IaaS 環境における SaaS (Security as a Service) モデルの分析

1 クラウドコンピューティングIaaSの開発

IaaS はインフラストラクチャ レベルのクラウド コンピューティング サービスとして、ネットワーク、ストレージ、コンピューティングなどのリソースを仮想化し、各ユーザーに比較的独立したサーバー コンピューティング リソース、ストレージ リソースを提供し、ベアラ ネットワーク上に専用のデータ転送チャネルを設定できます。このクラウド コンピューティング モデルは、IT 業界で広く認知されています。

IBM、HP、Amazon、Google などの IT 大手は、強力な IT インフラストラクチャ ハードウェア機能と IaaS クラウド コンピューティング ソフトウェア プラットフォームの総合ソリューションで市場を支配しています。国内の伝統的なIDCサービスプロバイダーやデータセンターアウトソーシングサービスベンダーの中には、IDC事業運営の経験を活かしてIaaSクラウドコンピューティング市場に徐々に参入し始めているところもあります。 Alibaba Cloud、Shanda Cloud、Tencent Cloudなど、一部の大企業、特にインターネット企業も、インターネットの運用とアプリケーションシステムリソースに関する知識を活用して、クラウドコンピューティング市場に積極的に参入しています。さらに、多くの国内事業者や一部の地方自治体もIaaSクラウドコンピューティングサービスに積極的に参加しています。特に、国内大手事業者は、基本的なネットワークインフラパイプライン、インターネット輸出ブロードバンドリソース、多数の中小企業ホスティング顧客リソースプラットフォーム、強力な運用・保守サポート能力などの優位性により、IaaSクラウドコンピューティングの構築において重要な勢力となっています。例えば、中国電信の「天一クラウド」は、クラウドストレージ、クラウドホスティングなどのサービスを開始しました。中国聯通は仮想データセンター（VDC）の商用利用も推進しており、クラウドストレージやクラウドホスティングなどのIaaSサービスをユーザーに提供しています。これらの事業者の大規模な IDC 運用能力、強力なソフトウェア開発能力、ハードウェア プラットフォーム統合能力、インターネット運用経験は、クラウド コンピューティング IaaS サービスの推進に役立ちます。

IaaS 環境では、クラウド コンピューティングのテナントはインフラストラクチャの構築と保守について心配する必要がありません。ユーザーは、自社のビジネスに基づいて、対応するストレージ コンピューティング ネットワーク リソース アプリケーションをサービス プロバイダーに提出するだけで済みます。ユーザーは、サービスプロバイダーが提供するストレージコンピューティング環境に、自社に適したオペレーティングシステムを選択し、自社の業務に応じたさまざまなアプリケーションをインストールすることができます。これは、多くの種類の企業や企業内の一部の事業にとって非常に魅力的です。特に、ビジネス システム アクセス トラフィックに周期的な特性がある企業や、より高いコンピューティング能力を必要とする一部のユーザーにとって、IaaS クラウド コンピューティング サービスは、企業が最低コストでニーズを満たすのに役立ちます。

2 SaaS（Security as a Service）の主な内容

2.1 IaaS環境における公共のセキュリティ保護

IaaS サービス プロバイダーは、IaaS 環境に対して基本的なパブリック セキュリティ保護を提供する必要があります。サービス プロバイダーは、ユーザー データのセキュリティまたはアプリケーションのセキュリティに対して一定のセキュリティ保証を提供し、SLA 契約に署名する必要があります。これらの公共の安全の保護には、次の側面が含まれます。

 基本的なネットワークセキュリティ保護

クラウド コンピューティング サービス プロバイダーは、ネットワーク、ストレージ、コンピューティング、帯域幅などのリソースをパッケージ化してユーザーにレンタルする場合、これらの基本的な物理設備のセキュリティ保護を保証する必要があり、これも SLA の一部にする必要があります。これには、基本的な物理環境のセキュリティ保護が含まれます。スイッチ デバイスのセキュリティ機能を有効にして、ARP 攻撃や MAC アドレス攻撃などの L2 ネットワーク セキュリティ攻撃を防止します。クラウド サービス プロバイダーのインターネット出力に対する基本的なセキュリティ保護と DDoS 攻撃からの保護。特に DDoS 攻撃サービスの場合、単純なユーザーベースの保護では効果がありません。クラウド コンピューティング サービス プロバイダーは、インフラストラクチャの基本的なセキュリティを危険にさらすこれらのリスクを考慮する必要があります。

