ハイブリッドクラウドがハイブリッドセキュリティと同等であってはならない理由

ハイブリッドクラウドネットワークファブリックは、今日のエンタープライズネットワークにおける多くの課題を解決します。これにより、基盤となるデータセンター環境の上に抽象化された単一のネットワークアーキテクチャの作成が可能になります。また、フォールトトレランス、復元力、データセンター全体の「弾力性」サービス、および基盤となるネットワークベンダーに依存しないネットワークトポロジーも実現します。企業は複数の物理ネットワーク環境を管理できますが、それらすべてにまたがる単一のネットワーク ファブリックを作成できますか?

たとえば、企業は、AWS、Azure、GCP 上の複数のパブリック クラウド展開に加えて、デュアル データ センター (1 つはプライマリ、もう 1 つはディザスタ リカバリ用) を維持できます。これらのホスティング環境はそれぞれ、独自の特定のテクノロジーを使用して、多くの場合、異なるルーティングおよびスイッチングベンダーを使用して、独自の基盤となる物理ネットワークアーキテクチャを展開します。

しかし、ネットワーキング業界全体に ソフトウェア定義ネットワーキング(SDN) が出現したことで、今日の大多数のネットワーキングベンダーは独自の「クラウド」を構築できるようになりました。ネットワーク用語では、クラウドは本質的に仮想ネットワークであり、ネットワーク トポロジが物理トポロジの上に抽象化されている仮想ネットワークであり、多くの場合、「オーバーレイ ネットワーク」と呼ばれます。また、オーバーレイネットワークは基本的にトンネルの集合体であり、すべて中央のSDNコントローラによって管理されます。このクラウドは、すべてのマネージドホスティング環境にわたって単一の統合ネットワークファブリックを作成できます。

VXLANなどのトンネリングプロトコルを使用してオーバーレイネットワークトポロジを作成するため、トラフィックのパスは、基盤となる物理トポロジの展開方法ではなく、これらのトンネルの展開方法によって決定されます。すべてのネットワークベンダーは、これを可能にするSDNベースのアプローチを説明するために異なる用語を使用していますが、結局のところ、トンネルを使用して中央コントローラーによって自動化および管理されるオーバーレイネットワークを作成するという、基本的にはすべて同じことを行っています。

これらのベンダーの多くは、オーバーレイネットワークをオンプレミスのデータセンターからパブリッククラウドベンダーに拡張する機能を持っていますが、現実には、多くの企業はオーバーレイネットワークをオンプレミスのデータセンターにローカルにしか展開していません。

多くの企業は、オンプレミスの SDN ソリューションをパブリッククラウドに拡張する代わりに (たとえば、トンネリングされたネットワークトポロジを AWS や Azure に拡張する)、パブリッククラウドインスタンスにローカル管理環境を作成し、オンプレミスのデータセンターネットワークを管理する方法とは異なる方法でこれらのネットワークを管理しています。多くの場合、AWS の VPC や Azure の VNet など、各パブリック クラウド ベンダーですでに使用されているネットワーク アプローチを使用し、オンプレミスのデータセンターで SDN ソリューションを異なる方法で管理することを選択します。

その結果、「スイベルチェア」アプローチで管理されるハイブリッドクラウドネットワークの展開が実現しました。ネットワーク管理者は、オンプレミスのデータセンターの管理に使用されるツールと、パブリッククラウドネットワークの管理に使用されるその他のツールの間で椅子を前後に回転させます。ハイブリッドクラウドという用語は、多くの場合、単一の統合アーキテクチャを意味しますが、運用に関しては正確ではないことがよくあります。 

ハイブリッド環境のセキュリティ保護

ネットワーク管理に対するこの断片的なアプローチは、ハイブリッドクラウド全体のセキュリティに特に当てはまります。オンプレミスのデータセンターやパブリッククラウドの各環境でローカル管理のネットワークツールが使用されているのと同様に、セキュリティソリューションにも同じことが当てはまります。ほとんどの SDN ネットワーク ベンダーは、ローカルで管理された環境である程度のポリシー適用を可能にするために使用できる独自の基本的な統合セキュリティ ツールを持っています。また、主要なパブリッククラウドベンダーはすべて独自のセキュリティソリューションを持っており、基本的なレベルのポリシー適用も可能にしています。

