.png)
ハイブリッドクラウドがハイブリッドセキュリティと同等であってはならない理由
ハイブリッドクラウドネットワークファブリックは、今日のエンタープライズネットワークにおける多くの課題を解決します。これにより、基盤となるデータセンター環境よりも抽象化された単一のネットワークアーキテクチャを構築できます。また、フォールトトレランス、耐障害性、データセンター全体の「伸縮自在な」サービス、基盤となるネットワークベンダーに依存しないネットワークトポロジーも可能になります。企業は複数の物理ネットワーク環境を管理しているかもしれませんが、それらすべてにまたがる単一のネットワークファブリックを構築することはできるでしょうか。
たとえば、企業は、AWS、Azure、GCP に複数のパブリッククラウドをデプロイすることに加えて、2 つのデータセンター (1 つはプライマリ、もう 1 つは災害復旧用) を維持できます。これらのホスティング環境はそれぞれ、独自のテクノロジーを使用して、基盤となる物理ネットワークアーキテクチャをデプロイします。多くの場合、ルーティングやスイッチングのベンダーは異なります。
しかし、の出現により ソフトウェア定義ネットワーク (SDN) ネットワーク業界全体で、今日のネットワークベンダーの大多数は独自の「クラウド」を構築できます。ネットワーク用語で言えば、クラウドは本質的には仮想ネットワークであり、ネットワークトポロジーが物理トポロジーの上に抽象化され、しばしば「オーバーレイネットワーク」と呼ばれます。また、オーバーレイネットワークは本質的にはトンネルの集まりであり、すべて中央の SDN コントローラーによって管理されます。このクラウドにより、すべてのマネージドホスティング環境にまたがる単一の統合ネットワークファブリックを構築できます。
VXLANなどのトンネリングプロトコルを使用してオーバーレイネットワークトポロジを作成します。そのため、トラフィックのパスは、基盤となる物理トポロジの展開方法ではなく、これらのトンネルの展開方法によって決まります。すべてのネットワークベンダーは、SDNベースのアプローチを説明するために異なる用語を使用していますが、結局のところ、基本的にすべて同じことを行っています。つまり、トンネルを使用して、中央コントローラーによって自動化および管理されるオーバーレイネットワークを構築することです。
これらのベンダーの多くは、オーバーレイネットワークをオンプレミスのデータセンターからパブリッククラウドベンダーに拡張できますが、現実には、多くの企業はオンプレミスのデータセンターにローカルにのみオーバーレイネットワークを展開しています。
多くの企業は、オンプレミスのSDNソリューションをパブリッククラウドに拡張する代わりに(たとえば、トンネルネットワークトポロジをAWSやAzureに拡張する)、パブリッククラウドインスタンスにローカル管理環境を作成し、これらのネットワークをオンプレミスのデータセンターネットワークを管理する方法とは異なる方法で管理しています。多くの場合、AWSのVPCやAzureのVNetなど、各パブリッククラウドベンダーですでに使用されているネットワーキングアプローチを使用し、オンプレミスのデータセンターでSDNソリューションを異なる方法で管理することを選択します。
その結果、「スイベルチェア」アプローチで管理されるハイブリッドクラウドネットワークの導入が実現しました。ネットワーク管理者は、オンプレミスのデータセンターの管理に使用するツールと、パブリッククラウドネットワークの管理に使用する他のツールの間を行ったり来たりします。ハイブリッドクラウドという用語は、多くの場合、単一の統合アーキテクチャを意味しますが、運用に関しては正確ではないことがよくあります。
ハイブリッド環境の保護
ネットワーク管理に対するこの断片的なアプローチは、ハイブリッドクラウド全体のセキュリティに特に当てはまります。ローカルで管理されたネットワークツールがオンプレミスのデータセンターとパブリッククラウドの各環境で使用されているのと同じように、セキュリティソリューションにも同じことが言えます。ほとんどの SDN ネットワークベンダーは、ローカルで管理された環境にある程度のポリシー適用を可能にするために使用できる独自の基本的な統合セキュリティツールを用意しています。また、主要なパブリッククラウドベンダーはすべて独自のセキュリティソリューションを備えているため、基本的なレベルのポリシー適用も可能です。
しかし、残念なことに、これらのセキュリティツールはアーキテクチャ全体でサイロ化されています。各セキュリティソリューションは、サンドボックスでは他のセキュリティソリューションとうまく機能せず、すべてのセキュリティ侵害を関連付けるのは面倒な作業であり、解決に大きな遅延をもたらします。
さらに、オンプレミスのデータセンターとパブリッククラウドインスタンスの間など、環境間でワークロードがライブマイグレーションされた場合、ポリシー施行者は通常、そのワークロードを移行先まで引き継ぐことはありません。その結果、各環境のセキュリティツール間で何らかの方法でポリシーを移行するための手動アプローチや、すべての環境からの情報を供給するSIEMソリューションに依存する必要が生じ、事前に大量のスクリプト作成作業が必要になります。
運用が複雑なため、これらの手順は実行されないことが多く、その結果、ハイブリッドクラウド全体でセキュリティとワークロードの可視性に大きなギャップが生じます。
ハイブリッドクラウドの各ネットワーク環境にあるサイロ化されたネイティブなセキュリティツールに頼ってワークロードのセキュリティを強化するのではなく、基盤となるネットワークツールから抽象化されたワークロードにセキュリティと可視性を直接適用してみませんか?
