NetApp Tech OnTap
     

セキュア・マルチテナンシー(SMT)に
「S(セキュリティ)」を追加

NetApp、Cisco、VMwareによるマルチテナント環境のセキュリティ強化

お客様の導入環境が大規模な仮想環境かプライベートクラウドか、あるいはパブリッククラウドかを問わず、セキュリティは難しい課題です。Cisco、NetApp、VMwareの3社は、セキュリティが共有インフラにとって重要な問題であることを認識し、この問題に数年前から共同で取り組んできました。

3社共同のセキュア・マルチテナンシー(SMT)ソリューションについては、以前のTech OnTap®の記事でお読みになったかもしれません。2010年1月には、CiscoのChris Naddeo氏から、同社のQuality of Service(QoS;サービス品質)機能について詳細な記事が寄せられています。その数カ月後には、3社によるクラウド環境向けの、第1世代SMTソリューションを紹介する記事も取り上げられました。このソリューションは詳細なCisco® Validated Design(CVD)に準じたものです。ところが、こうした記事のいずれにも、SMTのセキュリティ機能については詳しく取り上げられておりません。

このたび最初のリリースから1年を待たずして、3社ではSMTの改良バージョンを開発しました。このバージョンでは導入時の柔軟性が向上し、機能とセキュリティがさらに強化された設計になっています(英語)。本稿では、3社のセキュア・マルチテナンシー拡張設計のセキュリティ・アーキテクチャについて解説します。このSMT拡張設計には、基本となる複数のコンポーネントにオプションのコンポーネントを追加する構成が採用されているため、個々のセキュリティ要件に合わせて環境を柔軟にカスタマイズできます。これらのコンポーネントの詳細については本稿で後述します。

SMTセキュリティについて

最初のSMT設計では以下の4つのポイントに重点が置かれました。

  • 可用性
  • セキュアな分離
  • サービス保証
  • サービス管理

今回のSMT拡張アーキテクチャでも、引き続きこの4つのポイントに焦点が当てられています。初回リリースと比べて4つの要素すべてで大幅に機能が向上していますが、(英語)ここでは特に、マルチテナント環境のセキュアな分離について説明します。3社にとってマルチテナント環境とは、インフラがテナント間で共有されている環境を意味し、テナントとは、それぞれの顧客や異なるビジネスユニット、部門、アプリケーションなど、セキュアな分離が必要なエンティティと定義できます。

拡張SMTでセキュアに分離されたコンポーネントが提供するサービス

図1)拡張SMTでセキュアに分離されたコンポーネントが提供するサービス

セキュアな分離によって、各テナントは、仮想マシン(VM)やネットワーク、ストレージといった別のテナントのリソースにアクセスすることができなくなります。テナントはそれぞれ、他のどのテナントからも安全に分離されなければなりません。

SMT拡張アーキテクチャでは、1つのテナントが他のテナントのデータにアクセスできなくなるだけでなく、共有インフラの管理機能へもアクセスできなくなります。3社による第2世代のSMT実装では、コンピューティング、ネットワーク、ストレージの各レイヤで完全な分離を実現できるという大きな技術革新が、セキュアな分離にもたらされました。他社のソリューションでは、インフラ内に遮断されたポケットを提供することしかできず、エンドツーエンドのテナント分離は実現できません。

今回のアーキテクチャでは、セキュリティ上の大原則として以下を実現しています。

  • 分離:マルチテナント・データセンターにセキュリティの基盤を提供します。設計目的によっては、ファイアウォールやアクセスリスト、VLAN、仮想化、ストレージ、物理的な分離を利用して分離を実現する場合もあります。これらの機能を組み合わせることで、個々のテナント内のアプリケーションやサービスに合わせて、適切なレベルのセキュリティを提供できます。
     
  • ポリシーの適用とアクセス制御:マルチテナント環境では、アクセス制御の実施とポリシーの適用に当たって入念な検討が必要です。アーキテクチャの各レイヤに実装されているデバイスやアプライアンスの機能を活用することで、複雑なポリシーやさまざまなレベルのアクセス制御を作成し、各テナント内のセキュアな分離を強化することができます。
     
