東西分離問題を解決するために、VLAN または VPC を使用しないのはなぜですか?

[[251022]]

序文

職業倫理を持つ厳格なセキュリティ専門家として、まず正直に言わなければなりませんが、良い技術も悪い技術もありません。テクノロジーを評価する際には、主に特定のシナリオで特定の問題をうまく解決できるかどうかを検討します。当社の長年の運用・保守経験と実際の顧客訪問に基づくと、VLAN/VPC に基づく内部分離方法は、仮想データセンター/プライベート クラウド (プライベート クラウドを含むハイブリッド クラウドを含む) 環境における東西分離問題の解決には基本的に適していません。

今日の議論を始める前に、日々顧客とセキュリティについて話している製品担当者として、まず顧客からいつも聞かれる「なぜ内部で分離する必要があるのか​​」という質問に答えなければなりません。

内部隔離はなぜ必要なのでしょうか?

安全構造の観点から：

企業は長い間、企業ネットワークのセキュリティを管理するために、多層防御テクノロジーと最小権限ロジックを採用してきました。分離は、これら 2 つの概念を実現するための基本的な方法です。たとえば、従来のセキュリティ管理では、信頼できるネットワークを外部ネットワークから分離するために境界にファイアウォールが展開され、セキュリティ ドメインが異なる内部セキュリティ レベルに分割され、ファイアウォールを使用してドメインが分離されます。アクセス権は、セキュリティ ポリシーを設定することで必要に応じて付与されます。

攻撃と防御の観点から：

近年のセキュリティインシデントを見ると、攻撃者は破壊的な攻撃を主とする攻撃から、特定の政治的または経済的目的を主とする高度で持続可能な攻撃へと徐々に移行していることがわかります。有名なロッキード・マーティンのサイバーキルチェーンであれ、近年有名になったランサムウェアやマイニングウイルスであれ、これらの攻撃にはいくつかの重要な特徴があります。境界防御ラインが突破または迂回されると、攻撃者はデータセンター内を横方向に移動することができ、センター内には攻撃を防ぐためのセキュリティ制御が基本的に存在しません。これは、従来のセキュリティの大きな弱点も浮き彫りにしています。従来のセキュリティでは、複雑なセキュリティ戦略、莫大な資金と技術が境界保護に費やされているものの、内部には同じレベルのセキュリティが存在しないのです。

クローズドループセキュリティの観点から:

行動分析、ハニーポット、状況認識はありますが、最も基本的なアクセス制御が欠けています。データ センターには、完全に接続した仮想マシンが数百台あることがよくあります。セキュリティポリシーは「削減されるのではなく、強化されるだけ」である。内部には多数の検知装置があるが、防御はどこにあるのだろうか…

この時点で、クライアントがまだ私を追い出していなければ、ショーを開始できます。

シナリオ 1:

私：「お父さん、あなたのデータセンターは昨年仮想化工事が完了して運用を開始したと聞きました。業務の生産効率が格段に向上しましたよ！」

お客様のお父さん：「そうですね、海外メーカーの仮想化技術を選択し、昨年構築を完了しました。仮想化されたデータセンターにより、確かに運用効率が向上しました。」

私：「現在、仮想マシンは何台ありますか？」

顧客父：「現在、合計500台以上あり、一部の業務はまだ移行中です。成長は比較的速く、来年には1,000台に達すると予想されています。」

私: 「仮想マシンがこんなにたくさんある場合、社内ではどのように管理すればよいのでしょうか?」

顧客父：「主にVLANを分けて管理しているのですが…」

シナリオ2:

私：「お父さん、プライベートクラウドは去年完成して運用が開始されたと聞きました。今は多くの企業が始めたばかりです。」

顧客の父親：「そうですね、私たちは3年前に技術研究を開始し、昨年建設を完了しました。クラウドデータセンターはまさに将来の建設トレンドです。」

私：「現在、仮想マシンは何台ありますか？」

顧客父：「現在、合計で1,000台以上あり、一部の事業所はまだ移行中です。成長は比較的速く、来年には1,500台に達すると予想されています。」

私: 「こんなにたくさんあります! 貴社のプライベート クラウドは業界のベンチマークです。社内でこれほど多くの仮想マシンを管理するにはどうすればいいのでしょうか?」

顧客父：「主にクラウドベンダーが提供する VPC を通じて社内で管理しています...」

仮想化されたデータセンターでは、基盤となるアーキテクチャに応じて、VLAN/VPC に基づく内部分離が一般的です。多くの企業では、まずデータセンターを部門や業務システムごとに論理的に異なるセキュリティドメインに分割し、VLAN/VPC を通じて分離してから、各 VLAN/VPC に仮想マシンを展開します。 VLAN/VPC はどちらもレイヤー 2 分離であるため、グループが通信する必要がある場合は、レイヤー 3 デバイス (レイヤー 3 スイッチング、ファイアウォール) を使用する必要があります。どちらの方法も、スタッキング、分離、アクセス制御など、従来のデータセンターのセキュリティ管理の考え方を主に継承しています。

しかし実際には、運用と保守のプロセスにおいて、顧客は基本的に徐々に「すべてをシンプルに保つ」ようになり、数百の仮想マシンを 3 つまたは 4 つのドメインに分割し、ドメイン間にいくつかのネットワーク セグメント ベースのアクセス制御ルールを構成し、すべてのドメインを接続します。

このとき、お客様が VLAN/VPC 分離の「落とし穴」に陥らないようにするために、専門家として、East-West 分離とは何かをお客様に説明する必要があります。

