シマンテックチーフアーキテクト Deb Banerjee、VMware 社テクノロジアライアンスセキュリティアーキテクト Jeremiah Cornelius 共著
考えてみてください。さまざまなビジネスオーナーが利用する複数のアプリケーションやオペレーティングシステム、変更管理コントロールが混在する環境で、リアルタイムにセキュリティのための保護、プロビジョニング、管理、対応を実現できるとしたら? これらを自動化して、インフラクラウドコンピューティング (IaaS) の俊敏性の基準が常に満たされるとしたら? さらには、これらすべてが、複雑さの緩和と同時に実現し、しかも、ウイルス対策やネットワーク侵入防止などの多様なセキュリティ対策の可視性や相互運用性も強化されるとしたら?
今、それが実現します。その中核をなすのは、VMware の NSX 論理マイクロセグメンテーションによるソフトウェアデファインドデータセンター (SDDC) 自動化と、シマンテックの Data Center Security (DCS): Server 製品の統合によって提供される拡張機能です。
ここ数年、IT 担当役員や IT 管理者からよく耳にするのは、「AWS スタイルのサービスを提供しないと、数年後には淘汰されてしまうだろう」という声です。現在、こうしたビジネス上の要求への対応に押されて、企業データセンターの俊敏性向上という大変革が促されています。多くのお客様が今、ソフトウェアデファインドデータセンターの基盤となる VMware NSX を利用して、単純な仮想化からプライベートクラウド環境に率先して移行しようとしているという事実がこれを裏付けています。SDDC では、基幹業務アプリケーションのオーナーが独自のイメージをインフラクラウドに持ち込み、短時間で実行することが可能です。このモデルを実現するのが、SDDC プラットフォーム上でプライベートクラウドを確立する NSX の新機能です。ネットワーク対策やセキュリティ対策を含むすべてのコアサービスが、かつてはサーバー仮想化だけのものだった俊敏性を備えて提供されるのです。企業は、NSX SDDC により、インフラスサービスを機密データのワークロードにまで拡張できるようになります。これには、保護に細心の注意を必要とするクレジットカードデータや顧客情報も含まれます。この種のデータの処理は、物理的にアクセスが非常に厳しく制限される環境で行われてきました。言うまでもなく、その場合、データセンター仮想化のメリットは享受できず、俊敏な統合運用も不可能です。お客様が NSX を導入し、その機能を実証するという流れは、マイクロセグメンテーションの概念、つまりソフトウェア内にワークロードを分離する境界を設定する SDDC の機能によって支えられています。機密性の高いワークロード向けのポリシーを備えたセキュリティ対策を大規模に導入および運用するためには、スピード、柔軟性、複雑さの緩和が不可欠ですが、これらはこのマイクロセグメンテーションによって実現します。マイクロセグメンテーションの境界は、パートナーから提供されるセキュリティソリューションのエコシステムを運用するための共通単位となります。各パートナーは、最適なアプローチを用いてマイクロセグメントを保護し、顧客に相互運用性と互換性のある操作を保証できます。
安全で俊敏な NSX ベースの SDDC と、vCloud Automation Center が提供するような強力なプロビジョニング、管理自動化との組み合わせという、プライベート/ハイブリッドクラウド戦略の重要な要素によって、IT の課題に対処できるようになりました。NSX SDDC 用に構築されたセキュリティ対策やネットワーク対策はオンデマンドで提供されます。こうした機能の割り当てや利用のために追加の統合操作は不要です。まさに、次世代のエンタープライズコンピューティング、ネットワーク、セキュリティに向けたサービスです。
ポリシーの管理が可能な NSX ベースの SDDC インフラがセキュリティを保証する一方で、脅威も進化し続けています。企業内で急増する標的型脅威は、一般にエンドポイントを攻撃対象にしており、メールや Web トラフィック経由でユーザーに狙いを定めます。侵害されたエンドポイントは、より高度な脅威の侵入経路となります。脅威はデータセンターに侵入し、機密データが保存されているサーバーの脆弱性を探ります。NSX マイクロセグメンテーションによる SDDC は、従来の物理的なデータセンターネットワークモデルに代わるソリューションとして、この点で明らかに優れています。高度な脅威に対応するための「キルチェーン」は、境界が設定されている物理ネットワークに依存しています。このようなネットワークでは、共通して参照することがほとんど、またはまったくないサーバーベースの対策が最後の砦となっています。VMware NSX ソリューションは、このようなハードウェアの制約を、ソフトウェアを組み込んだアーキテクチャで置き換えます。NSX で定義されたマイクロセグメントの境界に配備される統合セキュリティソリューションは、全面的に適用することが可能であり、エージェントの機能による制限を受けません。特定のネットワークの集積点に限定することもできます。言わば、蚊を根絶するために湿地を乾燥させるような作戦です。
