クラウドにおける適応型セキュリティ管理について話す

導入

クラウド テクノロジーの急速な発展に伴い、ますます多くのユーザーがビジネスをパブリック クラウドまたはプライベート クラウドに移行しています。クラウド コンピューティングは利便性、スピード、柔軟性などの利点をもたらしますが、従来のネットワーク セキュリティ アーキテクチャも変化し、新たなセキュリティ上の課題ももたらします。これらのセキュリティ上の課題は、クラウド コンピューティングの発展を制限するだけでなく、重要なビジネスのクラウドへの移行を妨げます。

• SDN ネットワークでは、クラウド内のトラフィックと脅威は見えず、仮想マシンとコンテナ間の通信はすべて OverLay ネットワークを介して行われるため、従来の技術的手段では認識できません。
• 仮想マシンとコンテナの間には、便利で効率的な脅威分離メカニズムが欠けています。ネットワークの脅威がクラウド プラットフォームに侵入すると、自由に拡散する可能性があります。
• クラウド セキュリティは、仮想マシンとコンテナの柔軟な拡張に適応し、動的に展開および移行できる必要があります。

道路は何千とありますが、安全が第一です。クラウド時代の新たなセキュリティリスクに直面しているG銀行は、一方では安全で制御可能なテクノロジーを使用してサービスサポート機能を向上させ、さまざまな業務の「安全な運用」を確保しています。一方で、ゼロトラストセキュリティモデルやマイクロアイソレーション技術の適用可能性についても積極的に検討しています。

1. ゼロトラスト セキュリティ モデルとマイクロセグメンテーションの概要

2010 年に当時 Forrester Research の主席アナリストであった John Kindervag 氏によって開発されたゼロ トラスト アーキテクチャは、企業の最も貴重な資産を効果的に保護することを約束する広範なフレームワークです。すべての接続とエンドポイントが脅威とみなされるという前提で動作します。このフレームワークは、外部または内部の脅威、さらには内部ですでに接続されている脅威からも保護します。ゼロ トラスト ネットワークの特徴は次のとおりです。

• すべての企業ネットワークトラフィックをログに記録して表示する
• ネットワークへのアクセスを制限および制御する
• ネットワークリソースの認証と保護

マイクロセグメンテーションは、ゼロトラスト セキュリティ モデルのベスト プラクティスです。マイクロセグメンテーション技術の概念は、2016 年のガートナー セキュリティおよびリスク管理サミットで提案されました。マイクロセグメンテーション技術に基づくセキュリティ ソリューションは、企業にトラフィックの可視性と監視を提供する必要があります。可視化ツールを使用すると、セキュリティ運用および管理担当者は内部ネットワーク情報の流れを把握でき、マイクロセグメンテーションによってポリシーをより適切に設定し、修正を支援できます。

マイクロ分離を実現するための技術的な方法は 4 つあります。

2. 適応型セキュリティ管理に関する研究

G 銀行のフルスタック クラウド インフラストラクチャは多様であり、デュアル テクノロジー スタックが同時に構築されています。仮想マシン、コンテナ、ベアメタルでクラウドにデプロイされるアプリケーションをサポートします。ホストエージェントベースのモデルを考慮すると、G 銀行のフルスタック クラウド セキュリティ構築のニーズにより適しています。したがって、ホストエージェントベースの適応型セキュリティ管理の方向性に関する研究と試験に重点が置かれています。

1. 展開モード

適応型セキュリティ管理は、管理役割の観点から、管理側クラスタ（QCC クラスタ）とクライアントに分かれています。より高い可用性を実現するために、3 つのデータ センターのそれぞれに QCC クラスターのセットが展開されています。各データセンターの QCC は、独自のワークロードのみを管理できます。多くの企業のトラフィックはデータセンター間を行き来します。各データセンターの管理者がローカル アクセス制御ポリシーを構成すると、他のデータセンターのワークロードのロールと関連オブジェクトを呼び出すことができるため、独立した管理とグローバル制御の管理ニーズを満たすことができます。

図1

すべてのワークロードは、クライアントを介して適応型セキュリティ管理プラットフォームに接続されます。 G-Bank のフルスタック クラウドは、アプリケーション用の仮想マシンとコンテナ リソースを提供できます。適応型セキュリティ管理プラットフォームには、仮想マシンとコンテナのワークロードに対して異なるトラフィック制御方法があります。

1.1 仮想マシンの負荷

図2

仮想マシンのワークロード フロー制御プロセスは次のとおりです。

（1）VMの役割を特定する：

エージェントは仮想マシンのオペレーティング システムにインストールされます。システム情報、開いているサービス ポート、インターフェイス アドレス、その他のホスト情報を識別します。エージェントは仮想マシンの一意の ID ファイルを生成します。 QCC は、認証コードの情報に基づいてロール タグとワークグループ名を割り当て、それらを ID ID にバインドします。