 ユーザーセルフサービス管理プラットフォームのアクセスセキュリティ

ユーザーは、オペレーターのクラウド サービス管理プラットフォームにログインして、基本的なセキュリティ保護ポリシーの設定、主要サーバーのアクセス制御、ユーザー認証暗号化プロトコルの構成、仮想マシン リソースの構成、管理者権限の構成、ログ構成の自動化などの独自の管理操作を実行する必要があります。これらの展開プロセスはセルフサービス モデルに移行し、ユーザーが活用できるようにする必要があります。この場合、クラウド コンピューティング サービス プロバイダー自体が、テナントのセルフサービス操作のユーザー認証を実行し、ユーザー ポリシーを機密に保ち、異なるテナント間で構成を分離し、重要なユーザー セキュリティ イベントをログに記録して、後で問題を追跡およびトレースできるようにする必要があります。

 サーバー仮想化セキュリティ

サーバー仮想化プロセスでは、単一の物理サーバー自体が複数の仮想マシンに仮想化され、複数の異なるテナントに提供される場合があります。これらの仮想マシンは共有インフラストラクチャと見なすことができ、CPU、キャッシュなどの一部のコンポーネントはシステムのユーザーから完全に分離されていません。このとき、いずれかのテナントの仮想マシンの脆弱性がハッカーに悪用されると、物理サーバー全体のすべての仮想マシンが正常に動作しなくなります。同時に、すべての仮想マシンの管理プラットフォームにおいて、管理ソフトウェアのセキュリティ脆弱性が悪用されると、クラウドコンピューティング全体のサーバーリソースが攻撃され、クラウドコンピューティング環境が麻痺する可能性があります。この種の公共インフラストラクチャのセキュリティを確保するために保護を導入する必要があります。

 社内スタッフのセキュリティトレーニングと行動監査

ユーザー データのセキュリティを確保するために、クラウド サービス プロバイダーは、ユーザー データのセキュリティに対して対応する SLA 保証を提供する必要があります。同時に、社内のデータオペレーターに対して、技術的観点と管理的観点の両方からセキュリティトレーニングを提供する必要があります。一方で、社内の担当者がユーザーデータのセキュリティを厳守することを義務付けるために、厳格なセキュリティ システムが策定されています。一方、セキュリティインシデント発生後に痕跡が残らないようにするためには、社内担当者のセキュリティ操作ログ、セキュリティイベントログ、変更管理ログ、ユーザー認証アクセスログなどを継続的にセキュリティ監視するための技術的手段が必要です。

2.2 IaaS環境におけるSaaS（Security as a Service）の付加価値サービス

ユーザーの種類を差別化するために、サービスプロバイダーは、ユーザーのニーズに基づいて、ネットワークセキュリティを付加価値サービスとしてレンタルすることもできます。これらの付加価値セキュリティ サービスには、次の側面が含まれます。

 ファイアウォール付加価値サービス

コンピューティング リソースをレンタルすると、ユーザーは比較的独立したネットワーク セキュリティ ストレージ コンピューティング環境を持つことになります。この場合、独自のアプリケーション システムに直面して、セキュリティ領域を設定し、適切なセキュリティ ドメイン ポリシーを構成して、アプリケーション システムへのアクセスと禁止を規制する必要があります。同時に、サービスプロバイダーは、各テナントにネットワークセキュリティイベントのログ情報と、分析およびマージされたセキュリティイベント分析レポートを提供する必要があります。これにより、テナントは独自のネットワーク、コンピューティング、ストレージリソースのセキュリティ状態を評価し、必要に応じてユーザーのポリシー調整の基礎とサポートを提供できます。

