仮想世界におけるセキュリティ

多くの組織が仮想化インフラ、クラウドベースのインフラへと移行しています。その潜在的利点は十分証明されていますが、セキュリティは物理環境、オンプレミス環境と同様に重要です。

2014年初め、全サーバーワークロードの50%以上が仮想化されたとガートナー社は報告しており、来年までには大部分が仮想化されると予測しています。同時に、2016年までには世界の企業の80%がさまざまな容量のInfrastructure as a Service (IaaS)を使用しているだろうとオーバム社では予測しています。統計や逸話なら嫌になるほど挙げることができますが、要は企業がサーバーやデスクトップ、ネットワーク機能などの仮想化を進める一方、クラウド(パブリックであれ、プライベートであれ、ハイブリッドであれ)が急速に大小さまざまな企業において主要なプラットフォームになっていっているということです。

これは別に驚くことではありません。仮想化は効率性と俊敏性を提供し、クラウドはそれがどのように配備されているか、あるいは使われているかにかかわらず、ソフトウェア配備からWebスケールのストレージまですべてに対して拡張可能かつ柔軟なプラットフォームを提供します。双方でメリットがあるということですよね?

ほぼそう言えるのですが・・・。組織はほとんど例外なくファイアウォールやその他のネットワークセキュリティ対策を自身のデータセンターに配備していますが、セルフサービス、迅速なプロビジョニング、迅速な配備が標準となっている環境ではセキュリティに対してそれほど厳しいアプローチを取らない場合もあります。実際、需要に応えるためにオーケストレーションプラットフォームが迅速にリソースや仮想ネットワークインフラを変えているなか、データセンターのより多くの要素が「ソフトウェア定義」になっており、堅固なセキュリティを維持することがますます困難になっています。

2014年はすでに「データ侵害の年」として歴史に残ることとなりました。消費者、企業どちらにとってもセキュリティが中心となっていました。しかし、クラウドサービスや仮想化に関連して危険なほど速くイノベーションが起こるなか、劇的に向上したアプローチに対するニーズに、私たちはどう折り合いをつけたら良いのでしょうか。もっと具体的に言えば、オンプレミスのプライベートクラウド、ホステッドプライベートクラウド、パブリックIaaSに渡ってソフトウェアやサービスが配備されているハイブリッドのクラウド環境を、どう保護すれば良いのでしょうか。

最新のクラウドアーキテクチャの目標は、ユーザーやソフトウェアに対してこれらのハイブリッド環境の透明性を高めることです。それが仮想化の最大の目標です。コンピューターのリソースが実際にどこに存在しようと、ハードウェアからソフトウェアを抜き出して、役割を果たすために必要なことを単純に使うだけです。しかしネットワーク、アプリケーションセキュリティの観点から、こうした平坦な、途切れなく接続されているコンピューティングフレームワークに侵入してしまうようなハッカーに対し、城への鍵を本当に渡しても良いのですか?

手短に言えば、"もちろん嫌"でしょう。もう少し長く説明すると、物理データセンター(あるいは専用のデータセンターの必要がないより小規模な組織用のオンプレミスコンピューティング)における最優良事例を体現するような、セキュリティに対する階層型かつ多角的なアプローチが必要となります。エンドポイントも、理想的には高度脅威インテリジェンスを用いた一元管理型のセキュリティ対策を用いた保護が必要です。クラウドのプロバイダーは、物理ファイアウォールあるいは仮想次世代ファイアウォールという形で自分たちのデータセンターに適切なペリメータ保護を確保する必要があります。また、プライベートのオンプレミスの設備の場合も高度な脅威保護が必要になります。

クラウド間の接続には、セキュアなVPNか、あるいは高速かつ透明性の高いデータフローを維持するのに必要なスループットをサポートしている暗号化された接続が必要になります。アプリケーション、データベース、メールサーバーなどは、物理環境の場合と同様、特別な目的用に構築された保護が必要となります。ネットワークセキュリティアプライアンスは一元管理が可能なもの、脅威インテリジェンスネットワークに接続しているものでなければなりません。しかし、仮想環境のすばらしさは、こうしたアプライアンスの多くを仮想化できるところです。下の例は、従来のWAN/LANやオンプレミスのデータセンターで物理デバイスが提供しているような保護を再現するため、分散型の企業がさまざまな仮想アプライアンスを使用している様子です。

上の図で「-VM」と付くデバイスはすべて仮想アプライアンスです。

このアプローチのもう1つの利点は、お使いの仮想アプライアンスがサポートしていることを前提として、ソフトウェア定義のネットワークやデータセンターにおけるオーケストレーションプラットフォームとの統合、さらにはお使いの仮想環境を実行しているハイパーバイザーの仮想ネットワーキング機能との統合です。こうした統合は、ルーティングテーブルや仮想インフラにおける急速な変化を意味します。例えばアプリケーションやネットワークファイアウォールアプライアンスに見つかったセキュリティホールを放置しておきたくないですよね。

主なマイナス点は、私たちは皆、仮想化された、as-a-serviceの世界に向かって競走しているということです。例え昔のようにラックにファイアウォールを接続していないとしても、この競走にトップクラスのセキュリティ保護が導入されるようにしなければなりません。

フォーティネットの強力な新型VMWare仮想アプライアンスおよびVMWareエコシステムとの深いレベルでの統合に関する詳細は、下のビデオをご覧いただくか、先週の発表をお読みください。当社の仮想セキュリティアプライアンスの一覧は、こちらからご覧ください。