分散コンピューティング時代のデータセンターを保護するための 8 つのステップ

分散コンピューティング時代のデータセンターを保護するための 8 つのステップ

今日の情報セキュリティがビジネスと IT のスピードに追いつけないのは周知の事実です。データ センターは、急速なアプリケーションの変更やプライベート クラウドとパブリック クラウドにわたるさまざまな展開に対応するために、ますます動的になっていますが、ファイアウォールやその他のチョークポイント デバイスなどの境界デバイスによりセキュリティは比較的静的なままであり、データ センター内のデータは攻撃に対して脆弱なままになっています。

[[128998]]

さらに、セキュリティ ポリシーは、IP アドレス、ポート、サブネット、ゾーンなどのネットワーク パラメータにバインドされます。その結果、セキュリティは手動による作業が多くなり、エラーが発生しやすくなり、クラウドの移行やアプリケーション、環境などの変更に柔軟に対応するための可視性が欠如しています。企業は、急速に変化するコンピューティング環境のニーズに合わせてセキュリティをより適応させるために、次の対策を検討する必要があります。

1. 作業負荷の変更、追加、シフトを予測する

多くの企業では、新しいアプリケーションの導入、既存のアプリケーションの変更、またはアプリケーションのクラウドへの移行には、ファイアウォールや VLAN 構成からクラウド セキュリティ システムまで、多くのシステムを変更する必要があるため、セキュリティ チームによる多大な労力が必要です。企業は、基盤となるインフラストラクチャではなく、アプリケーション ワークロード (その属性、環境、関係) を中心にセキュリティを構築する必要があります。この適応型セキュリティ戦略では、新しいワークロードの有効化、アプリケーションの移行、環境の変更など、アプリケーションの変更に基づいてポリシーを自動的に構成できます。

2. アプリケーションインタラクションの監査

一般的に、企業では、データセンターとパブリック クラウド環境のアプリケーション ワークロード間の東西トラフィックの可視性が不足しています。多層アプリケーションをグラフィカルに表示し、ワークロード間でトラフィックがどのように流れるかを理解する必要があります。このアプリケーション トポロジ ビューは、南北および東西の相互作用や、許可されていない外部エンティティからの接続要求を含む完全なビューを提供します。さらに、アプリケーション トポロジ マップがインタラクティブであれば、セキュリティ チームは特定のワークロードの詳細と、それが他のワークロードとどのように関連しているかについて詳細な情報を得ることができます。これにより、セキュリティ チームはアプリケーション要件に基づいて正確なセキュリティ ポリシーを設計できるようになります。

3. 攻撃は避けられないと想定する

多くの場合、企業は強力な境界防御を購入して導入し、ネットワーク境界内のワークロードは安全であると想定します。しかし、ほとんどのデータ侵害では、攻撃者が境界に侵入してサーバーを侵害し、データを他の脆弱なシステムにエクスポートして、最終的に機密データを盗み出します。企業は、ワークロード間のやり取りを承認された通信パスに制限し、不正な接続要求を防止できるデータセンター内のセキュリティを確保する必要があります。

サイバー攻撃は、単一のサーバーまたはエンドポイントが侵害されることによって引き起こされることはほとんどありません。たとえ攻撃者が単一のワークロードを侵害したとしても、データセンターのセキュリティ ポリシーにより、攻撃が他のシステムに横方向に拡大するのを防ぐことができます。攻撃対象領域が縮小されると、個々のワークロードが大規模な環境から完全に分離されるため、システムの回復にも役立ちます。

4. 将来を見据えたアプリケーション展開

セキュリティ チームは、クラウド展開におけるネットワークの制御不足を懸念することがよくあります。ほとんどのデータ センターのセキュリティ戦略はネットワークに依存しているため、プライベート データ センター内のアプリケーションのセキュリティは、クラウド内のアプリケーションのセキュリティとは大きく異なります。つまり、企業はセキュリティ ポリシーをテストし、維持する必要があります。企業は、プライベート データ センターとパブリック クラウド全体で一貫したセキュリティ戦略を選択する必要があります。結局のところ、期待されるアプリケーションの動作とそのセキュリティ要件は、実行場所によって変化しません。

5. インフラストラクチャに依存しないセキュリティ技術を選択する

特定のコンピューティング環境向けに設計されたセキュリティは、仮想サーバーをオンデマンドでどこでも起動でき、アプリケーションを自由に展開および変更できる今日の動的なコンピューティング環境には適していません。基盤となるネットワークやコンピューティング環境に依存せずにアプリケーションのワークロードを保護できる、コンテキスト認識型のセキュリティ ポリシー (+ ネットワークの世界に従う WeChat) を開発することが重要です。さらに、データ センターの異機種混在性 (ベア メタル サーバー、仮想サーバー、さらには Linux コンテナーを含む) により、コンピューティング環境から独立したセキュリティ戦略は、導入や保守が容易になり、エラーが発生しにくくなります。

6. 内部ファイアウォールとトラフィックステアリングの使用を排除する

チョーク ポイントまたは境界デバイスを介してトラフィックを誘導することに依存するセキュリティの場合、セキュリティ ポリシーは IP アドレス、ポート、サブネット、VLAN、またはセキュリティ ゾーンにバインドされます。これにより、アプリケーションの変更や新しいワークロードの展開ごとにセキュリティ ルールを手動で変更する必要がある静的なセキュリティ モデルが作成され、ファイアウォール ルールが急増し、人為的エラーが発生する可能性が高くなります。

