ソフトウェア定義インフラストラクチャのセキュリティの確保

仮想マシン、仮想ネットワークに新たな仲間、仮想セキュリティというものが加わりました。領域を物理的に定義していた時代には、境界のセキュリティは意味のあるものでした。ただし、コンピューティング、ネットワーク、ストレージインフラストラクチャがソフトウェア定義環境に移行する中、セキュリティも新たな環境に合わせて進化する必要が生じてきました。

複数の仮想マシンで個別のアプリケーションやデータベースを実行することで発生する複数のフローは、境界防御や物理的なセキュリティアプライアンスだけではセキュリティを確保することが困難です。ポリシーの作成や管理が非常に難しくなり、ワークロードやデータが異なるクラウドまたはデータセンターに分散されている場合は特に困難になります。スタッフは認証、イベント、コンプライアンスに関する問題を区別しなければならないため、新しいアプリケーションの導入は以前よりも時間がかかるようになりました。そしてフローが接近していることで、攻撃環境における新たな脆弱性が誘発されます。

そこでIntel Security Controller(ISC)の導入をお勧めします。ISCはハイパーバイザのように、セキュリティ機能の抽象化と制御を行います。物理的なセキュリティアプリケーションで複数の仮想フローをリアルタイムに差別化し、保護するのではなく、特定のサービスやポリシーを重点的に扱う、分散された仮想セキュリティアプライアンスで仮想ワークロードを保護します。これによって新しいアプリケーションやサービスの導入に要するコストと時間が大幅に削減できます。

VMWare、Cisco、OpenStack、OpenDaylightのいずれを使用する場合でも、アプリケーション、ネットワークセグメント、その他の仮想インフラストラクチャの導入や規模拡大/縮小は、はるかに簡略化できるようになりました。ISCは環境内に導入した仮想センサーを使って状況を把握し、それをセキュリティマネージャに報告し、データ分析や適切な対策のアドバイスを行います。通常、各仮想マシンに個別に設定、統合するには時間がかかりますが、ISCのセンサーは、その必要はなく、動的かつ自動的に導入されます。

McAfee Network Security PlatformNext Generation Firewallによるインテリジェントでハイパフォーマンスなセキュリティエンジンによりセキュリティ機能が実現します。その結果、物理、仮想両方のインフラストラクチャで、一貫性の高いポリシー、保護、セキュリティ強化が可能になります。これによりセキュリティはサービスとアプリケーションで使用できるもう1つのリソースプールとなり、各ワークロードに統合しなくても、各ワークロードに固有の要件を満たすことができます。規模拡大/縮小もシンプルです。セキュリティパフォーマンスを向上したい場合は、コンピューティング能力やストレージの場合と同様に、リソースプールのサイズを拡大するだけでよいのです。

ソフトウェア定義インフラストラクチャでは、セキュリティに対して新しいアプローチが必要です。その多様な用途に対しては、ソフトウェア定義セキュリティのアジリティ、ユビキタス性、効率性で対応する必要があります。Intel Security Controllerは物理と仮想、両方のセキュリティを組み合わせ、このような新たな課題に対応できるソリューションです。

※本ページの内容は McAfee Blog の抄訳です。

原文: Securing the Software-Defined Infrastructure

著者:Rishi Bhargava( Vice President and General Manager of the Software Defined Datacenter Group)