2010年02月09日 07時30分 UPDATE
特集/連載

物理環境にはない注意点サーバ仮想化のセキュリティで注意すべき4つのポイント

仮想化プロジェクトを進めるに当たって、セキュリティをスムーズに統合するために注意すべき4つの重要なポイントを紹介する。

[Joel Snyder,TechTarget]

 わたしはここ数年、仮想化および仮想サーバ環境について詳しく研究してきたこともあり、データセンターに仮想サーバファームを配備しようとする顧客企業がサーバ仮想化のセキュリティをめぐって混乱するのを見ると、つい驚いてしまう。仮想化によって根本的に何かが変わるわけではないからだ。

 アクセスコントロールをめぐる問題は従来と同じだし、システムも従来と同じものを使用するのだ。仮想環境を配備したところで、既存の物理環境と何かが根本的に変わるわけではない。これまで重要だったものは依然として重要なのだ。

 もちろん、基本的に同じだというのは、細かいところまで同じだという意味ではない。例えば、従来のセキュリティ機能(特に侵入検知・防止機能)は、仮想環境では扱いが難しくなる。LANスイッチから40〜50本のパッチコードを取り外し、それを仮想スイッチに変換して複数の仮想ホストに分割した場合、IDS(侵入検知システム)やインラインIPS(侵入防御システム)を接続する個所を見つけるのは容易ではない。

 仮想化環境におけるもう1つのセキュリティ問題は、物理的場所の予測が付かなくなることだ。データセンター内で、あるいは複数のデータセンターにまたがって仮想化を導入した場合、その時々にどの物理ホストあるいは特定の仮想マシンが動作しようとしているのか分からない。物理世界では、個々のイーサネットポートをトランク接続されたVLANと交換することになる。言い換えれば、特定のラックにどのシステムが置かれているかではなく、特定のVLANあるいはサブネット上でどの機能が動作しているかに主眼を置いてセキュリティトポロジーを再設計する必要があるかもしれないということだ。

 それと同時に、パフォーマンスと管理をめぐる問題にも対処する必要がある。多数の物理システムが存在したときは、安価な小型のファイアウォールを多数購入するだけで負荷を分散できた。各ファイアウォールは少数のシステムをカバーするだけなので、ポリシーを定義するのも簡単だった。しかし大規模な仮想化クラスタでは、それぞれ大量の負荷を処理する能力を備えた少数の大規模デバイスに多数のファイアウォールを組み込む必要がある。さらに厄介な問題は、大抵のファイアウォールでは大規模なマルチゾーンポリシーを管理する機能が貧弱だということだ。筆者と10年来の付き合いがあるファイアウォールベンダーの場合も、その多くが仮想化トポロジーに対応することができず、ポリシーの定義では顧客を混乱させている。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news018.jpg

サイバーエージェントがDDTプロレスリングを買収
サイバーエージェントは、DDTプロレスリングの発行済み株式の全株式を取得したことを発表...

news069.png

Twitter投稿を基に番組視聴者のペルソナを可視化、データセクションのテレビ番組口コミ分析サービスに新機能
データセクションは、テレビ番組口コミ分析サービス「TV Insight」において、ソーシャル...

news058.jpg

アプリ利用者を特定してアンケート調査、「App Ape」と「TesTee」が連携
フラーは、リサーチツールの提供を行うテスティーと共同で、アプリ所持ユーザーや休眠ユ...