データセンター運営者のためのソフトウェア定義セグメンテーション

マルチテナント型データセンターの運営者にとって、コンピューティング環境のセグメンテーションは重要なだけでなく、運用モデルの基本でもあります。

データセンター運営者のためのソフトウェア定義セグメンテーション

まず第一に、自社のインフラと顧客の環境を分離し、特定のリソースを共有しながら他のリソースへのアクセスを防ぐ必要があります。第二に、偶発的なものであれ悪意のあるものであれ、クライアントのそれぞれの環境間の「相互汚染」を防止する必要があります。これには、あるクライアントの環境から他のクライアントへの侵害やマルウェア感染の拡大を防ぐことも含まれます。最後に、所有する運用アプリケーションの中では、潜在的な侵害の影響を制限するために、適切なレベルの分離が必要です。

データセンタープロバイダーの運用ネットワークを深く掘り下げてみると、効率的にセグメンテーションを実現すれば、セキュリティ体制を大幅に改善し、コストを削減できるシナリオがいくつかあります。

  1. 運用ネットワーク(DCIM、BMSシステムなど)と企業ネットワーク(課金を含むプロバイダ内部システム)と顧客ネットワークの分離
  2. 適切にセグメント化されていないとリスクが発生する、パッチの当てにくいシステムが多い運用ネットワーク内での横移動のリスクの低減
  3. 顧客ポータルが設置されているDMZなど、運用ネットワーク(例えば、電力状態の読み取り)と企業ネットワーク(課金情報の読み取り)からのデータへの安全なアクセスを必要とする顧客向けネットワーク間の効率的かつ安全な接続性の構築

今日、これらの問題は、非常に複雑で実装に時間がかかり、非効率的なネットワーク構成、VLAN、暫定ネットワークなどで処理されています。複雑なネットワーク構成に依存せずにソフトウェア定義ソリューションを実装することで、大幅なコスト削減が可能になるだけでなく、接続性をより厳密かつ堅牢に制御することが可能になります。

さらに、顧客は、自社のアプリケーション(ホストまたはオンプレミス)の中で、強力なレベルのセグメンテーションを実装し、維持するのに苦労しています。これは、データセンター運営者にとって、社内のセグメンテーションに関する専門知識、ツール、運用モデルを活用して、顧客にマネージド・サービスを提供し、セグメンテーションの実践を中心に非常に魅力的な収益源を創出するという重要な機会をもたらしています。さらに、適切な方法論、ツール、プロセスを用いてセキュリティポリシーを顧客の施設に拡張することができるため、運営者は、ホストされていないアプリケーションへのアクセスと可視性を得ることができ、ホストされたデータセンターへの安全な移行を加速させることができ、コアビジネスに貢献することができるようになります。

問題は、このようなセグメンテーションを最も効果的、効率的、経済的に実現するにはどうすればよいかということです。歴史的に、オペレータはマルチテナントまたはマルチユーザアーキテクチャ内の環境を分離するために、従来のファイアウォールやVLANに依存してきました。しかし、このような対策の実装と保守は、一般的に手間がかかり、手作業が非常に多く、時間がかかり、コストがかかります。さらに、これらの技術は決して気密性が高いわけではなく、かなりの量の攻撃面が露出したままになる可能性があります。境界防衛のために設計されたソリューションの有効性は、データセンター内では特に問題となります。特に、これらの環境のほとんどにはさまざまな仮想マシン、ハイパーバイザー、コンテナ、さらにはクラウドの構成要素が含まれており、新しいワークロードが動的に自動的に回転したり停止したりするためです。もう 1 つの重要な注意点は、VLAN を使用したセグメンテーションにはアプリケーションのダウンタイムが必要であり、これは重要な運用管理のための致命的な問題になる可能性があります。

これらの理由から、共有環境の運営者は、マイクロセグメンテーションを含む最新のソフトウェア定義のセグメンテーション技術に注目しています。マイクロセグメンテーションの進歩により、マイクロセグメンテーションはあらゆるタイプの企業にとって実行可能なオプションとなり、ゼロトラスト・セキュリティ・モデルを実現するための最適な選択であることは間違いありません。同様に重要なのは、適切なツールとちょっとした計画があれば、前述の方法よりも迅速かつ容易にマイクロセグメンテーションを実施でき、管理や維持も容易であるという点です。実際、最近のテストでは、マイクロセグメンテーションを導入することで、従来のファイアウォールの導入と比較して、導入までの時間を30倍も短縮できることが実証されています。さらに重要な利点は、ネットワークの変更やアプリケーションのダウンタイムが必要ないことです。このような時間の節約と効率化は、導入ライフサイクル全体でのコストを大幅に削減することにつながります。

