分散コンピューティング時代のデータセンターを保護するための 8 つのステップ

分散コンピューティング時代のデータセンターを保護するための 8 つのステップ

今日の情報セキュリティがビジネスと IT のスピードに追いつけないのは周知の事実です。データ センターは、急速なアプリケーションの変更やプライベート クラウドとパブリック クラウドにわたるさまざまな展開に対応するためにますます動的になっていますが、ファイアウォールやその他のチョークポイント デバイスなどの境界デバイスによりセキュリティは比較的静的なままであり、データ センター内のデータは攻撃に対して脆弱なままになっています。

さらに、セキュリティ ポリシーは、IP アドレス、ポート、サブネット、ゾーンなどのネットワーク パラメータにバインドされます。その結果、セキュリティは手動による作業が多くなり、エラーが発生しやすくなり、クラウドの移行やアプリケーション、環境などの変更に柔軟に対応するための可視性が欠如しています。企業は、急速に変化するコンピューティング環境のニーズに合わせてセキュリティをより適応させるために、次の対策を検討する必要があります。

1. 作業負荷の変更、追加、シフトを予測する

多くの企業では、新しいアプリケーションの導入、既存のアプリケーションの変更、またはアプリケーションのクラウドへの移行には、ファイアウォールや VLAN 構成からクラウド セキュリティ システムまで、多くのシステムを変更する必要があるため、セキュリティ チームによる多大な労力が必要です。企業は、基盤となるインフラストラクチャではなく、アプリケーション ワークロード (その属性、環境、関係) を中心にセキュリティを構築する必要があります。この適応型セキュリティ戦略では、新しいワークロードの有効化、アプリケーションの移行、環境の変更など、アプリケーションの変更に基づいてポリシーを自動的に構成できます。

2. アプリケーションインタラクションの監査

一般的に、企業では、データセンターとパブリック クラウド環境のアプリケーション ワークロード間の東西トラフィックの可視性が不足しています。多層アプリケーションをグラフィカルに表示し、ワークロード間でトラフィックがどのように流れるかを理解する必要があります。このアプリケーション トポロジ ビューは、南北および東西の相互作用や、許可されていない外部エンティティからの接続要求を含む完全なビューを提供します。さらに、アプリケーション トポロジ マップがインタラクティブであれば、セキュリティ チームは特定のワークロードの詳細と、それが他のワークロードとどのように関連しているかについて詳細な情報を得ることができます。これにより、セキュリティ チームはアプリケーション要件に基づいて正確なセキュリティ ポリシーを設計できるようになります。

3. 攻撃は避けられないと想定する

多くの場合、企業は強力な境界防御を購入して導入し、ネットワーク境界内のワークロードは安全であると想定します。しかし、ほとんどのデータ侵害では、攻撃者が境界に侵入してサーバーを侵害し、データを他の脆弱なシステムにエクスポートして、最終的に機密データを盗み出します。企業は、ワークロード間のやり取りを承認された通信パスに制限し、不正な接続要求を防止できるデータセンター内のセキュリティを確保する必要があります。

サイバー攻撃は、単一のサーバーまたはエンドポイントが侵害されることによって引き起こされることはほとんどありません。たとえ攻撃者が単一のワークロードを侵害したとしても、データセンターのセキュリティ ポリシーにより、攻撃が他のシステムに横方向に拡大するのを防ぐことができます。攻撃対象領域が縮小されると、個々のワークロードが大規模な環境から完全に分離されるため、システムの回復にも役立ちます。

4. 将来を見据えたアプリケーション展開

セキュリティ チームは、クラウド展開におけるネットワークの制御不足を懸念することがよくあります。ほとんどのデータ センターのセキュリティ戦略はネットワークに依存しているため、プライベート データ センター内のアプリケーションのセキュリティは、クラウド内のアプリケーションのセキュリティとは大きく異なります。つまり、企業はセキュリティ ポリシーをテストし、維持する必要があります。企業は、プライベート データ センターとパブリック クラウド全体で一貫したセキュリティ戦略を選択する必要があります。結局のところ、期待されるアプリケーションの動作とそのセキュリティ要件は、実行場所によって変化しません。

5. インフラストラクチャに依存しないセキュリティ技術を選択する

特定のコンピューティング環境向けに設計されたセキュリティは、仮想サーバーをオンデマンドでどこでも起動でき、アプリケーションを自由に展開および変更できる今日の動的なコンピューティング環境には適していません。基盤となるネットワークやコンピューティング環境に依存せずにアプリケーションのワークロードを保護できる、コンテキスト認識型のセキュリティ ポリシー (+ ネットワークの世界に従う WeChat) を開発することが重要です。さらに、データ センターの異機種混在性 (ベア メタル サーバー、仮想サーバー、さらには Linux コンテナーを含む) により、コンピューティング環境から独立したセキュリティ戦略は、導入や保守が容易になり、エラーが発生しにくくなります。

6. 内部ファイアウォールとトラフィックステアリングの使用を排除する

チョーク ポイントまたは境界デバイスを介してトラフィックを誘導することに依存するセキュリティの場合、セキュリティ ポリシーは IP アドレス、ポート、サブネット、VLAN、またはセキュリティ ゾーンにバインドされます。これにより、アプリケーションの変更や新しいワークロードの展開ごとにセキュリティ ルールを手動で変更する必要がある静的なセキュリティ モデルが作成され、ファイアウォール ルールが急増し、人為的エラーが発生する可能性が高くなります。