企業は、ワークロードの動的な性質を活用し、セキュリティ ポリシーに影響を与えずに変更が行われるように、基盤となるネットワーク パラメータからセキュリティを切り離す必要があります。コンテキスト認識型システムでは、IP アドレスではなく自然言語構文を使用してセキュリティ ポリシーを指定できます。さらに、ワークロード レベルでポリシーを適用する機能により、管理者はよりきめ細かい制御が可能になります。

7. 分散異種アプリケーション間のやり取りを保護するために、シンプルなオンデマンドの動的データ暗号化を使用する

アプリケーション ワークロードがパブリック ネットワークとプライベート ネットワークを介して通信する必要がある分散コンピューティング環境では、転送中のデータの暗号化が必要です。 IPsec 接続を使用して、アプリケーション ワークロード間の通信を暗号化できます。

ただし、IPsec はノード間で永続的でアプリケーションに依存しない暗号化された接続を提供しますが、確立して維持することも困難です。 Adaptive Security Solutions は、追加のソフトウェアやハードウェアを必要とせずに、ポリシー主導の IPsec を提供できます。これにより、セキュリティ管理者は、どこで実行されているアプリケーション ワークロード間でオンデマンドのデータ イン フライト暗号化を設定できます。

8. セキュリティとDevOpsの実践を統合する戦略を策定する

DevOps プラクティスは、アジャイル開発プラクティスと IT 運用を組み合わせて、アプリケーションの展開と変更を加速します。しかし、静的なセキュリティ アーキテクチャでは、企業は継続的なアプリケーション配信の潜在的なメリットを活用できません。適応型セキュリティ アーキテクチャには、自動化およびオーケストレーション ツールを組み込んで、継続的な配信プロセスの一環としてセキュリティの変更を展開できます。これにより、セキュリティ チームと DevOps チームは、最初からサポート終了まで、アプリケーションにセキュリティを組み込むことができます。

セキュリティ戦略は、今日のインフラストラクチャとアプリケーションの動的かつ分散的な性質を反映する必要があります。これらの手順は、セキュリティ体制を改善するための適応型プラクティスを設計するのに役立ちます。

<<:  分散コンピューティング時代のデータセンターを保護するための 8 つのステップ

>>:  DellとRed Hatが提携し、OpenStackクラウドプラットフォームを構築

推薦する

エッジコンピューティングはクラウドコンピューティングに取って代わるでしょうか?

クラウドコンピューティング、モバイルネットワーク、ビッグデータ、SDN の継続的な導入により、インタ...

月額 16 ドルから、Windows VPS、1Gbps 帯域幅、無制限トラフィック、香港/日本/ベトナム/シンガポール/米国の 30 のデータセンター

Greencloudvps は、デフォルトの帯域幅が 1Gbps、トラフィックが無制限のライセンス付...

Yahoo Site Manager はどのようにして Web サイトのトラフィックを増加させるのでしょうか?

私は最近、ウェブサイトのパフォーマンスを向上させるための Google の SiteGovernan...

ウェブサイト分析ツールの徹底解説:訪問元統計(パート1)

事業背景1. 訪問者の流入元は何ですか?当社の Web サイトを訪問するユーザーはどのようにして当社...

中国のハッカー産業チェーンの規模は数百億に達する可能性があり、情報セキュリティに関する懸念が生じている。

個人情報窃盗防止のための法整備を求める特定の消費、医療、家の見学、登録などにより、個人情報が「野火の...

電子商取引戦争が迫る、必見のウェブデザインボード5選

毎年恒例の電子商取引プロモーションイベントが近づいてきました。昨年の天猫ダブル11は、私たちの記憶に...

反百度連合の最初の行動の記録

今日の百度広告をクリックした約 1,000 人のウェブマスターの行動を記録します。仕事が終わって家に...

Google は 9 月にすべてのウェブサイトをモバイル ファースト インデックスに切り替える予定です [/3 に延長]

2018年3月、Googleはモバイルファーストインデックスを正式に開始し、ウェブサイトの段階的な切...

タクシー配車ソフトウェアの観点から、両社の競争によるマーケティング上のメリットについて語る

インターネット上のあらゆる製品を見ると、ソーシャル インタラクションに関係するものは、必ずマーケティ...

人民日報オンライン、小説サイト成都古強科技を2億4000万人民元で買収予定

人民日報オンライン株式会社(人民日報オンライン、603000)は、ファンタジー小説を専門とするインタ...

専門家や達人に誤解されることは、誰も簡単に成功できないことを示している

数日前、G市の家庭教師をしている友人がQQを通じて私に連絡してきました。彼のウェブサイトはブロックさ...

エッジコンピューティング: これがクラウドの終焉か?

エッジコンピューティングは現在重要です。このエキサイティングなコンセプトはすでに現実のものであり、モ...

クラウド コンピューティングの発展は、セキュリティ業界にどのような破壊的な変化をもたらしましたか?

クラウド コンピューティングの出現により、従来の企業の IT 構造と IT 業界全体が完全に変化しま...

良いサーバーを選ぶ理由とは?ウェブサイトの最適化をスタートラインで失敗させないでください

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスウェブサイトを構築する際...