分散コンピューティング時代のデータセンターを保護するための 8 つのステップ

今日の情報セキュリティがビジネスと IT のスピードに追いつけないのは周知の事実です。データ センターは、急速なアプリケーションの変更やプライベート クラウドとパブリック クラウドにわたるさまざまな展開に対応するためにますます動的になっていますが、ファイアウォールやその他のチョークポイント デバイスなどの境界デバイスによりセキュリティは比較的静的なままであり、データ センター内のデータは攻撃に対して脆弱なままになっています。

さらに、セキュリティ ポリシーは、IP アドレス、ポート、サブネット、ゾーンなどのネットワーク パラメータにバインドされます。その結果、セキュリティは手動による作業が多くなり、エラーが発生しやすくなり、クラウドの移行やアプリケーション、環境などの変更に柔軟に対応するための可視性が欠如しています。企業は、急速に変化するコンピューティング環境のニーズに合わせてセキュリティをより適応させるために、次の対策を検討する必要があります。

1. 作業負荷の変更、追加、シフトを予測する

多くの企業では、新しいアプリケーションの導入、既存のアプリケーションの変更、またはアプリケーションのクラウドへの移行には、ファイアウォールや VLAN 構成からクラウド セキュリティ システムまで、多くのシステムを変更する必要があるため、セキュリティ チームによる多大な労力が必要です。企業は、基盤となるインフラストラクチャではなく、アプリケーション ワークロード (その属性、環境、関係) を中心にセキュリティを構築する必要があります。この適応型セキュリティ戦略では、新しいワークロードの有効化、アプリケーションの移行、環境の変更など、アプリケーションの変更に基づいてポリシーを自動的に構成できます。

2. アプリケーションインタラクションの監査

一般的に、企業では、データセンターとパブリック クラウド環境のアプリケーション ワークロード間の東西トラフィックの可視性が不足しています。多層アプリケーションをグラフィカルに表示し、ワークロード間でトラフィックがどのように流れるかを理解する必要があります。このアプリケーション トポロジ ビューは、南北および東西の相互作用や、許可されていない外部エンティティからの接続要求を含む完全なビューを提供します。さらに、アプリケーション トポロジ マップがインタラクティブであれば、セキュリティ チームは特定のワークロードの詳細と、それが他のワークロードとどのように関連しているかについて詳細な情報を得ることができます。これにより、セキュリティ チームはアプリケーション要件に基づいて正確なセキュリティ ポリシーを設計できるようになります。

3. 攻撃は避けられないと想定する

多くの場合、企業は強力な境界防御を購入して導入し、ネットワーク境界内のワークロードは安全であると想定します。しかし、ほとんどのデータ侵害では、攻撃者が境界に侵入してサーバーを侵害し、データを他の脆弱なシステムにエクスポートして、最終的に機密データを盗み出します。企業は、ワークロード間のやり取りを承認された通信パスに制限し、不正な接続要求を防止できるデータセンター内のセキュリティを確保する必要があります。

サイバー攻撃は、単一のサーバーまたはエンドポイントが侵害されることによって引き起こされることはほとんどありません。たとえ攻撃者が単一のワークロードを侵害したとしても、データセンターのセキュリティ ポリシーにより、攻撃が他のシステムに横方向に拡大するのを防ぐことができます。攻撃対象領域が縮小されると、個々のワークロードが大規模な環境から完全に分離されるため、システムの回復にも役立ちます。

4. 将来を見据えたアプリケーション展開

セキュリティ チームは、クラウド展開におけるネットワークの制御不足を懸念することがよくあります。ほとんどのデータ センターのセキュリティ戦略はネットワークに依存しているため、プライベート データ センター内のアプリケーションのセキュリティは、クラウド内のアプリケーションのセキュリティとは大きく異なります。つまり、企業はセキュリティ ポリシーをテストし、維持する必要があります。企業は、プライベート データ センターとパブリック クラウド全体で一貫したセキュリティ戦略を選択する必要があります。結局のところ、期待されるアプリケーションの動作とそのセキュリティ要件は、実行場所によって変化しません。

5. インフラストラクチャに依存しないセキュリティ技術を選択する

特定のコンピューティング環境向けに設計されたセキュリティは、仮想サーバーをオンデマンドでどこでも起動でき、アプリケーションを自由に展開および変更できる今日の動的なコンピューティング環境には適していません。基盤となるネットワークやコンピューティング環境に依存せずにアプリケーションのワークロードを保護できる、コンテキスト認識型のセキュリティ ポリシー (+ ネットワークの世界に従う WeChat) を開発することが重要です。さらに、データ センターの異機種混在性 (ベア メタル サーバー、仮想サーバー、さらには Linux コンテナーを含む) により、コンピューティング環境から独立したセキュリティ戦略は、導入や保守が容易になり、エラーが発生しにくくなります。

6. 内部ファイアウォールとトラフィックステアリングの使用を排除する

チョーク ポイントまたは境界デバイスを介してトラフィックを誘導することに依存するセキュリティの場合、セキュリティ ポリシーは IP アドレス、ポート、サブネット、VLAN、またはセキュリティ ゾーンにバインドされます。これにより、アプリケーションの変更や新しいワークロードの展開ごとにセキュリティ ルールを手動で変更する必要がある静的なセキュリティ モデルが作成され、ファイアウォール ルールが急増し、人為的エラーが発生する可能性が高くなります。

企業は、ワークロードの動的な性質を活用し、セキュリティ ポリシーに影響を与えずに変更が行われるように、基盤となるネットワーク パラメータからセキュリティを切り離す必要があります。コンテキスト認識型システムでは、IP アドレスではなく自然言語構文を使用してセキュリティ ポリシーを指定できます。さらに、ワークロード レベルでポリシーを適用する機能により、管理者はよりきめ細かい制御が可能になります。

7. 分散異種アプリケーション間のやり取りを保護するために、シンプルなオンデマンドの動的データ暗号化を使用する

アプリケーション ワークロードがパブリック ネットワークとプライベート ネットワークを介して通信する必要がある分散コンピューティング環境では、転送中のデータの暗号化が必要です。 IPsec 接続を使用して、アプリケーション ワークロード間の通信を暗号化できます。

ただし、IPsec はノード間で永続的でアプリケーションに依存しない暗号化された接続を提供しますが、確立して維持することも困難です。 Adaptive Security Solutions は、追加のソフトウェアやハードウェアを必要とせずに、ポリシー主導の IPsec を提供できます。これにより、セキュリティ管理者は、どこで実行されているアプリケーション ワークロード間でオンデマンドのデータ イン フライト暗号化を設定できます。

8. セキュリティとDevOpsの実践を統合する戦略を策定する

DevOps プラクティスは、アジャイル開発プラクティスと IT 運用を組み合わせて、アプリケーションの展開と変更を加速します。しかし、静的なセキュリティ アーキテクチャでは、企業は継続的なアプリケーション配信の潜在的なメリットを活用できません。適応型セキュリティ アーキテクチャには、自動化およびオーケストレーション ツールを組み込んで、継続的な配信プロセスの一環としてセキュリティの変更を展開できます。これにより、セキュリティ チームと DevOps チームは、最初からサポート終了まで、アプリケーションにセキュリティを組み込むことができます。

セキュリティ戦略は、今日のインフラストラクチャとアプリケーションの動的かつ分散的な性質を反映する必要があります。これらの手順は、セキュリティ体制を改善するための適応型プラクティスを設計するのに役立ちます。