 IPS侵入防止付加価値サービス

IaaS 環境にはセキュリティ上の脆弱性も数多く存在します。ユーザーがクラウド サービス プロバイダーからコンピューティング リソースをレンタルし、関連するアプリケーション システムを展開する場合、独自のアプリケーション システムのセキュリティ リスクに基づいて適切な脆弱性防御を実行する必要があります。テナントごとに独自のアプリケーション システム環境があり、セキュリティ脆弱性のリスクも異なります。クラウドサービスプロバイダーは独立したセキュリティリソースプールを提供でき、ユーザーは自社の業務システムのセキュリティレベルに応じて脆弱性保護サービスをレンタルするかどうかを合理的に選択できます。

 LBロードバランシング付加価値サービス

主要なエンタープライズ アプリケーションが徐々に Web に移行するにつれて、エンタープライズ サーバー上の外部 Web アプリケーションが増加し、単一のビジネス トラフィックの帯域幅も増加しています。現時点では、単一の仮想マシンやサーバー自体が提供するパフォーマンスは不十分であり、業務遂行を実現するためにはサービスプロバイダーから複数のサーバーや仮想マシンをレンタルする必要があります。この場合、各サーバーのバランスの取れた運用を確保するために、テナントはサービスプロバイダーが提供する負荷分散サービスを選択的に利用できます。

 安全なVPNサービス

ユーザーがクラウド コンピューティング サービスをレンタルする場合、データ アクセスのセキュリティを確保するために、通常、VPN を介してアクセス データを暗号化し、ユーザー アクセスに対して厳格な ID 認証と権限制御を実行します。一般的に言えば、ユーザーは自分の状況に応じて VPN モードを選択できます。固定ブランチアクセスが主であれば、IPSec VPN 暗号化方式を選択できます。主にモバイル アクセス ユーザーの場合は、SSL VPN アクセス方法、または 2 つの方法の組み合わせを選択できます。サービスプロバイダーは、VPN 付加価値サービスを通じて、ユーザーの差別化された VPN アクセス要件を満たすことができます。

2.3 IaaS環境におけるSaaS（Security as a Service）の展開モデル

セキュリティ・アズ・ア・サービス モデルのガイダンスに従って、さまざまなテナントがニーズに合ったクラウド サービス モデルを選択し、異なる要件を満たすことができます。同時に、同じサービスに対しても、ユーザーによって技術的な要件が異なる場合があります。したがって、サービス モデルを設計する際には、水平方向と垂直方向の両方の側面を考慮して、顧客向けの差別化されたテクノロジーとソリューションを設計する必要があります。

水平的な観点から見ると、クラウド サービス プロバイダーは、FW、IPS、または LB サービスを要素として使用し、付加価値セキュリティ サービスの種類に基づいてユーザー レベルを分割しながら、デフォルトで IPSec VPN アクセスをサポートできます。単一タイプのサービスまたは複数のサービスの組み合わせを通じて、さまざまな種類のパッケージを設計できます。たとえば、通常の顧客にはデフォルトでセキュリティ付加価値サービスは提供されず、ブロンズ顧客にはデフォルトでファイアウォール付加価値サービスが提供され、シルバー顧客にはファイアウォールと IPS 侵入防止付加価値サービスが提供され、ゴールド顧客にはファイアウォール、IPS 侵入防止、LB ロード バランシング、SSL VPN を含む完全なサービス セットが提供されます。この分割方法は比較的単純かつ直接的であり、ユーザーは自身のセキュリティニーズに応じて選択できます (図 1 の右図を参照)。

垂直的な観点から見ると、クラウド サービス プロバイダーは、個々の付加価値サービスの使用の細分性に応じてユーザーを分類できます。たとえば、ファイアウォール サービスの場合、スループット、同時接続、セキュリティ ポリシーなどの測定しやすい指標に従って、さまざまなユーザー レベルを分割できます。たとえば、「50M ファイアウォール スループット帯域幅 + 10,000 同時接続 + 500 セキュリティ ポリシー」は、料金定義の基本パフォーマンス パッケージとして定義できます。 IPS サービスの場合、オープン データベース機能ライブラリのみ、オペレーティング システム機能ライブラリ、Web アプリケーション機能ライブラリなど、機能ライブラリのカテゴリに応じて分類できます。ユーザーは、独自のアプリケーション システムの状況に応じて選択できます。 LB 負荷分散サービスの場合、スケジュールする必要があるトラフィック負荷、ユーザーが所有する仮想サービスの最大数、アクセス制御ポリシーの最大数などに基づいて組み合わせ定義を行うことができます (図 1 の左図を参照)。