オーバーレイネットワークが、基盤となるルーターやスイッチへの依存関係を抽象化したトポロジーを作成する方法と同様に、セキュリティにも同じアプローチを適用してみませんか?また、セキュリティは基盤となるネットワーク・ファブリックの依存関係から抽象化 (仮想化) され、ワークロードがホストされている場所や、ライフサイクル中のライブマイグレーション先に関係なく、ワークロードで直接有効にする必要があります。オーバーレイネットワークによってハイブリッドクラウドにおけるネットワークへの一貫したアプローチが可能になるのと同様に、セキュリティも同じ方法で設計する必要があります。
マイクロセグメンテーションがどのように役立つか
イルミオでは、ハイブリッドクラウド全体のすべてのワークロードにセキュリティ(マイクロセグメンテーション)を直接適用しています。マイクロセグメンテーションポリシーは、保護しようとしているエンティティのできるだけ近くに適用する必要があるため、仮想またはベアメタルを問わず、すべてのワークロードに軽量なエージェントを導入しています。
- このエージェントはどのトラフィックにもインラインではありません。単にバックグラウンドに常駐し、ワークロード上でアプリケーションの動作を直接監視しているだけです。
- その後、情報はに送り返されます ポリシーコンピュートエンジン (PCE) を使用すると、ホストされている場所や移行先のネットワーク環境に関係なく、すべてのワークロード間の動作を明確に可視化できます。基本的に、私たちは基盤となるネットワークの依存関係から切り離されたセキュリティを仮想化します。
- ワークロードが動的にライブマイグレーションされ、IPアドレスが変化するアーキテクチャでは、IPアドレスに対するポリシーの定義は拡張できないため、中央PCEは単純なラベルを使用してセグメント化する必要があるものを定義します。
PCEは仮想化されたセキュリティアーキテクチャを構築する一方で、必要に応じてネットワーク層に「アクセス」して、オンプレミスデータセンターのハードウェアスイッチへのアクセスリストを設定することもできます。そのため、セキュリティはネットワーク上で仮想化、抽象化される一方で、Illumio はワークロードと Illumio の両方を適用できます。 ネットワークセキュリティ 1つの中央政策運営モデルから。
データセンターやハイブリッドクラウドの基本的な必須リソースをコンピューティング、ストレージ、ネットワークと定義すると、これら3つのリソースはすべて、基盤となるリソースよりも先に仮想化および抽象化されるのが一般的です。
データセンターの 4 番目に重要なリソースはセキュリティであり、同様に仮想化とその基盤となるリソースの依存関係も必要です。ハイブリッドクラウドはハイブリッドセキュリティと同等であってはなりません。セキュリティはネットワーク・クラウド・ファブリック全体に及ぶべきであり、ワークロード・セキュリティはすべてのネットワーク・ファブリックにわたる1つの統合セキュリティ「ファブリック」としてワークロードに直接適用されるべきである。セキュリティを仮想化することで、基盤となるネットワーク設計者はネットワークの優先事項に集中できるようになり、ワークロードのセキュリティが本来あるべき場所、つまりワークロードに直接適用されるようになります。
このアプローチにより、次のことがいかに簡単になるかについて詳しくは、こちらをご覧ください。 ハイブリッドクラウド環境全体のセキュリティを管理。
.webp)