分散コンピューティング時代のデータセンターを保護するための 8 つのステップ

分散コンピューティング時代のデータセンターを保護するための 8 つのステップ

今日の情報セキュリティがビジネスと IT のスピードに追いつけないのは周知の事実です。データ センターは、急速なアプリケーションの変更やプライベート クラウドとパブリック クラウドにわたるさまざまな展開に対応するためにますます動的になっていますが、ファイアウォールやその他のチョークポイント デバイスなどの境界デバイスによりセキュリティは比較的静的なままであり、データ センター内のデータは攻撃に対して脆弱なままになっています。

さらに、セキュリティ ポリシーは、IP アドレス、ポート、サブネット、ゾーンなどのネットワーク パラメータにバインドされます。その結果、セキュリティは手動による作業が多くなり、エラーが発生しやすくなり、クラウドの移行やアプリケーション、環境などの変更に柔軟に対応するための可視性が欠如しています。企業は、急速に変化するコンピューティング環境のニーズに合わせてセキュリティをより適応させるために、次の対策を検討する必要があります。

1. 作業負荷の変更、追加、シフトを予測する

多くの企業では、新しいアプリケーションの導入、既存のアプリケーションの変更、またはアプリケーションのクラウドへの移行には、ファイアウォールや VLAN 構成からクラウド セキュリティ システムまで、多くのシステムを変更する必要があるため、セキュリティ チームによる多大な労力が必要です。企業は、基盤となるインフラストラクチャではなく、アプリケーション ワークロード (その属性、環境、関係) を中心にセキュリティを構築する必要があります。この適応型セキュリティ戦略では、新しいワークロードの有効化、アプリケーションの移行、環境の変更など、アプリケーションの変更に基づいてポリシーを自動的に構成できます。

2. アプリケーションインタラクションの監査

一般的に、企業では、データセンターとパブリック クラウド環境のアプリケーション ワークロード間の東西トラフィックの可視性が不足しています。多層アプリケーションをグラフィカルに表示し、ワークロード間でトラフィックがどのように流れるかを理解する必要があります。このアプリケーション トポロジ ビューは、南北および東西の相互作用や、許可されていない外部エンティティからの接続要求を含む完全なビューを提供します。さらに、アプリケーション トポロジ マップがインタラクティブであれば、セキュリティ チームは特定のワークロードの詳細と、それが他のワークロードとどのように関連しているかについて詳細な情報を得ることができます。これにより、セキュリティ チームはアプリケーション要件に基づいて正確なセキュリティ ポリシーを設計できるようになります。

3. 攻撃は避けられないと想定する

多くの場合、企業は強力な境界防御を購入して導入し、ネットワーク境界内のワークロードは安全であると想定します。しかし、ほとんどのデータ侵害では、攻撃者が境界に侵入してサーバーを侵害し、データを他の脆弱なシステムにエクスポートして、最終的に機密データを盗み出します。企業は、ワークロード間のやり取りを承認された通信パスに制限し、不正な接続要求を防止できるデータセンター内のセキュリティを確保する必要があります。

サイバー攻撃は、単一のサーバーまたはエンドポイントが侵害されることによって引き起こされることはほとんどありません。たとえ攻撃者が単一のワークロードを侵害したとしても、データセンターのセキュリティ ポリシーにより、攻撃が他のシステムに横方向に拡大するのを防ぐことができます。攻撃対象領域が縮小されると、個々のワークロードが大規模な環境から完全に分離されるため、システムの回復にも役立ちます。

4. 将来を見据えたアプリケーション展開

セキュリティ チームは、クラウド展開におけるネットワークの制御不足を懸念することがよくあります。ほとんどのデータ センターのセキュリティ戦略はネットワークに依存しているため、プライベート データ センター内のアプリケーションのセキュリティは、クラウド内のアプリケーションのセキュリティとは大きく異なります。つまり、企業はセキュリティ ポリシーをテストし、維持する必要があります。企業は、プライベート データ センターとパブリック クラウド全体で一貫したセキュリティ戦略を選択する必要があります。結局のところ、期待されるアプリケーションの動作とそのセキュリティ要件は、実行場所によって変化しません。

5. インフラストラクチャに依存しないセキュリティ技術を選択する

特定のコンピューティング環境向けに設計されたセキュリティは、仮想サーバーをオンデマンドでどこでも起動でき、アプリケーションを自由に展開および変更できる今日の動的なコンピューティング環境には適していません。基盤となるネットワークやコンピューティング環境に依存せずにアプリケーションのワークロードを保護できる、コンテキスト認識型のセキュリティ ポリシー (+ ネットワークの世界に従う WeChat) を開発することが重要です。さらに、データ センターの異機種混在性 (ベア メタル サーバー、仮想サーバー、さらには Linux コンテナーを含む) により、コンピューティング環境から独立したセキュリティ戦略は、導入や保守が容易になり、エラーが発生しにくくなります。

6. 内部ファイアウォールとトラフィックステアリングの使用を排除する

チョーク ポイントまたは境界デバイスを介してトラフィックを誘導することに依存するセキュリティの場合、セキュリティ ポリシーは IP アドレス、ポート、サブネット、VLAN、またはセキュリティ ゾーンにバインドされます。これにより、アプリケーションの変更や新しいワークロードの展開ごとにセキュリティ ルールを手動で変更する必要がある静的なセキュリティ モデルが作成され、ファイアウォール ルールが急増し、人為的エラーが発生する可能性が高くなります。

