課題

コンピュータ リソースやストレージ リソースの飽くなき追求、ビジネスをサポートするためのクラウド ファースト開発イニシアチブの推進により、データセンターの変革が進んでいます。具体的には、増大するデータセンターのニーズにより迅速に応える手段として、パブリック クラウドが組み込まれるようになっています。一般的にハイブリッド データセンターと呼ばれるパブリック クラウドを使用するアプローチは、増大するデータセンターのニーズに応えるだけでなく、アジリティ、スケーラビリティ、グローバルなサービス提供などのメリットをもたらします。

セキュリティ上の観点からすると、パブリック クラウドを保護する責任は、プロバイダとユーザー(お客様)間で分担されることになります。つまり、パブリック クラウド環境を保護するためにプロバイダが提供する対策が十分なものであるかどうかを判断するのはお客様なのです。また、パブリック クラウド内のアプリケーションとデータを保護するために必要な対策を講じるのもお客様です。

アプリケーションとデータがどこにあるかに関係なく、それらは攻撃者の標的であることに変わりなく、クラウド内のアプリケーションとデータを保護する上で、オンプレミス データセンター内に存在する場合と同じセキュリティの問題が発生します。つまり、アプリケーションとデータが存在する場所にかかわらず、同じセキュリティ保護が適用されるように、パブリック クラウド セキュリティ ソリューションは、データセンターに導入されているソリューションとの整合性を保持している必要があります。

データ保護の課題をさらに困難にしているのは、クラウド コンピューティングの魅力を高める原則の多くは、ネットワーク セキュリティのベスト プラクティスに相反するという事実です。

  • パブリック クラウドの使用はセキュリティのリスクを軽減しない。
    現在ネットワークを脅かしているセキュリティ リスクは、パブリック クラウドを使用する場合も変わりません。仮想化によって単一サーバ基盤上に多くのアプリケーションを展開できるため、ある意味、セキュリティ リスクは増大したとさえ言えます。パブリック クラウド環境が侵害されると、攻撃者はアプリケーションとデータのすべてにアクセスできてしまうのです。
  • セキュリティ保護には分離とセグメント化が必要だが、クラウドは共有リソースに依存する。
    セキュリティのベスト プラクティスは、ミッション クリティカルなアプリケーションとデータをネットワーク上の安全なセグメントに分離することです。物理ネットワークの場合、セグメント化はネットワーク、ファイアウォール、セキュリティ ポリシーを使用することで実現されます。クラウド コンピューティング環境では、特定のサーバ内の仮想マシン間、また場合によっては多様な信頼レベル間で直接通信が行われるため、セグメント化は困難になります。さらに、仮想化されたポート ベースのセキュリティによってホスト間トラフィックの可視性が欠如している場合は、多様な信頼レベルにより、セキュリティ体制が弱体化する場合があります。
  • セキュリティ導入はプロセス指向だが、クラウド コンピューティング環境は動的である。
    仮想ワークロードの作成または変更は、多くの場合数分で実行されますが、このワークロードに対するセキュリティの設定には、数時間、数日、あるいは数週間かかる場合があります。セキュリティの設定をわざと遅らせているわけではありません。強力なセキュリティ体制を維持するためのプロセスを適用すれば時間がかかるのです。ポリシー変更の承認、適切なファイアウォールの識別、関連ポリシーの更新決定など、するべきことがたくさんあります。これとは対照的に、仮想化チームはワークロードの追加、削除、変更が動的に実行される高度に動的な環境で作業します。この結果、セキュリティ ポリシーは仮想化ワークロードの導入のペースに追いつかず、セキュリティ体制が弱体化します。

ソリューション

パロアルトネットワークス®のVM-Seriesは、当社の物理フォーム ファクタ アプライアンスで提供されているのと同じ次世代ファイアウォール機能と高度な脅威防御機能の仮想化された実装です。VM-Seriesは、AWSベースのパブリック クラウド インフラの保護を可能にします。その際には、アプリケーション中心のセキュリティ ポリシーを使用して、アプリケーションとデータを保護します。

  • 可視性の改善によって、より十分な情報に基づいたセキュリティの意思決定が可能に
    すべてのポートでアプリケーション可視性が確保されるため、クラウド環境に関するより適切な情報を得られます。つまり、より十分な情報に基づいたポリシーの決定が行えるようになります。
  • アプリケーションのより徹底的な制御
    ポートではなく、アプリケーションに基づいたアクセス コントロール ポリシーが実現されるため、標準ポートを使用しながら、ファイアウォールの前提である「他はすべて拒否」の機能を使用して、他のすべてのトラフィックがブロックすることができます。データセンター内の資産がパブリック クラウドで展開されるようになるにつれ、このレベルの制御を実装できることが極めて重要になります。
  • データ セキュリティとコンプライアンスのセグメント化
    セキュリティ ゾーンとホワイトリスト ポリシーを使用すれば、攻撃に対する保護や法規制準拠を強化する目的で、相互に通信するアプリケーションや異なるサブネット間で通信するアプリケーションを制御できます。
  • リモート デバイスへの保護拡大によるセキュリティ リスクの軽減
    幅広いユーザー リポジトリとの統合を通じてユーザーIDがポリシー要素として導入されたことにより、アプリケーションのホワイトリスト機能がアクセス コントロール コンポーネントで補完されました。ユーザーベースのポリシーが適用されることで、ユーザー認証情報と各ユーザーのニーズに基づいて、重要なアプリケーションとデータへのアクセスを許可できるようになります。VM-SeriesをGlobalProtect™と組み合わせて導入すると、企業のセキュリティ ポリシーの適用対象がデバイス ユーザーへと拡大されます。その結果、ユーザーの居場所に関係なく、インターネット脅威からの保護が提供されるようになります。
  • 高度なサイバー攻撃からの保護
     
    攻撃は、多くのアプリケーションと同様に、あらゆるポートを使用することができ、従来の予防メカニズムを無効にします。VM-Seriesでは、アプリケーション固有の脅威防御ポリシーを適用できるため、ご使用のAzure環境に攻撃がアクセスするのを阻止します。
  • 攻撃の横方向の移動の阻止
     
    今日のサイバー脅威は一般に、個々のワークステーションやユーザーに危害を加え、物理ネットワークまたは仮想ネットワークを横方向に移動して、ミッション クリティカルなアプリケーションやデータをリスクにさらします。ハイパーバイザ間でアプリケーション レベルの制御を実施すれば、脅威の範囲を縮小することができ、既知の脅威と未知の脅威の両方をブロックするポリシーを適用すれば、その横方向の移動を阻止することができます。
  • ネットワークからクラウドまでの一貫したポリシーの適用
    Panoramaを使用すれば、導入したVM-Seriesを物理セキュリティ アプライアンスとともに管理できるので、ポリシーの一貫性と一体性を確保することができます。充実したログ機能とレポート機能の一元化により、仮想化されたアプリケーション、ユーザー、コンテンツを監視することができます。
  • クラウド ファーストのイニシアチブに後れをとらないセキュリティ
    ネイティブ管理の機能を使用すれば、ファイアウォールの導入とセキュリティ ポリシー更新を自動化して、新しいワークロードに合わせてセキュリティを導入できるようになります。Bootstrappingを使用すれば、完全に設定されたファイアウォールを数分で導入でき、XML APIおよびダイナミック アドレス グループを使用すれば、動的なセキュリティ ポリシー更新をワークロードの変更として実行できます。

VM-Seriesは、Amazon® Web Services (AWS)、Microsoft® Azure™、vCloud® Air™など、幅広いパブリック クラウド環境をサポートしています。

 

関連コンテンツ