お問い合わせ

記事

見落としがちな、サーバ仮想化の次のステップ サーバ仮想化の次に取り組むこと、仮想マシンが無防備のままでは?

  • マルチクラウド

インターネットの境界部分でセキュリティを強化していても、内部は「スカスカ」という無防備なサーバネットワークが多い。しかし近年の脅威は、このような構成では素早く拡散してしまう。サーバを仮想化し、集約したら、次はネットワークを「内部から」も保護することが重要だ。どうすればシンプルに実現できるだろうか。

標的型攻撃やランサムウェアといったインターネット上の脅威が横行する現在、企業の規模を問わず、サイバーセキュリティ対策は必須だ。社員が利用する PC にウイルス対策ソフトウェアを導入するだけでなく、ファイアウォールをはじめとするセキュリティ機器を導入し、外部からの脅威の侵入防止に力を入れる企業がほとんどだろう。

しかし近年の脅威は、企業が何らかのセキュリティ対策を実施していることを前提に巧妙化している。水際での防御をすり抜けて被害を与えているのだ。残念ながらファイアウォールなどの境界防御は 100% ではない。未知のマルウェアを添付してゲートウェイを通り抜けたり、業務に関連するような内容でユーザーをだまして不審な URL をクリックさせたりと、さまざまな手口で社内に侵入を果たしてしまう。この結果、社内のアカウント情報を盗み取られる、業務を担う重要なサーバにランサムウェアが拡散する、といった深刻な被害が生じている。

なぜサイバー犯罪を防ぐことができないのだろうか。インターネットの内外を分ける部分ではセキュリティを強化し、しっかり監視していても、内部は「スカスカ」というネットワーク構成が多いからだ。このため、脅威が一度壁を乗り越えてしまえば、後は自由に内部で拡散してしまう。「社内は安全だろう」という大半の企業の思い込みを、攻撃者が見越しているのだ。

従って根本的な対策を講じるには、不正な侵入があり得ることを前提にしなければならない。企業として本当に守らなければならない部分、つまり機密情報や個人情報を扱うシステム、止められない業務を担うアプリケーションが動くサーバなどを、外側からの攻撃だけでなく、内側に忍び込んだ脅威からも守る必要がある。従業員が使う PC と、サーバとをネットワーク上で分離し、サーバに対する適切なアクセスだけに絞ることが重要だ。

目に見えない膨大な運用負荷あり、VLAN と ACL に頼ったネットワーク分割

中本滋之氏
ヴイエムウェア株式会社
パートナー SE 本部 パートナー SE 部 シニアシステムズエンジニア
中本滋之氏
萩原隆博
SB C&S株式会社
ICT 事業本部 MD 本部 技術統括部 第 3 技術部 1 課
萩原隆博(VMware vExpert)

だが、「言うはやすし」のことわざではないが、ネットワークを分割し、適切に運用するのは多大な運用コストがかかる。作業も煩雑なのだ。ネットワーク分割を実現するには、導入済みのレイヤー 3 スイッチ上で VLAN(仮想 LAN )や ACL(アクセス制御リスト)を設定するのが最も手っ取り早い。だが相応の知識が必要だ。サーバも PC も、社内の IT の面倒を全て少人数で見なければならない中堅規模の企業にとっては、「ネットワーク機器には詳しくないから」といった理由で放置されがちだ。かといって、わざわざ内部ネットワークの制御のためだけに専用機器を導入するのは、コストがかさみすぎる。

「社内ネットワークを VLAN で分割するのはネットワーク設計のセオリーだが、運用には目に見えない大きなコストがかかっている。時には数千行にも上る ACL をメンテナンスし、ミスがないか検証するのは、多くの手間とコストがかかる作業だ」と、ヴイエムウェア パートナー SE 本部 パートナーSE 部 シニアシステムズエンジニアの中本滋之氏は指摘する。

しかも、システムやネットワークは常に変化する。サーバが増えたり、部署に変更が生じたりするたびに VLAN を追加し、ACL を変更し、各スイッチに設定を投入する作業は容易ではない。ただでさえ細かく ACL を設定する作業は負荷が高い上に、不用意に設定を変更すると権限のあるユーザーがサーバにアクセスできなくなるといったトラブルが生じ、業務に支障を与える恐れもある。

長年にわたってさまざまな企業ネットワーク運用の現場を目の当たりにしてきた SB C&S ICT 事業本部 MD 本部 技術統括部 第 3 技術部 1 課の萩原隆博(VMware vExpert)は、負担の高さを強調する。「企業システムの環境はどんどん変わるし、担当者も変わる。その中で、何年も引き継がれてきた ACL は膨大なものになり、頑張って読み解こうにも何がどの設定か分からなかったり、テストが大変になったりしている」(萩原氏)。負荷が大きすぎて、「もう面倒だから」と運用を諦めてしまうケースまであるという。

だからといって、ACL の運用を諦め、内部ネットワークを素通しにしておく対応では別の問題が起こる。いったん入り込んだ脅威を自由に動き回らせないための内部セキュリティがおろそかになる。そこで考えたいのが、仮想ネットワークをたやすく実現する「VMware NSX」を用いたサーバセグメントの分割と保護だ。

企業が守るべき「仮想サーバ群」をシンプルに保護するには?