  • 可視性:共有インフラは、拡張によって新しい仮想マシンやサービスに対応する、柔軟性に優れた方法となりつつあります。サーバ仮想化やVMotion™などのテクノロジによって、新しいサーバを導入したり、物理的な環境間でサーバを移動したりする際に、手動での介入がほとんど不要になっています。そのため、マシンの移動時やトラフィックパターンの変更時に、セキュリティ管理者が脅威を徹底的に監視することが課題となる場合があります。このアーキテクチャでは、ネットワークの各レイヤに実装されている脅威の検出と軽減機能を活用して、アラームやデータ、イベント情報を収集します。収集した情報は動的な分析と関連付けを行って脅威の原因を特定し、さらに攻撃パスを可視化して対応策を提示します。オプションで対応策を実行することも可能です。
     
  • 耐障害性:「耐障害性」とは、マルチテナント環境内のエンドポイント、インフラ、アプリケーションが保護されており、サービス停止やデータ漏洩、不正アクセスを引き起こす可能性のある攻撃に抵抗できる、という意味です。インフラを適切に強化したり、アプリケーションに復元力を持たせたり、ファイアウォールを実装したりといった方法も、望ましいレベルの耐障害性を実現する上で必要な手段です。

このアーキテクチャに含まれるネットワーク、コンピューティング、ストレージ、管理コンポーネントが提供する各機能は、すべてが統合されることでセキュアな分離を保証するフレームワークを形成しています。図2に、この設計に採用されているセキュリティ・アーキテクチャを示します。ソリューションの機能領域やコンポーネント、各コンポーネントに対応するセキュリティ機能が目立つように図示しました。

SMT拡張アーキテクチャ・フレームワーク

図2)SMT拡張アーキテクチャ・フレームワーク

SMT拡張ソリューションは、共有環境に見られるさまざまなトラフィックパターンに対応します。トラフィックフローは、イースト / ウェストとノース / サウスの2つの異なるカテゴリに論理的に分類できます。一般的なケースでは、イースト / ウェストのトラフィックにはVMware® vShieldでセキュリティを提供し、ノース / サウストラフィックにはCiscoのセキュリティサービスを組み合わせて、必要なレベルのセキュリティを提供します。VMwareとCiscoのコンポーネントについては、詳細を後述します。

「イースト / ウェスト」と「ノース / サウス」のトラフィックに対するセキュリティ

図3)「イースト / ウェスト」と「ノース / サウス」のトラフィックに対するセキュリティ

ノース / サウス・トラフィック・フローは、SMTインフラに対する入力もしくは出力トラフィックで、実際には通常、クライアントとサーバ間のトラフィックとなります。このトラフィックはデータセンターを横断して伝送され、伝送中にファイアウォールや負荷分散、侵入検知、ネットワーク分析デバイスといったさまざまなサービスの適用を受けます。マルチテナント環境では、テナント間のトラフィックも、共有インフラのネットワークサービス経由で伝送される場合があります。これによって各テナントのポリシーがすべてのテナントに一様に適用されるため、これは最適な機能と言えます。入出力トラフィックフローにデータセンターのセキュリティサービスを適用するかどうかは、アプリケーション個々の要件と企業の全般的なセキュリティポリシーによって決まります。

ここで、アーキテクチャの柔軟性に注目してください。このアーキテクチャには、後述の「拡張SMTのセキュリティオプション」で紹介するセキュリティ機能を、セキュリティ・アーキテクトが好きなように組み合わせてセキュリティサービスを構築できる柔軟性が備わっています。私たちはこの柔軟性を「精密な防御壁」と呼んでいます。