結果が出る前に原因がある。まず、仮想データセンター/プライベートクラウドの特徴を分析してみましょう。

仮想データセンター/プライベートクラウドの特徴

1. 仮想マシンの数は数百から数千、数万と非常に多く、その数は増え続けています。

2. 複数の支店や事業部で使用され、セキュリティレベルが複雑

3. 柔軟かつ多様なビジネス。リソースはオンデマンドで割り当てられ、変更はいつでも発生する可能性があります (オンラインおよびオフラインのビジネス、容量拡張、レプリケーション、ドリフト)。

上記の特性に基づき、仮想マシン間のアクセス制御、Security Protection 2.0 における内部攻撃の検出とブロックの要件と組み合わせると、East-West 分離には次の機能が必要です。

東西の孤立が持つべき能力

1. 社内業務のアクセス関係を特定します。東西トラフィックの管理は困難です。主な理由は、内部トラフィックが目に見えないため、セキュリティ ポリシーの設計と調整が困難になるからです。アクセスされたサービス、ポート、時間、さらにはプロセスなど、ホスト (コンテナを含む) 間のトラフィックを識別できます。

2. エンドツーエンドの分離を実現できます。物理サーバー、仮想マシン、コンテナ間のアクセスをポートレベルで細かく制御する機能を備えています。

3. 内部ホストの攻撃対象領域を減らすことができます。アクセス元、アクセスできるサービスとポートを設定でき、ネットワーク レベルでポートを閉じる機能もあります。

4. 戦略の視覚的な編集と統合管理機能。既存のセキュリティ ポリシーのステータスをグラフィカルに表示できます。セキュリティ ポリシーはグラフィカルに編集できます。ネットワーク全体のセキュリティ ポリシーを統一されたインターフェイスを通じて管理できます。

5. 自動化された戦略展開。プライベート クラウドの弾力性と拡張性に適応でき、仮想マシンの移行、クローン作成、拡張などのシナリオでセキュリティ ポリシーを自動的に変更できます。自動オーケストレーションをサポートします。

6. ハイブリッド クラウド アーキテクチャをサポートします。ハイブリッド クラウド環境では、クロスプラットフォームのトラフィック識別と統合ポリシー管理をサポートします。

残念ながら、VLAN/VPC に基づく内部分離方法は、基本的に東西分離のニーズを満たすことができません。

VLAN/VPC に基づくイントラネット分離の「七つの大罪」

1. あまりにも静的。静的な VLAN/VPC 分割では仮想マシンの場所が制限されますが、これはクラウド データ センターの動的な特性に反します。

2. 攻撃対象領域が大きすぎる。仮想マシンの数が大幅に増加し、VLAN/VPC の分割が大きすぎると、攻撃者に攻撃範囲が広がります。グループ内のホストが制御されると、攻撃者は自由に横方向に移動できるようになります。

3. コストが高すぎる。セキュリティ ドメインをセグメント化し、数百または数千のファイアウォールを導入して内部アクセス制御を実現することは、経済的にも運用的にも実現可能ではありません。

4. 業務遂行への影響。新しいサービスを追加したり、既存のサービスを変更したりする場合、セキュリティ担当者は、この静的で重いネットワーク トポロジに準拠するようにセキュリティ ポリシーを手動で変更する必要があります。これにより、サービスの遅延が大幅に増加し、構成エラーが発生しやすくなります。

5. セキュリティ ポリシーの管理は複雑です。ファイアウォールの構成エラーやポリシーの変更は、ネットワーク停止の一般的な原因です。特にファイアウォール ポリシー構成は事前にテストできず、誤った構成のトラブルシューティングが困難です。ファイアウォール ポリシーでは、「増やすことはできるが、減らすことはできない」という問題がよく発生します。

6. ネットワーク遅延を増加させます。この設計により、ネットワークの複雑さが増し、ネットワークのパフォーマンスが低下します。

7. ハイブリッドクラウドモデルには適用されません。ユーザーが複数のクラウド データ センターを所有している場合、セキュリティが断片化されて管理の複雑さが増します。

まとめると、VLAN/VPC に基づく内部分離は、準拠性が低く、柔軟性が低く、粒度が非常に粗く、特に操作と保守が困難です。

まとめると、どの教師の良心に触れても、仮想データセンター環境では、VLAN/VPC ベースの内部分離は大規模なセキュリティ ドメイン間の粗粒度の分離にのみ適しており、東西分離の問題を解決するのには基本的に役に立たないと言わざるを得ません。

VLAN/VPC は人気がありませんが、顧客が取り残されるべきではありません。国際社会は、仮想データセンター内の分離問題についてすでに結論に達しています。

クラウド センター内の分離に関するベスト プラクティス - マイクロ分離

マイクロセグメンテーションは、ガートナーがソフトウェア定義データセンター (SDDC) 関連のテクノロジー システムで初めて提案しました。ホスト（コンテナ）間のセキュアなアクセス制御（従来のセキュリティドメイン間のセキュアなアクセス制御とは異なります）を提供し、東西トラフィックを視覚的に管理するために使用されます。

マイクロ分離技術は基本的にソフトウェア定義であり、クラウド センターの動的特性にうまく適応できます。そして定義から、その主な問題はクラウド内の複雑なトラフィックをいかに明確に把握し、管理するかであることがわかります。

マイクロセグメンテーションは概念的な革新ではありません。これは、管理の観点から、広く認識されている多層防御と最小権限の原則に準拠しています。違いは、マイクロセグメンテーションにより、これらの概念を、完全に異なる仮想化データセンターや複雑な内部通信モデルに引き続き効果的に実装できることです。

ガートナーの 2017 年のレポートでは、マイクロセグメンテーションが今後 2 ～ 5 年で主流のテクノロジーになると予測されています。

次に何を期待するか

私: 「仮想マシンがこんなにたくさんある場合、社内ではどのように管理すればよいのでしょうか?」

顧客父：「管理にSDNを活用したソリューションを検討しています…」