見落としがちな、サーバ仮想化の次のステップ サーバ仮想化の次に取り組むこと、仮想マシンが無防備のままでは？

インターネットの境界部分でセキュリティを強化していても、内部は「スカスカ」という無防備なサーバネットワークが多い。しかし近年の脅威は、このような構成では素早く拡散してしまう。サーバを仮想化し、集約したら、次はネットワークを「内部から」も保護することが重要だ。どうすればシンプルに実現できるだろうか。

標的型攻撃やランサムウェアといったインターネット上の脅威が横行する現在、企業の規模を問わず、サイバーセキュリティ対策は必須だ。社員が利用する PC にウイルス対策ソフトウェアを導入するだけでなく、ファイアウォールをはじめとするセキュリティ機器を導入し、外部からの脅威の侵入防止に力を入れる企業がほとんどだろう。

しかし近年の脅威は、企業が何らかのセキュリティ対策を実施していることを前提に巧妙化している。水際での防御をすり抜けて被害を与えているのだ。残念ながらファイアウォールなどの境界防御は 100％ ではない。未知のマルウェアを添付してゲートウェイを通り抜けたり、業務に関連するような内容でユーザーをだまして不審な URL をクリックさせたりと、さまざまな手口で社内に侵入を果たしてしまう。この結果、社内のアカウント情報を盗み取られる、業務を担う重要なサーバにランサムウェアが拡散する、といった深刻な被害が生じている。

なぜサイバー犯罪を防ぐことができないのだろうか。インターネットの内外を分ける部分ではセキュリティを強化し、しっかり監視していても、内部は「スカスカ」というネットワーク構成が多いからだ。このため、脅威が一度壁を乗り越えてしまえば、後は自由に内部で拡散してしまう。「社内は安全だろう」という大半の企業の思い込みを、攻撃者が見越しているのだ。

従って根本的な対策を講じるには、不正な侵入があり得ることを前提にしなければならない。企業として本当に守らなければならない部分、つまり機密情報や個人情報を扱うシステム、止められない業務を担うアプリケーションが動くサーバなどを、外側からの攻撃だけでなく、内側に忍び込んだ脅威からも守る必要がある。従業員が使う PC と、サーバとをネットワーク上で分離し、サーバに対する適切なアクセスだけに絞ることが重要だ。

目に見えない膨大な運用負荷あり、VLAN と ACL に頼ったネットワーク分割

企業が守るべき「仮想サーバ群」をシンプルに保護するには？

これまで、サーバの仮想化という領域において、VMware のソリューションが果たしてきた役割は大きい。ハードウェア性能の向上もあって、別々に運用してきた数十台規模のサーバを仮想化し、数台程度の物理サーバに集約することでコストを削減するプロジェクトは、規模を問わず IT 担当者ならば身近だ。既に効果を上げている企業も少なくない。

VMware NSX は、そうしたサーバ仮想化プロジェクトと組み合わせて効果を発揮するソリューションだ。サーバを仮想化して集約するのはよい。だが、サーバがクライアントと同じセグメントに置かれたままで、不正アクセスの影響を受けては元も子もない。集約されているだけに被害が拡大する可能性すらある。

そこで VMware NSX では、物理ネットワークを「Software Defined」という形で簡素化し、その上でサーバセグメントを区切ってアクセスを制御する。仮想スイッチに加え、仮想ファイアウォール「NSX Edge」によって、社内ネットワークの中で「サーバセグメント」というネットワークを定義し、それに対するアクセス制御を行い、社内に侵入した脅威のアクセスから守る仕組みだ。

このような「分割」は、VLAN と ACL の組み合わせによっても実現できる。だが、前述の通り煩雑な設定、運用の手間が課題だった。これに対し VMware NSX ならば手間をかけることなく、「本当に守るべきところ、企業にとって大切なところを、シンプルな形で保護できる」（中本氏）

小規模環境でも役立つ VMware NSX

VMware のソリューションについて詳しい知識がある技術者は、「VMware NSX は、複数のデータセンターにまたがるネットワークを構築しているような、大規模システム向けの製品だ」という印象を持っているかもしれない。しかし実は、十数台の仮想マシンで構成されるような小規模環境でも役立つ。もっと言えば1 台のホストだけで運用している極小規模の環境で、手軽にサーバセグメントを保護する手段としても活用できるのだ。

しかもサーバ仮想化に慣れた技術者に扱いやすい。VMware NSX では「VMware vSphere」という共通のサーバ仮想化ソフトウェア基盤の上で、仮想マシンやグループといったオブジェクト単位で制御できる。どこにどのリソースがあり、どんなアクセスルールが設定されているかが分かりやすい。

VMware NSX の分かりやすさは、VLAN と ACL に基づくネットワーク運用と比較すると一目瞭然だ。VLAN と ACL では、MAC アドレスや IP アドレス単位で制御を行うが、残念ながらこれらのパラメータは直感的ではない。制御のためのルールを書く場合も、ルールに反するアクセスがあってアラートが発生した場合でも、「MAC アドレスだけでは具体的にどのマシンなのかが分からず、いちいちExcelファイルなどにまとめた台帳を参照しながら進めるしかなかった。しかも、その台帳の内容が古くて間違っていることも珍しくなかった」（萩原）

VMware NSX ではルールとマシンの関係を直感的に把握できる上、サーバの追加や変更があった場合でも、スイッチ 1 台 1 台に設定を投入して回る必要がない。この違いは大きい。設定漏れやトラブルの防止につながり、ネットワークセキュリティを確実に強化でき、運用コストの削減にもつながる。

運用コストの削減という意味では、ハードウェアアプライアンスではなくソフトウェアという形で提供されることもポイントだ。物理的なネットワーク機器では、故障が発生すると代替機を手配できるまで待つしかなかった。しかし NSX は、ほどほどのスペックのサーバが 1 台あれば動作し、リソースが少なくても縮退運転でサービスを継続できるため、トラブルに備えたコストを削減しつつ、冗長性、サービスレベルを確保できる。

なお、ここまでは、4 種類に分かれた VMware NSX のどのライセンスでも実現可能だが、もう少しきめ細かく制御したい場合は、上位ライセンスでサポートしている「分散ファイアウォール」といった機能で対応できる。

規模を問わず、見逃されがちなネットワーク内部の対策を少ない負荷で実現

サイバー攻撃といった脅威への対策が叫ばれる中、見逃されがちなネットワーク内部での対策。それを、サーバ仮想化というインフラと親和性ある形で、少ない負荷で実現するのが VMware NSX だ。

「VMware NSX によって、今まで分かれていたネットワークとサーバの管理、保守を 1 つにできる」（萩原）。その上で、「守りたいものは何かを考え、それを保護する」という課題を解決できる。あまりに多くの VLAN や ACL と格闘して運用に疲弊している環境、あるいは無理だと管理を諦めてしまった環境にとって、一考の価値のあるシンプルなソリューションと言えそうだ。

※このページは、@IT の2018年6月に掲載されたコンテンツを再構成したものです。
http://www.atmarkit.co.jp/ait/articles/1806/25/news005.html

• 1