従来型アプローチの落とし穴

ソフトウェア定義セグメンテーションやマイクロセグメンテーションの利点を理解するためには、オンプレミスとクラウドの両方で採用されている標準的な手法の欠点と限界を比較することが有用です。これらには、物理または仮想化されたファイアウォールやVLANなどのネットワーク構成の組み合わせが含まれる場合があります。一般的に、これらの方法は資源と労力を必要とします。セキュリティポリシーの作成は面倒な作業です。追加や変更は手作業で行う必要があり、継続的な運用効率の低下や脆弱性のリスクを高めてしまいます。

特に内部ファイアウォールは、入手するのにも費用がかかり、設定も複雑になります。また、トラフィックの正常な流れを妨害し、パターンを変更し、最終的にはシステムのパフォーマンスを阻害する「ヘアピン」を発生させます。業界では知られているように、ファイアウォールはデータセンター内でのセグメンテーションを目的としたものではありません。

既存の稼働中の本番環境にセグメンテーションを導入しようとした場合、従来の方法ではアプリケーションのダウンタイムが必要となることが、最も苦痛な課題の1つです。ビジネスに不可欠なアプリケーションのダウンタイムはコストがかかり、特定の時間帯にしか発生せず、まったく発生しないことがよくあります。

注目に値する追加の課題は、内部のセグメンテーションを作成するには、東西のアプリケーションの依存性についての十分な知識が必要であるということです。この洞察力は通常は存在しません。アプリケーションの依存関係をマッピングする簡単な方法がなければ、利用されなくなった産業設備環境を分離するのは非常に難しく、また非常に危険です。

Equifax社: 最悪のシナリオ

弱い、効果がない、または存在しない環境のセグメンテーションで「起こりうる最悪の事態とは何か」と考えている人がいるとしたら、2017年に大々的に取り上げられたEquifaxの違反事件は、その典型例と言えます。この違反は、1億4,300万人のアメリカ人の非常に慎重に扱うべき個人情報を侵害する結果となりました。

米国政府説明責任局(GAO)の調査によると、攻撃者は最初、Apache Struts WebフレームワークのCVE 2017-5638として知られている脆弱性を悪用して、巨大なクレジットビューローの顧客紛争解決ポータルに侵入しました。一度侵入した攻撃者は、実質的に76日間、同社のシステムを自由に操作することができました。

GAOの報告書では、このような横方向の動きの自由度の低さは、セグメント化の欠如が原因であり、データベースへの容易なアクセスを可能にしていました-事実上無制限の攻撃面です。

ソフトウェアで定義されたセグメンテーションがより効果的な理由

  • 運用の効率化、セキュリティ態勢の強化 :
    ソフトウェアで定義されたセグメンテーションは、従来の技術に内在する非効率性を克服し、さらに重要なことに、マルチユーザー環境のセキュリティを強化することができます。その名の通り、ソフトウェア定義セグメンテーションは、ネットワーク・セグメンテーションの概念を取り入れ、インフラストラクチャの変更を必要とせずに実装します。これは、ハイブリッド・データ・センターのどこにあるかに関係なく、個々のアプリケーションや論理的にグループ化されたアプリケーションのセキュリティ・ポリシーを作成することを意味します。これらのポリシーは、どのアプリケーションがお互いに通信できるか、できないかを決定します – 真のゼロトラスト。
  • 手動での変更やダウンタイムがありません :
    ソフトウェア定義セグメンテーションでは、ネットワークの変更やVLANの作成が不要なため、運用コストを大幅に削減できます。また、新しいVLANへの移行によるアプリケーションのダウンタイムや変更も必要ありません。これは重要なことです。ダウンタイムが非常に高価であったり、不可能であったりする多くのアプリケーションにとって、この重要なセキュリティ対策を提供する唯一の方法です。
  • 広範な可視性 :
    さらに、高度なソフトウェア定義のセグメンテーション・ソリューションは、東西のトラフィックセグメンテーションの課題に対処するために設計されており、セグメントの境界とアプリケーションの依存関係を特定するのに役立つ統合された可視化ツールを提供します。その結果、効率的な処理が可能となり、方針作成時の運用ミスがなくなります。
  • ポリシーとコントロールの自動化 :
    ソフトウェア定義のセグメンテーションにより、ポリシーを動的に適用することが可能になり、新しいワークロードがスピンアップまたはダウンすると、自動的に正しいポリシーに帰着します。これにより、手動での移動、追加、変更の必要性がなくなり、リソースを大幅に節約できます。
  • インフラに依存しない :
    ソフトウェア定義のセグメンテーションの主な利点は、インフラストラクチャに依存しないことです。同じツールで、ベアメタル、仮想化、PaaS、クラウド、コンテナなど、あらゆるインフラストラクチャにわたって可視性とセグメンテーションを提供します。すべてを一枚のガラスの下で、単一のワークフローで実現します。その結果、基盤となるインフラストラクチャの選択に制約を与えることなく、セキュリティ標準を実現できる運用上の大きな自由度が得られます。
  • より多くの収入、粘着性のある関係 :
    しかし、最も重要なことは、データセンター運営者にとって大きなチャンスをもたらすことです。内部のセグメンテーションを管理し、提供する一方で、トレーニング、ツール、プロセスを活用して、同じツールで、同じガラス窓の中で、 – ホスティングされたアプリケーションだけでなく、顧客の構内やクラウド上にあるアプリケーションのセグメンテーションを管理して -顧客に非常に必要とされるマネージドサービスを提供することができます。これは、追加の収益の可能性をもたらすだけでなく、関係の長期化と利益の増加につながる運営者への依存度を高めることにもつながります。