イースト / ウェストトラフィックとは、データセンター内で行われるサーバ間通信のことです。セキュアなサーバ間通信は、アプリケーションベースの要件である場合もあれば、企業ベースの要件である場合もあります。一般に、エンタープライズクラスのアプリケーションでは、単一のサーバインスタンスで提供できる以上の高い可用性、拡張性、処理能力が求められます。アプリケーション開発者はこの問題に対処するために、専用のサーバロールを使用します。ロールはそれぞれ機能が限定され、他のサーバに依存します。仮想マシンはこのアプリケーションモデルに完全に対応します。SMTでは、仮想マシン同士のサーバ間フローが単一のテナントコンテナ内やテナント間で発生することがあります。

仮想データセンター内のイースト / ウェスト・トラフィック・パターンを最適化するために、vShieldなどの仮想ファイアウォール・アプライアンスを使用して、仮想マシン間にセキュアな接続を提供することを推奨します。このサービスによって、テナント内通信でもテナント間通信でもセキュアなサポートが可能になります。たとえば仮想マシンが、インフラを共有しているテナント内にあるActive Directoryなどのインフラサービスにアクセスしなければならない場合、仮想ファイアウォールを利用すればセキュアな接続を提供できます。

拡張SMTの基本コンポーネント

SMTに使用される基本インフラは次のとおりです。

  • Cisco Nexus®データセンタースイッチ
  • Cisco Unified Computing System™(Cisco UCS)
  • Cisco Nexus 1000V分散仮想スイッチ
  • NetApp®ストレージ
  • VMware vSphere™
  • VMware vCenter™ Server

SMTに必要なインフラは、先日発表されたFlexPod™アーキテクチャと基本的に同じです。FlexPodについては、Tech OnTap今月号の関連記事で紹介しています。FlexPodは拡張SMT導入に向けたエントリポイントとして最適ですが、デフォルト構成ではSMT機能を提供できません。

拡張SMTソリューションでは基盤として、基本のインフラコンポーネントにいくつかコンポーネントを追加する必要があります。

VMware vShieldファミリーはセキュリティ・ソリューションとして仮想マシン対応の保護機能を仮想データセンターとクラウド環境に提供し、アプリケーションとデータのセキュリティ強化、可視性と制御機能の向上、ITのコンプライアンス対策の迅速化を可能にします。vShieldファミリーには以下のものが含まれます。

  • vShield Edgeは、ネットワークエッジのセキュリティとサービスを提供し、ポートグループに含まれる仮想マシンを外部ネットワークから分離します。vShield Edgeは、分離したテナントのスタブネットワークを共有(アップリンク)ネットワークに接続し、DHCPやVPN、NATといった一般的な境界セキュリティサービスを提供します。
     
  • vShield Appは、すべての仮想ネットワークアダプタにファイアウォール・フィルタを設定することで、仮想マシン間にファイアウォール機能を提供します。ファイアウォール・フィルタは透過的に機能するので、セキュリティゾーンを作成するためにネットワークやIPアドレスを変更する必要はありません。ルールの作成時には、データセンターやクラスタ、リソースプール、vApp、ネットワーク・オブジェクト(ポートグループ、VLAN)といったvCenterのグループ化機能を利用してファイアウォールルールの数を減らし、ルールの追跡を容易にします。
     
  • VMware vShield Zonesは、集中管理されたステートフルな分散型の仮想ファイアウォールです。vSphere 4.1にバンドルされており、ESXiホストの近接性と仮想ネットワークの可視化を利用してセキュリティゾーンを構築します。vShield ZonesではVMwareのさまざまな論理コンテナを利用することにより、マルチテナント環境のセキュリティ保護に必要なルールの数を大幅に減らすことができます。その結果、テナント間やアプリケーション間の分離とセグメント化に伴う運用負荷が軽減されます。この新たなセキュリティポリシー作成方法では、ポリシーとVMwareの仮想マシンオブジェクトとが密接に結び付くため、VMotion実行時にポリシーがVMとともに移動します。

    vShield ZonesはエンドポイントとIT資産に対応したファイアウォールであるだけでなく、仮想ネットワークについてマイクロフローレベルでのレポート機能も備えており、仮想トラフィックフローの把握と監視に重要な役割を果たします。また、セキュリティ管理者やネットワーク管理者が利用する豊富な情報に基づいて、ゾーニングポリシーを実装します。
     