企業は、ワークロードの動的な性質を活用し、セキュリティ ポリシーに影響を与えずに変更が行われるように、基盤となるネットワーク パラメータからセキュリティを切り離す必要があります。コンテキスト認識型システムでは、IP アドレスではなく自然言語構文を使用してセキュリティ ポリシーを指定できます。さらに、ワークロード レベルでポリシーを適用する機能により、管理者はよりきめ細かい制御が可能になります。

7. 分散異種アプリケーション間のやり取りを保護するために、シンプルなオンデマンドの動的データ暗号化を使用する

アプリケーション ワークロードがパブリック ネットワークとプライベート ネットワークを介して通信する必要がある分散コンピューティング環境では、転送中のデータの暗号化が必要です。 IPsec 接続を使用して、アプリケーション ワークロード間の通信を暗号化できます。

ただし、IPsec はノード間で永続的でアプリケーションに依存しない暗号化された接続を提供しますが、確立して維持することも困難です。 Adaptive Security Solutions は、追加のソフトウェアやハードウェアを必要とせずに、ポリシー主導の IPsec を提供できます。これにより、セキュリティ管理者は、どこで実行されているアプリケーション ワークロード間でオンデマンドのデータ イン フライト暗号化を設定できます。

8. セキュリティとDevOpsの実践を統合する戦略を策定する

DevOps プラクティスは、アジャイル開発プラクティスと IT 運用を組み合わせて、アプリケーションの展開と変更を加速します。しかし、静的なセキュリティ アーキテクチャでは、企業は継続的なアプリケーション配信の潜在的なメリットを活用できません。適応型セキュリティ アーキテクチャには、自動化およびオーケストレーション ツールを組み込んで、継続的な配信プロセスの一環としてセキュリティの変更を展開できます。これにより、セキュリティ チームと DevOps チームは、最初からサポート終了まで、アプリケーションにセキュリティを組み込むことができます。

セキュリティ戦略は、今日のインフラストラクチャとアプリケーションの動的かつ分散的な性質を反映する必要があります。これらの手順は、セキュリティ体制を改善するための適応型プラクティスを設計するのに役立ちます。

<<:  クラウド コンピューティングの専門家が解説: ハイブリッド クラウド アプリケーションは双方向の移行を実現できますか?

>>:  分散コンピューティング時代のデータセンターを保護するための 8 つのステップ

推薦する

日本のVPS業者dream.jpは「言葉では言い表せない」メモリ倍数/ハードディスク5倍(価格は据え置き)

dream.jpは、日本のDTI傘下のopenvzベースのVPS事業です。最も安いVPSは490円、...

IoTの4つの分野におけるPaaSプラットフォームの包括的なレビュー

デジタル変革とインテリジェント製造を背景に、モノのインターネットは時代の最先端にあります。チップ、セ...

6.28 Baidu Kステーションから学んだ教訓と経験

フォーラムのほとんどの人が、Baidu の 6.28K サイトのブラック ストームを経験したと思いま...

TortoiseCloud Xen VPS-512M メモリ/30G ハードディスク/G ポート/20M 無制限

Tortoise は 2009 年に設立され、1 人の人物によって所有されているわけではありません。...

ウェブサイト構築会社のタイプとチーム構造を分析する

月給5,000~50,000のこれらのプロジェクトはあなたの将来ですウェブサイト構築業界は、参入障壁...

データ駆動型リソース管理とクラウドコンピューティングの未来

クラウド コンピューティングによってもたらされる最大の利点の 1 つは、需要に基づいて自動的にスケー...

ウェブサイトの SEO トラフィックに関して避けられない要素は 3 つだけです。

現在の SEO 知識の多さにより、どの知識が正しいのかを見分けることが難しくなり、優れた知識を選別す...

外部リンクを構築するための3つのステップ

無意識のうちに、私は長い間外部リンクを貼る作業をしていませんでした。私の現在の仕事は、プロモーション...

#BlackFriday# itldc: すべての VPS が 40% オフ、年間 23 ユーロ、トラフィック無制限、シンガポール/米国の 15 のデータセンターから選択可能

itldc(1995年創業のブルガリアのアンティーク商人)が今年のブラックフライデーとサイバーマンデ...

vds4you: 新年 21% オフ、ロシア VPS、KVM 仮想化、無制限トラフィック

HAYTEK TECHNOLOGIES が所有するブランドである vds4you は、21% 割引の...

ウェブサイトの構築と運営では、ユーザーのプライバシー保護に注意を払う必要があります

少し前に、ホテルの宿泊客の宿泊予約情報が漏洩し、大きな騒動となりました。それがシステムやウェブサイト...

他の山からの翡翠は石を磨くために使用することができますSEOの良い駅外部リンク分析

しばらく前に百度が継続的に調整を行った結果、多くのウェブマスターの外部リンクが急激に減少し、苦情が相...

Baiduと360 Searchがあなたの春を奪おうとしている

最近、ホットな話題がたくさんありますが、その中には人々に多くの連想を抱かせるものもあります。雷軍と周...

ウェブサイトが復旧した後、ウェブサイトのトラフィックは数倍に増加しました。

どのような種類のウェブサイトであっても、順風満帆なことはあり得ません。キーワードのランキングが下がっ...

キーワードランキングを向上させるウェブサイト構造

キーワードのランキングを向上させるには、フレンドリーリンク、外部リンクの構築、そしてウェブサイトの構...