企業は、ワークロードの動的な性質を活用し、セキュリティ ポリシーに影響を与えずに変更が行われるように、基盤となるネットワーク パラメータからセキュリティを切り離す必要があります。コンテキスト認識型システムでは、IP アドレスではなく自然言語構文を使用してセキュリティ ポリシーを指定できます。さらに、ワークロード レベルでポリシーを適用する機能により、管理者はよりきめ細かい制御が可能になります。

7. 分散異種アプリケーション間のやり取りを保護するために、シンプルなオンデマンドの動的データ暗号化を使用する

アプリケーション ワークロードがパブリック ネットワークとプライベート ネットワークを介して通信する必要がある分散コンピューティング環境では、転送中のデータの暗号化が必要です。 IPsec 接続を使用して、アプリケーション ワークロード間の通信を暗号化できます。

ただし、IPsec はノード間で永続的でアプリケーションに依存しない暗号化された接続を提供しますが、確立して維持することも困難です。 Adaptive Security Solutions は、追加のソフトウェアやハードウェアを必要とせずに、ポリシー主導の IPsec を提供できます。これにより、セキュリティ管理者は、どこで実行されているアプリケーション ワークロード間でオンデマンドのデータ イン フライト暗号化を設定できます。

8. セキュリティとDevOpsの実践を統合する戦略を策定する

DevOps プラクティスは、アジャイル開発プラクティスと IT 運用を組み合わせて、アプリケーションの展開と変更を加速します。しかし、静的なセキュリティ アーキテクチャでは、企業は継続的なアプリケーション配信の潜在的なメリットを活用できません。適応型セキュリティ アーキテクチャには、自動化およびオーケストレーション ツールを組み込んで、継続的な配信プロセスの一環としてセキュリティの変更を展開できます。これにより、セキュリティ チームと DevOps チームは、最初からサポート終了まで、アプリケーションにセキュリティを組み込むことができます。

セキュリティ戦略は、今日のインフラストラクチャとアプリケーションの動的かつ分散的な性質を反映する必要があります。これらの手順は、セキュリティ体制を改善するための適応型プラクティスを設計するのに役立ちます。

<<:  クラウド コンピューティングの専門家が解説: ハイブリッド クラウド アプリケーションは双方向の移行を実現できますか?

>>:  分散コンピューティング時代のデータセンターを保護するための 8 つのステップ

推薦する

ランキングを外部リンクに頼る時代は終わった

SEO に関する非常に印象的なジョークがあります。「SEO とは何ですか? 答えは外部リンクを投稿す...

直帰率の定義と分析の詳細な説明

直帰率は、ウェブサイト分析の基本的な指標です。ページ情報がユーザーにとって効果的であるかどうかを評価...

統合マーケティングの利点は徐々に顕著になってきており、私たちはそれにもっと注意を払う必要がある。

Baiduのアルゴリズムが何度も変更されるにつれて、これまで高く評価されていたSEO手法が軽視される...

SEOの最も基本的なことは好奇心です

これまでの経験をまとめると、SEOを勉強し始めたばかりの人にとって役に立ち、SEOの基礎として捉えて...

ダウンロードサイトのタイトル表記方法の比較実験結果

ダウンロード Web サイトのページで TITLE を記述する方法は主に 3 つあります。 XXXX...

プロモーションの3つの段階:ユーザーのリバウンド、ユーザーのコンプライアンス、ユーザーのイニシアチブ

プロモーションは SEO に欠かせない要素として、すべての SEO 担当者の心の中で非常に重要な位置...

検索エンジンに優しくないウェブサイトの特徴を数える。あなたもそうでしょうか?(パート2)

SEO を行う際、私たちは特定のルールを持つ検索エンジンと対峙します。ウェブサイトが検索エンジンに優...

スピード: Linode - 8か月間50ドル/クレジットカード無料

Linode が再び 50 ドルをプレゼントします。アカウント残高を 55 ドルにするには、クレジッ...

Cyber​​Bunker - 間違いなく世界で最も強力な違法ホスティングルーム

本当に役に立つ情報がないなら、興味深いコンピュータ室を紹介します。今回の主役はオランダにあるサイバー...

ウェブサイトを 3 か月間最適化した後もランキングが同じままなのはなぜですか?

ウェブサイトの開設と公開から3か月が経ちました。この3か月間、毎日更新し、外部リンクを作成することに...

gigsgigscloud-28USD/年/シンガポールKVM/512MB RAM/20GB SSD/500GB 帯域幅

gigsgigscloudは中国人が運営するVPSブランドです。同社は香港に登録されています[TEC...

Coremail Lunke メールボックス クライアントは、安全な共同オフィス ソリューションを作成します。

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますAI、ビッ...

標準化により産業用クラウドアプリケーションの開発が実用段階へ

[51CTO.comからのオリジナル記事] 中国電子技術標準化研究所が主催し、51CTOが主催する「...

3 つのグループ購入が 2 億クラブに加わる。グループ購入の再編が「3 を 1 つに」にアップグレード

共同購入戦争が始まって約半年、共同購入業界の構図が徐々に明らかになってきた。第三者共同購入ナビゲーシ...

クラウドバーストの定義と応用

今日、パブリック クラウドは、IT インフラストラクチャを構築するための簡単で手間のかからない方法に...