティング能力、ストレージ、ネットワーキングのいずれであっても、要件に合わせて最も効率的な方法でプロビジョニング、運用、管理が可能です。
この種のソフトウェア定義データセンター(Software Defined Data Centers: SDDC)のワークロードは、複数のマシンや、ときには複数の場所にまたがることがあり、必要に応じて拡大/追加契約を行います。
SDDCアーキテクチャは、仮想マシン、ソフトウェア定義ネットワーキング、ソフトウェア定義ストレージ、クラウドコンピューティング、自動化、管理、セキュリティといったあらゆるデータセンター機能を網羅しています。
各コンポーネントが仮想化されるようになったことで、サポートする機能もそれに順応しなければならなくなりました。セキュリティは現在このようなプレッシャーに直面しています。
レガシーセキュリティアーキテクチャは、プロビジョニング、ワークロード、ネットワークフローからは切り離されています。1台の巨大なマシンから始まったデータセンターに、数十台、数百台、数千台のマシンが導入されるようになると、セキュリティがセキュリティゾーン、すなわち境界防御やマシンおよびネットワークのセグメンテーションに依存にするようになりました。
残念ながら、これらのゾーン管理はかなり複雑なため、ほとんどのお客様は少数のゾーンしか作成していません。このモデルではセキュリティが境界で強化されているため、長年、一元化されたポリシーの管理不能という問題が発生していました。
SDDCのセキュリティ確保のために、仮想分離とマイクロセグメンテーションという新たなアプローチが登場しました。各ワークロードに独自の境界防御機能を持たせ、データセンターの他の部分から分離し、必要に応じてポリシーを適用するのです。アプリケーションにポリシーを関連付けるようなものです。作業に必要な最低限の権限でアクセスを許可し、悪意のある動作機会を制限します。仮想マシンが移動すると、ポリシーも一緒に移動します。
これまでデータセンター内のトラフィックはクライアントからサーバー、すなわちNorth-Southトラフィックが主でした(訳注:ネットワーク業界では、ネットワーク構成図の上下を北と南、左右を西と東に見て、通信の流れを「North-South」や「East-West」と呼びます。そして、サーバーからクライアントへと流れる通信を「North-Southトラフィック」、クライアント間の通信を「East-Westトラフィック」と呼称します)。境界防御とネットワークセグメントは、機能や部門ごとにトラフィックを囲い込み、外部の脅威から防御するために作成されました。現在、データセンターのトラフィックのうち、最大80%はEast-Westトラフィックと呼ばれる、データセンター内部に留まるものです。最近では、攻撃によって境界ファイアウォールを突破されると、データセンターが完全に無防備な状態になってしまうという事例が見受けられます。このような新たな現実に対応できるようにセグメンテーションを変化させ、個別のフローに応じてポリシーの適用とトラフィック制御を行い、可能性のあるすべての攻撃ベクトルからの脅威に対抗する必要があります。物理グループではなく論理グループに対してポリシーを設定し、適用します。
SDDCのセキュリティの機能は、境界ファイアウォールの機能よりも豊富でなければなりません。侵入検知と防止、ファイルの詳細分析とファイルのレピュテーション管理、動作分析、高度な脅威防御とボット検出はいずれも欠かせません。トラフィックを適切な仮想セキュリティエンジンに誘導することで、必要に応じてこれらを含む保護機能が利用できるようになります。
たとえばWeb層、アプリケーション層、データベース層という典型的な3階層のシナリオでは、SDDCセキュリティを各境界層に適用し、すべての方向の階層を保護します。そして機密情報を保護しているデータベース層には、より高度なセキュリティやデータ損失防止機能を適用します。Web層では悪意のあるアドレス、URL、スタックの脆弱性のほうに重点を置きます。
ソフトウェア定義セキュリティとソフトウェア定義ネットワークを統合することで、North-Southフローだけではなく、データセンター内のすべてのトラフィックに対して高度な脅威保護機能を提供する、アジリティが高く効率的なセキュリティソリューションが実現します。セキュリティサービスは、物理的または階層構造ではなく、ポリシーに基づいて新しいワークロードに自動的に導入されます。データセンターの他の部分に合わせて、セキュリティ容量も規模を拡大/縮小するため、潜在的なボトルネックが減少します。こうして今まさに仮想セキュリティが実現しました。
※本ページの内容は McAfee Blog の抄訳です。
原文: Security in the Software Defined Data Center
著者:Pat Calhoun(Senior Vice President and General Manager, Network Security)