図1 差別化されたSaaS（Security as a Service）モデルの定義の概略図

SaaS（セキュリティ・アズ・ア・サービス）モデルでは、セキュリティ・アズ・ア・サービスを正確かつ測定可能な区分にすることでのみ、さまざまなレベルやニーズを持つユーザーがセルフサービス・プラットフォームに基づいて自分のニーズに基づいて柔軟に選択できるようになります。実際のクラウド コンピューティング環境の展開プロセスでは、複数のセキュリティ サービスが、クラウド コンピューティング ネットワークの集約ノードまたはコア ノードに独立したリソース プールとして展開されます (図 2 の左上部分を参照)。セキュリティ サービスを選択したテナントの場合、特定の転送戦略またはルーティング構成を使用して、ユーザー トラフィックのこの部分がセキュリティ リソース プールを通過するように誘導し、ユーザー トラフィックが安全にチェックされるようにします。

図2 クラウドコンピューティング環境センターにおけるSaaS（Security as a Service）の展開

3. SaaS（Security as a Service）の技術サポート

SaaS (Security as a Service) モデルでは、セキュリティ機器とソフトウェアに次の技術サポートが必要です。

 仮想化技術サポート

SaaS (サービスとしてのセキュリティ) モデルでは、異なるテナントが異なるセキュリティ モデルを選択できます。現在、セキュリティ リソース プールを必要とするデバイスは、仮想化テクノロジを通じてユーザーベースの独自のセキュリティ サービスを提供できます。たとえば、ファイアウォール セキュリティ サービスのテナントの場合、送信中に異なるテナントのトラフィックを安全に分離するには、ファイアウォール上で仮想ファイアウォール テクノロジを有効にする必要があります。異なるテナント トラフィックは、異なる仮想ファイアウォール インスタンスに対応します。現時点では、各テナントは独自の仮想ファイアウォール インスタンスで独自のアクセス制御セキュリティ ポリシーを構成し、デバイスにすべてのセキュリティ イベントのログを記録し、ユーザー ベースのセキュリティ イベント分析レポートを作成するように要求できます。一方では、ユーザーのネットワーク セキュリティ ポリシーの調整に関する技術サポートを提供することができます。一方、セキュリティインシデントが発生した場合は、これらのログに基づいて事後セキュリティ監査を実施し、問題の原因を追跡することができます。 IPS や LB ロード バランシングなどの他のセキュリティ サービス タイプでも、デバイスにトラフィックを導入し、特定のビジネス処理を実行するために仮想化テクノロジが必要です。

 管理プラットフォームの技術サポート

クラウド コンピューティング サービス プロバイダーは、クラウド コンピューティング インフラストラクチャ リソース全体を管理および監視するための統合クラウド管理プラットフォームを構築する必要があります。 SaaS (Security as a Service) モデルの要件では、統合クラウド管理プラットフォームでは、セキュリティ管理機能の整合性とインターフェース API のオープン性を考慮する必要があります。前者の場合、管理プラットフォームは、すべてのセキュリティ リソース プール デバイスの集中デバイス管理、セキュリティ ポリシーの展開、ネットワーク全体のセキュリティ イベントの監視と分析、ユーザーベースのレポート表示の責任を負う必要があります。後者は、クラウドコンピューティング環境内に存在する可能性のあるさまざまな種類のセキュリティデバイスやマルチベンダーデバイスに適応することが考えられ、下流のセキュリティリソースプールデバイスの構成管理やログ形式の変換を実現するために、APIインターフェースの標準化とオープン性と統一性を要求することも必要です。この方法でのみ、デバイスと管理プラットフォームのシームレスな統合を実現し、クラウド管理プラットフォームの自動管理機能を強化できます。

結論

現在、中国ではクラウドコンピューティングの IaaS モデルはまだ開発の初期段階にあります。 SaaS (Security as a Service) モデルは、ユーザーのニーズをよりよく満たす完全な IaaS クラウド コンピューティング ソリューションを形成するために、提供されるセキュリティ サービスの種類、セキュリティ リソースの測定可能性、セキュリティ運用および保守管理機能のベースラインに関して、さらに調査と実践を行う必要があります。