しかし、残念ながら、これらのセキュリティツールはアーキテクチャ全体でサイロ化されています。各セキュリティソリューションは、サンドボックスで他のソリューションとうまく連携できず、すべてのセキュリティ侵害を関連付けることは面倒な作業であり、解決に大きな遅れが生じます。

さらに、オンプレミスのデータセンターとパブリッククラウドインスタンス間など、環境間でワークロードがライブマイグレーションされる場合、通常、ポリシーの適用はそのワークロードを目的地まで追跡しません。その結果、各環境のセキュリティツール間で何らかの方法でポリシーを転送するための手動アプローチが必要になったり、すべての環境から情報をフィードするためにSIEMソリューションに依存したりする必要があり、多くの事前スクリプト作業が必要になります。

運用が複雑なため、これらの手順は頻繁に行われず、その結果、ハイブリッドクラウド全体のセキュリティとワークロードの可視性に大きなギャップが生じます。

ハイブリッドクラウドの各ネットワーク環境にあるサイロ化されたネイティブセキュリティツールに頼ってワークロードのセキュリティを強化するのではなく、基盤となるネットワークツールから抽象化されたワークロードで直接セキュリティと可視性を適用してみてはいかがでしょうか。

オーバーレイネットワークが、基盤となるルーターやスイッチへの依存関係の上に抽象化されたトポロジーを作成するのと同様に、同じアプローチをセキュリティに適用してみてはいかがでしょうか。また、セキュリティは、基盤となるネットワーク ファブリックの依存関係から抽象化 (仮想化) し、ワークロードがホストされている場所やライフサイクル中にライブ移行する場所に関係なく、ワークロードで直接有効にする必要があります。オーバーレイネットワークがハイブリッドクラウドでのネットワークへの一貫したアプローチを可能にするのと同様に、セキュリティも同じように設計する必要があります。 

マイクロセグメンテーションがどのように役立つか

イルミオでは、ハイブリッドクラウド全体のすべてのワークロードにセキュリティ(マイクロセグメンテーション)を直接適用しています。マイクロセグメンテーションポリシーは、保護しようとしているエンティティにできるだけ近い場所で適用する必要があるため、仮想またはベアメタルのすべてのワークロードに軽量エージェントをデプロイします。

• このエージェントは、どのトラフィックにもインラインではありません。バックグラウンドに常駐し、ワークロード上でアプリケーションの動作を直接監視します。
• その後、情報は Policy Compute Engine (PCE) に送り返され、ホストされている場所やライブ移行するネットワーク環境に関係なく、すべてのワークロード間の動作を明確に可視化できます。基本的に、基盤となるネットワークの依存関係から抽象化されたセキュリティを仮想化します。
• 中央の PCE は、ワークロードが動的にライブ移行され、IP アドレスが変更されるアーキテクチャでは、IP アドレスに対するポリシーの定義はスケーリングされないため、単純なラベルを使用してセグメント化する必要があるものを定義します。 

PCE は仮想化されたセキュリティ アーキテクチャを作成する一方で、必要に応じてネットワーク層に「到達」し、オンプレミスのデータセンター内のハードウェア スイッチへのアクセス リストを構成することもできます。そのため、セキュリティはネットワーク上で仮想化され、抽象化されていますが、イルミオは1つの中央ポリシー運用モデルからワークロードと ネットワークセキュリティ の両方を適用できます。

データセンターやハイブリッドクラウドの基本的で不可欠なリソースをコンピューティング、ストレージ、ネットワークとして定義すると、これら3つのリソースはすべて、一般的に仮想化され、基盤となるリソースの上に抽象化されます。

4 番目の重要なデータセンター リソースはセキュリティであり、同様に仮想化され、基盤となるリソースの依存関係である必要があります。ハイブリッドクラウドはハイブリッドセキュリティと同等であってはなりません。セキュリティはネットワーククラウドファブリック全体にまたがる必要があり、ワークロードセキュリティは、すべてのネットワークファブリックにわたる1つの統合セキュリティ「ファブリック」として、ワークロードに直接適用する必要があります。セキュリティを仮想化することで、基盤となるネットワークアーキテクトはネットワークの優先順位に集中できるようになり、ワークロードのセキュリティは本来あるべき場所、つまりワークロードに直接配置されます。

このアプローチにより、 ハイブリッド クラウド環境全体のセキュリティ管理が容易になる方法の詳細をご覧ください。