なぜGuardicoreなのか

これらの利点を実現するためには、ソフトウェア定義のセグメンテーション・ソリューションは、いくつかの重要な基準を満たしていなければなりません。コンピューティング環境で実行されているすべてのアプリケーションをプロセスレベルで深く可視化し、それらの間ですべてのデータフローをマッピングできるようにしなければなりません。ポリシー作成のためにアセットを適切にラベル付けし、ワークロードの自動スケールに合わせて自動的にラベルを修正する柔軟性も、効率的な導入と管理の鍵となります。また、ソリューションは、プラットフォームやインフラストラクチャに依存しないものである必要があります。ポリシーは、それぞれのアプリケーションに追従し、複数の環境間で一貫して実行できるものでなければなりません。最後に、このソリューションは、ポリシーの作成、管理、実施のための自動化された簡素化された運用モデルを可能にしなければなりません。

Guardicore Centraセキュリティプラットフォームだけが、これらの基準をすべて満たしています。ソフトウェアで定義されたセグメンテーションは、Guardicoreのコア機能です。このプラットフォームは、ベアメタル、仮想マシン、パブリッククラウド、コンテナなど、環境内のすべての資産とそれらの間の依存関係を、これまでにないグラフィックな可視化で提供します。この深い可視性により、アプリケーションのマイクロセグメントを中心としたセキュリティポリシーの特定、グループ化、作成プロセスが劇的に加速されます。

ケーススタディ : Schuberg Philis社がホストアプリケーションを確保し、セグメンテーション・アズ・ア・サービスを提供

Schuberg Philisはオランダのアプリケーションホスティングプロバイダです。同社のビジネスの中核は、100%アップタイムの管理された重要なアプリケーションホスティングサービスを提供することであり、KLMオランダ航空のようなヨーロッパの大手企業は、最も重要なアプリケーションが常に利用可能であることを確実にするために、Schuberg Philisを利用しています。アプリケーションは、Schuberg Philisが所有するデータセンターでホストされ、その従業員によって管理されています。データセンターには、顧客が所有するサーバー環境とクラウドホスティングされたサーバーの組み合わせが含まれています。

Schuberg Philisは、内部セキュリティニーズの一部として、運用上重要なアプリケーションの効率的なセグメンテーションと、このハイブリッドインフラストラクチャ上でのテナント間の分離を提供するためにGuardicoreを選択しました。

Schuberg Philisは、内部で実装された後、Guardicoreとそのツールの専門知識を活用して、管理されたセグメンテーション、実際にはマイクロセグメンテーションを顧客に提供し、ホストされたアプリケーションだけでなく、Schuberg Philisがホストしていないアプリケーションに対しても、高いレベルの保護を実現しています。

追加の収益源に加えて、Schuberg Philis は、ホストされていないアプリケーションの可視性が非常に高く、ホスト環境へのアプリケーションの安全な移行に関する顧客との対話を実現しています。

Schuberg Philis は、運用上効率的な内部セグメンテーションを作成する方法や、インフラストラクチャに依存しないオーバーレイツールなしでは、非ホストアプリケーションのためのセグメンテーションを管理する能力を見出すことができませんでした。

コメント

タイトルとURLをコピーしました