課題

仮想化テクノロジによって今日の最新データセンターは大きく変化しており、従来のシステムとプライベート クラウドが混在する複雑なコンピューティング環境になっています。ここでいうプライベート クラウドとは、コンポーネントからアプリケーションまでを仮想化インフラストラクチャ全体で管理するクラウドを意味します。プライベート クラウドのメリットはよく知られていますが、それに伴うセキュリティ課題が大きいのも事実です。最近注目されているデータ侵害もそのことをよく示しています。物理データセンターや、パブリック、プライベート、またはハイブリッド クラウドに保存されているかどうかにかかわらず、サイバー犯罪者の標的はデータなのです。

プライベート クラウドを使用すると、専用サーバでアプリケーションを運用する固定化された環境から、アプリケーションのワークロードに応じてコンピューティング リソースのプールを使用できる動的で自動化された環境へと、データセンターを進化させることができます。いつでもどこでも、あらゆるデバイスからアクセスが可能になります。この新しい動的なクラウド コンピューティング環境を採用する場合も、セキュリティ保護は重要です。クラウド コンピューティングの魅力を高める多くは、ネットワーク セキュリティのベスト プラクティスに相反するものです。

  • クラウド コンピューティングは既存ネットワーク セキュリティのリスクを軽減しない。
    現在ネットワークを脅かしているセキュリティ リスクは、クラウドに移行しても変わりません。仮想化によって単一サーバ基盤上に多くのアプリケーションを展開できるため、ある意味、セキュリティ リスクは増大したと言えます。データセンター アプリケーションの多くは広範なポートを使用し、従来のセキュリティは無力になります。サイバー犯罪者が複数の侵入経路を使用してネットワークに侵入し、一般のアプリケーションの陰に隠れて目的を完遂することは広く知られています。
  • セキュリティ保護には分離とセグメント化が必要だが、クラウドは共有リソースに依存する。
    セキュリティのベスト プラクティスでは、ミッション クリティカルなアプリケーションとデータをネットワーク上の安全なセグメントに分離することです。物理ネットワークの場合、セグメント化はアプリケーションとユーザーの識別情報に基づくファイアウォールとポリシーを使用することで、比較的単純明快に実施できます。クラウド コンピューティング環境では、特定のサーバ内の仮想マシン間、また場合によっては多様な信頼レベル間で直接通信が行われるため、セグメント化は困難になります。さらに、仮想化されたポート ベースのセキュリティによってホスト間トラフィックの可視性が欠如している場合は、多様な信頼レベルにより、セキュリティ体制が弱体化する場合があります。
  • セキュリティ導入はプロセス指向だが、クラウド コンピューティング環境は動的である。
    仮想ワークロードの作成または変更は、多くの場合数分で実行されますが、このワークロードに対するセキュリティの設定には、数時間、数日、あるいは数週間かかる場合があります。セキュリティの設定をわざと遅らせているわけではありません。強力なセキュリティ体制を維持するためのプロセスを適用すれば時間がかかるのです。ポリシー変更の承認、適切なファイアウォールの設定、関連ポリシーの更新決定など、するべきことがたくさんあります。これとは対照的に、仮想化チームはワークロードの追加、削除、変更が動的に実行される高度に動的な環境で作業します。この結果、セキュリティ ポリシーは仮想化ワークロードの導入のペースに追いつかず、セキュリティ体制が弱体化します。

 

ソリューション

VM-Seriesは、当社の物理アプライアンスで提供されているのと同じ次世代ファイアウォール機能と高度な脅威防御機能を仮想化環境で提供します。VM-Seriesは、プライベート クラウド インフラの保護を可能にします。アプリケーション中心のセキュリティ ポリシーを使用して、プライベート クラウドとその中のデータを保護します。

次世代セキュリティを仮想化環境に適用
VM-Seriesはすべてのトラフィックをシングル パスでネイティブに分析し、アプリケーションの識別情報とそのコンテンツ、およびユーザーの識別情報を特定します。これらの情報はセキュリティ ポリシーの不可欠な要素として使用され、セキュリティ体制の強化とインシデントの応答時間の短縮につながります。

ゼロトラストの原則の使用による、ミッション クリティカルなアプリケーションとデータの隔離
セキュリティのベスト プラクティスでは、それぞれのセグメンテーション ポイントでゼロトラストの原則(信頼しないで常に検証する)を使用して、ミッション クリティカルなアプリケーションやデータをセキュアなセグメントに分離することです。VM-Seriesをクラウド環境に導入すれば、VM間のEast-Westトラフィックをアプリケーション レベルで保護できます。

サイバー脅威の横方向の移動をブロック
今日のサイバー脅威は一般に、個々のワークステーションやユーザーに危害を加え、ネットワークを横断して標的を探します。仮想ネットワーク内では、サイバー脅威がVMからVMへと横方向に移動して(East-Westトラフィック)、ミッション クリティカルなアプリケーションやデータをリスクにさらします。VM間でゼロトラストの原則を使用してアプリケーション レベルの制御を実施すれば、既知の脅威と未知の脅威の両方をブロックするポリシーを適用しながら、脅威の範囲を縮小することができます。

自動化された透過型の導入とプロビジョニング
APIの豊富なセットを使用することで、外部オーケストレーションおよび管理ツールと統合して、ワークロード変更に関する情報を収集できます。その後、ダイナミック アドレス グループおよびVMモニタリングにより、この情報を使用して動的なポリシー更新を実行できます。

  • RESTful API: 柔軟なRESTベースのAPIを使用すると、サード パーティまたはカスタム クラウド オーケストレーション ソリューションとの統合が可能です。これにより、仮想ワークロードの歩調に応じたVM-Seriesの導入と設定が行えるようになります。
  • 仮想マシン モニタリング: セキュリティ ポリシーで、仮想化環境(VM属性を含む)における変化やVMの追加と削除を監視し、対処する必要があります。仮想マシン モニタリング(VMモニタリング)では、仮想化環境に自動的にポーリングを実行して、仮想マシンのインベントリの特定と変更の確認を行い、そのデータをタグとして収集します。その後、これらのタグをダイナミック アドレス グループで使用して、ポリシーを最新の状態に維持することができます。
  • ダイナミック アドレス グループ: 仮想マシンが追加、削除、または変更されることで、IPアドレスなどの静的データに基づくセキュリティ ポリシーの作成では、限られた価値しか得られなくなります。ダイナミック アドレス グループでは、静的なオブジェクト定義の代わりに、タグ(VMモニタリングで生成されたもの)を仮想マシンのIDとして使用して、ポリシーを作成することができます。IPアドレスやオペレーティング システムなど、仮想マシンの属性を表す複数のタグを1つのダイナミック アドレス グループ内で解決できるので、仮想マシンが作成されたときやネットワークを移動するときに、ポリシーを簡単に適用することができます。

仮想化および物理フォーム ファクタのファイアウォールを集中管理
Panorama™ネットワーク セキュリティ マネジメントを使用すれば、導入したVM-Seriesを物理セキュリティ アプライアンスとともに管理できるので、ポリシーの一貫性と一体性を確保することができます。充実したログ機能とレポート機能の一元化により、仮想化されたアプリケーション、ユーザー、コンテンツを監視することができます。

 

 

関連コンテンツ