これまで、サーバの仮想化という領域において、VMware のソリューションが果たしてきた役割は大きい。ハードウェア性能の向上もあって、別々に運用してきた数十台規模のサーバを仮想化し、数台程度の物理サーバに集約することでコストを削減するプロジェクトは、規模を問わず IT 担当者ならば身近だ。既に効果を上げている企業も少なくない。

VMware NSX は、そうしたサーバ仮想化プロジェクトと組み合わせて効果を発揮するソリューションだ。サーバを仮想化して集約するのはよい。だが、サーバがクライアントと同じセグメントに置かれたままで、不正アクセスの影響を受けては元も子もない。集約されているだけに被害が拡大する可能性すらある。

そこで VMware NSX では、物理ネットワークを「Software Defined」という形で簡素化し、その上でサーバセグメントを区切ってアクセスを制御する。仮想スイッチに加え、仮想ファイアウォール「NSX Edge」によって、社内ネットワークの中で「サーバセグメント」というネットワークを定義し、それに対するアクセス制御を行い、社内に侵入した脅威のアクセスから守る仕組みだ。

このような「分割」は、VLAN と ACL の組み合わせによっても実現できる。だが、前述の通り煩雑な設定、運用の手間が課題だった。これに対し VMware NSX ならば手間をかけることなく、「本当に守るべきところ、企業にとって大切なところを、シンプルな形で保護できる」(中本氏)

小規模環境でも役立つ VMware NSX

VMware のソリューションについて詳しい知識がある技術者は、「VMware NSX は、複数のデータセンターにまたがるネットワークを構築しているような、大規模システム向けの製品だ」という印象を持っているかもしれない。しかし実は、十数台の仮想マシンで構成されるような小規模環境でも役立つ。もっと言えば1 台のホストだけで運用している極小規模の環境で、手軽にサーバセグメントを保護する手段としても活用できるのだ。

しかもサーバ仮想化に慣れた技術者に扱いやすい。VMware NSX では「VMware vSphere」という共通のサーバ仮想化ソフトウェア基盤の上で、仮想マシンやグループといったオブジェクト単位で制御できる。どこにどのリソースがあり、どんなアクセスルールが設定されているかが分かりやすい。

VMware NSX の分かりやすさは、VLAN と ACL に基づくネットワーク運用と比較すると一目瞭然だ。VLAN と ACL では、MAC アドレスや IP アドレス単位で制御を行うが、残念ながらこれらのパラメータは直感的ではない。制御のためのルールを書く場合も、ルールに反するアクセスがあってアラートが発生した場合でも、「MAC アドレスだけでは具体的にどのマシンなのかが分からず、いちいちExcelファイルなどにまとめた台帳を参照しながら進めるしかなかった。しかも、その台帳の内容が古くて間違っていることも珍しくなかった」(萩原)

VMware NSX ではルールとマシンの関係を直感的に把握できる上、サーバの追加や変更があった場合でも、スイッチ 1 台 1 台に設定を投入して回る必要がない。この違いは大きい。設定漏れやトラブルの防止につながり、ネットワークセキュリティを確実に強化でき、運用コストの削減にもつながる。

運用コストの削減という意味では、ハードウェアアプライアンスではなくソフトウェアという形で提供されることもポイントだ。物理的なネットワーク機器では、故障が発生すると代替機を手配できるまで待つしかなかった。しかし NSX は、ほどほどのスペックのサーバが 1 台あれば動作し、リソースが少なくても縮退運転でサービスを継続できるため、トラブルに備えたコストを削減しつつ、冗長性、サービスレベルを確保できる。

なお、ここまでは、4 種類に分かれた VMware NSX のどのライセンスでも実現可能だが、もう少しきめ細かく制御したい場合は、上位ライセンスでサポートしている「分散ファイアウォール」といった機能で対応できる。

規模を問わず、見逃されがちなネットワーク内部の対策を少ない負荷で実現

サイバー攻撃といった脅威への対策が叫ばれる中、見逃されがちなネットワーク内部での対策。それを、サーバ仮想化というインフラと親和性ある形で、少ない負荷で実現するのが VMware NSX だ。

「VMware NSX によって、今まで分かれていたネットワークとサーバの管理、保守を 1 つにできる」(萩原)。その上で、「守りたいものは何かを考え、それを保護する」という課題を解決できる。あまりに多くの VLAN や ACL と格闘して運用に疲弊している環境、あるいは無理だと管理を諦めてしまった環境にとって、一考の価値のあるシンプルなソリューションと言えそうだ。

※このページは、@IT の2018年6月に掲載されたコンテンツを再構成したものです。
http://www.atmarkit.co.jp/ait/articles/1806/25/news005.html

関連情報
さらに表示する

VMware製品、販売についての資料・お問い合わせ VMware製品、販売パートナー制度に関するお問い合わせを受け付けております。お気軽にご相談ください。