（２）接続情報を表示する：

エージェントはワークロードの接続情報を読み取り、それを QCC と同期します。QCC は視覚的な接続ビューを生成し、定期的に更新します。

（３）アクセス制御ポリシーの送信：

QCC では、仮想マシンのラベルとグループに基づいてアクセス制御ポリシーが設定され、対応する IP とポートが計算されてエージェントに送信されます。エージェントは、仮想マシン ネットワーク空間の IPTABLES/WFP にアクセス制御ポリシーを書き込み、仮想マシン間のマイクロセグメンテーションを実現します。

（４）戦略適応計算：

エージェントは仮想マシンの状態を継続的に監視し、QCC は仮想マシンのタグとグループに基づいて戦略を継続的に計算し、更新して配布します。

1.2 コンテナ積載量

図3

コンテナのワークロードフロー制御プロセスは次のとおりです。

（１）ポッドの役割を特定する：

エージェントはノード オペレーティング システムにインストールされ、ポッドのラベル キー値はインストール コマンドで事前に設定されます。エージェントは、プリセットキー値に基づいてポッドのラベルフィールドを読み取り、それを QCC に同期します。 QCC は、ラベルに基づいて、ポッドのロール ラベルとワークグループ名を自動的に定義します。

（２）接続情報を表示する：

エージェントは Conntrack コンポーネント内の接続情報を読み取り、それを QCC と同期します。 QCC は視覚的な接続ビューを生成し、定期的に更新します。

（３）アクセス制御ポリシーの送信：

QCC では、Pod ラベルとグループに基づいてアクセス制御ポリシーが設定され、対応する IP とポートが計算されてエージェントに送信されます。エージェントは、Pod ネットワーク空間の IPTABLES にアクセス制御ポリシー (Mangle テーブル) を書き込み、Pod 間のマイクロセグメンテーションを実現します。

（４）戦略適応計算：

エージェントはポッドの状態を継続的に監視し、QCC はポッドのラベルとグループに基づいて戦略を継続的に計算し、更新して配布します。

2. 主な機能

図4

ビジネス視覚化トポロジ: データセンター内の多数のコンピューティング ノード、複雑な内部トラフィック、効果的な管理と最適化の不可能といった現在の問題に対処するために、適応型セキュリティ管理では、完全なトラフィック モデル図を描画して、東西トラフィックを明確に表示および整理できます。

ビジネス指向のポリシー管理モデル: アプリケーションと仮想マシンを定義するための独自の方法を提供し、可視性、適応性、自然言語対応性に優れたポリシー モデルのセットを確立します。

ポリシー適応型コンピューティング: 適応型テクノロジーは、データセンター内の変更に基づいてセキュリティ ポリシーを自動的に調整できます。マイクロアイソレーション技術と組み合わせることで、適応型のエンドツーエンドの洗練されたアクセス制御を実現できます。

内部異常トラフィック分析: トラフィック フロー全体をキャプチャすることで、任意の 2 つのポイント間の通信関係を確認し、発生したすべてのトラフィックを監視し、攻撃元を追跡し、証拠を収集し、コンプライアンス チェックを実行する機能を提供できます。

脆弱性分析とシールド: ワークロード上の脆弱性のリスク スコアとネットワーク層での脆弱性の露出を包括的に分析し、マイクロセグメンテーションと組み合わせて、ユーザーに独自の脆弱性攻撃対象領域分析と脆弱性シールド ソリューションを提供します。

適応型セキュリティ管理はクラウド データ センターを対象としています。データセンターの内部トラフィックに対して包括的かつ詳細な視覚分析と非常にきめ細かいセキュリティ ポリシー管理を実行し、環境分離、ドメイン間分離、エンドツーエンド分離を迅速かつ便利な方法で実現します。セキュリティをワークロードの外部に実装するのではなく、セキュリティ機能をワークロードと密接に統合することで、基盤となるアーキテクチャから独立し、ビジネスとセキュリティを同時に提供できるようになります。

要約する

セキュリティは相対的であり、継続的で動的なプロセスです。永続的なセキュリティというものは存在せず、永遠に続く優れたメカニズムや方法も存在しません。 G 銀行のフルスタック クラウド セキュリティ構築は、技術の発展に合わせて、セキュリティ メカニズム、製品機能、オペレーティング システムなどの側面を継続的に改善し、効率的で便利で信頼性の高いセキュリティ管理機能を提供します。