  • フロー監視機能は、許可されているネットワークフローとブロックされているネットワークフローをアプリケーション・プロトコル単位で表示します。この機能は、ネットワーク・トラフィックの監査や、運用時のトラブルシューティング・ツールとして利用できます。

Cisco Nexus 1000V。Cisco Nexus 1000VスイッチはFlexPodの標準コンポーネントですが、そのセキュリティ機能の点から、本稿でも1コンポーネントとして取り上げます。Cisco Nexus 1000Vはサーバで動作するソフトウェアスイッチで、そのサーバでホストする仮想マシンにCisco VN-Linkサービスを提供します。VMware vSphereフレームワークを利用してサーバとネットワーク環境を緊密に統合し、データセンター内のすべてのサーバに対して、一貫したポリシーベースのネットワーク機能を実現します。Nexus 1000Vを使用すると、ライブマイグレーションの際に仮想マシンと一緒にポリシーも移行することができるため、ネットワーク、セキュリティ、ストレージのコンプライアンスが永続的に維持され、ビジネスの継続性、パフォーマンスの管理性、セキュリティ・コンプライアンスが向上します。

データセンターの柔軟性がますます高まるにつれ、セキュリティ管理者がインフラ内の脅威を徹底的に監視することが難しくなっています。これに対処するため、Cisco Nexus 1000V仮想分散スイッチでは、NetFlow、Switch Port Analyzer(SPAN;スイッチド・ポート・アナライザ)、Encapsulated Remote SPAN(ERSPAN)を利用した監視機能をサポートしています。Cisco Nexus 1000Vはこれらの機能を利用して、VMトラフィックフローのデータを、仮想環境から従来の外付け分析デバイスや拡張仮想サービスブレードにエクスポートします。どちらの場合も、Cisco Nexus 1000Vによってセキュリティチームに優れた可視性が提供されるため、脅威の原因を特定したり、攻撃パスを可視化したり、最終的には対策を講じたりすることができます。

Cisco Nexus 1010 Virtual Services Applianceは、Cisco Nexus 1000V Virtual Supervisor Module(VSM)をホストし、Cisco Nexus 1000V Network Analysis Module(NAM)仮想サービスブレードをサポートすることで、仮想アクセススイッチングの包括的なソリューションを提供します。Cisco Nexus 1010はVSM専用のハードウェアを提供するため、仮想アクセススイッチの導入が容易になると同時に、パフォーマンスと運用効率の向上が図れます。

NetApp MultiStore®を使用すると、単一のNetAppストレージシステム上に分離された完全にプライベートな論理パーティションを作成して、それをvFiler™ユニットと呼ばれる独立した管理ドメインとして利用できます。このvFilerユニットには、単一の物理ストレージコントローラを、複数の論理コントローラとして見せる効果があります。vFilerユニットにはそれぞれ、異なるパフォーマンス特性やポリシー特性のセットを適用して個別に管理できます。MultiStoreを活用すると、プライバシーやセキュリティの侵害を最小限に抑えながら、複数の顧客に同じストレージリソースを共有させることが可能になります。対象の仮想ストレージコンテナの管理制御を、顧客に直接委任することもできます。MultiStoreについては、最近のTech OnTapの記事でも取り上げています。

拡張SMTのセキュリティオプション


前述の標準コンポーネントに加えて、特定のセキュリティ要件に応えるために、セキュリティ関連のさまざまなオプション・コンポーネントからも製品を選択できます。

VMware vCloud Director(VCD)は、VMware vSphereをベースに構築されるソリューションで、仮想共有インフラを、基盤となるハードウェアから完全に切り離したマルチテナントの仮想データセンターとして扱えるようにします。つまりこのテクノロジを利用すれば、共有インフラ環境において、標準化されたITサービスをWebベースのカタログを通じて提供することが可能です。vCloud Directorについては、最近発表した別のTech OnTap記事(英語)で紹介しています。