シマンテックは、シグネチャベースのマルウェア対策から、ファイル評価、ネットワーク悪用検出、活動分析/仮想実行に至るまで、幅広い脅威検出テクノロジを提供しています。企業向けセキュリティに俊敏性を組み込むための戦略は、次の 2 つの要素から構成されています。
- 前述のテクノロジを VMware NSX プラットフォームに埋め込んで統合し、ソフトウェアデファインドセキュリティをハイパーバイザで全面的に利用できるようにする。
- マイクロセグメンテーションを実現するポリシーベースのワークロード認識型アプローチで、プロビジョニングや応答などのセキュリティ運用を自動化する。
VMware NSX プラットフォームは、ハイパーバイザへの自動エージェントレス配備などの強化されたセキュリティで大幅に機能が向上しました。これにより、クローニングや vMotion などの動的なワークロードの状況をハイパーバイザで認識できます。エージェントレス型の脅威検出は、アプリケーション配備を迅速化すると同時に、ストレージ、ネットワーキング、コンピュートリソースの利用に必要な共有リソースを確保するのに有効です。さらに重要なのが、NSX では特定のポリシーを個々のワークロードにきめ細かく割り当てることができる点です。
これがどのように保護対策の強化に役立つか、1 つの例をご紹介しましょう。MS Exchange ワークロードを Linux システム上の Apache の悪用から保護しても何の意味もありません。一方、物理的な配置制限で保護するのは現実的ではなく、費用も掛かりすぎます。ネットワークトラフィックとデータストアの爆発的増加を考慮すると、すべてのトラフィックとデータをスキャンして、悪用リスクをすべて検査するだけで、企業はもう限界です。その結果、リソースを多く消費する操作に対して、サービスが制限されます。
NSX ベースの対策は水平分散的です。つまり、対策はラックの端ではなく、保護対象のワークロードの近くで実施します。これで、制限を気にすることなく共有演算リソースを利用できます。NSX は、この例で言えば、特に MS Exchange ワークロードとして識別されるマイクロセグメントコンテナからのトラフィックを、MS Exchange に関連する悪用や感染のみを検査するオンホストのネットワーク脅威検出機能に誘導することで、高い効果を得られます。これを実現するためには、アプリケーションに対応した脅威検出テクノロジ、およびワークロードの認識とアプリケーション固有のセキュリティポリシーをトラフィック制御ルールに組み込むオーケストレーションソリューションが必要です。
シマンテックは VMware 社と連携して、こうした要求に応えるソリューションを市場に投入していきます。
単なる脅威検出にとどまらない効果的なデータセンターセキュリティプログラムに欠かせない要素が他にもあります。サーバー強化/ロックダウンソリューション、脆弱性管理やセグメンテーションソリューションの導入などです。新しいワークロードとマイクロセグメント境界用のこうしたセキュリティ対策のプロビジョニングを自動化するには、これらの対策を必要な場所に配備すること、またワークロードに適したポリシーに従ってプロビジョニングすることが必要です。ワークロードポリシー条件を使用することで、NSX の分散仮想ファイアウォール機能で実装される新しいマイクロセグメントを動的に生成できます。別の方法としては、Apache サーバー VM の起動時に、NSX ベースのセキュリティ強化ソリューションが、対象を細かく限定したポリシーを使って構成されます。このポリシーは Apache のプロセスを認識し、ファイルシステムのアクセス、特に Apache 用にスポーンされたプロセスを制限します。
シマンテックはすでに DCS: Server と DCS:Server Advanced を出荷しており、ファイル評価ベースの脅威検出ソリューションを VMware NSX に埋め込んで統合しています。また、VMworld US 2014 において、近日リリース予定で NSX に統合されるネットワーク悪用検出機能のデモを「Project Wonderland」として展示しました。これは、仮想実行/動的分析やマルウェア検出のためのクラウドサービス統合を含むロードマップの出発点となります。シマンテックは、VMware 社、Palo Alto Networks 社、Rapid 7 社などの他のパートナーとともに、エンタープライズクラウドにおけるセキュリティの俊敏性を実現するセキュリティ自動化ソリューションを市場に投入していきます。