Cisco Catalyst® 6500シリーズVirtual Switching System(VSS)1440プラットフォームは、Cisco Application Control Engine(ACE)、Firewall Services Module、Network Analysis ModuleなどのCisco統合サービスモジュールを完全にサポートしています。Cisco Catalyst VSSは、セキュリティ機能が強化したマルチテナント・アーキテクチャに対応するネットワークベースのサービス・プラットフォームとして使用されます。

Ciscoファイアウォール・サービスは、SMTアーキテクチャ内にステートフルなファイアウォール・セキュリティ機能を提供します。Ciscoの仮想ファイアウォール・セキュリティ・コンテキストは、モジュールまたは専用アプライアンスとして統合されているため、レイヤ2ネットワークレベルに導入する場合も、ルータの「ホップ」としてレイヤ3に導入する場合も、透過的な導入が可能です。どちらの導入モデルでも、仮想ファイアウォール・コンテキストにそれぞれ関連付けられたセキュリティポリシーが一貫して適用され、関連するネットワークを保護します。

Cisco Application Control Engine(ACE)モジュールとアプリケーション・プラットフォームは、サーバ・ロード・バランシング、ネットワーク・トラフィック制御、サービス冗長性、リソース管理、暗号化とセキュリティ、アプリケーションのアクセラレートと最適化といった機能をすべて、単一のネットワークデバイスで実行します。Cisco ACEテクノロジは、デバイスとネットワークのサービスレベルの可用性、拡張性、セキュリティ機能をデータセンターに提供します。

Cisco ACEが提供するデバイスレベルのサービスは以下のとおりです。

  • フェイルオーバー機能による物理的な冗長性
  • 仮想化による拡張性の実現でACEリソースを論理的にパーティショニングし、テナント固有のサービス要件に応じて割り当てる
  • セキュリティサービス—ACLおよびACE仮想コンテキスト、クライアント、関連するサーバファーム間のトランスポートの暗号化(SSL / TLS)

Cisco Intrusion Prevention System(IPS;侵入防御システム)アプライアンスはネットワークセンサーで、異機種が混在するネットワークの分析デバイスまたはインライン侵入防御システムとしてインフラ全体に配置できます。Cisco IPSセンサーは、環境の保護にあたってワームやウイルス、さまざまなアプリケーション不正利用のシナリオに関連付けられた攻撃シグネチャを使用し、それによってネットワークベースの脅威を検出、分類、ブロックします。このプロセスは接続ベースで発生し、不正と判断されなかったトラフィックについて転送を許可します。

Cisco Network Analysis Module(NAM)は、以下に挙げる複数のフォームファクタで構成されます。

  • Cisco Catalyst 6500スイッチング・プラットフォーム対応統合サービスモジュール
  • 数ギガビットまたは10ギガビットイーサネットをサポートする物理アプライアンス
  • Cisco Nexus 1000V環境対応の仮想サーバブレード

NAMはモデルに関係なく次の機能を提供します。アプリケーション、ホスト、音声のフローベースのトラフィック分析、アプリケーション、サーバ、ネットワーク遅延に関するパフォーマンスベースの測定、ネットワークベースのサービスに関するQuality of Experience(QoE;体感品質)指標、パケットキャプチャによる潜在的な問題の詳細な分析。Cisco NAMにはWebベースのトラフィックアナライザGUIが組み込まれているため、設定メニューに素早くアクセスして、さまざまなサービスとトラフィックに対応した見やすいパフォーマンスレポートをWebに表示することができます。Cisco NAM製品ラインはパフォーマンスの可視性と監視機能が向上しており、お客様のインフラ内にある複数の物理レイヤと仮想レイヤに対応します。

Cisco Security Managerはエンタープライズクラスの管理アプリケーションで、ファイアウォールやVPN、侵入防御システム(IPS)といったセキュリティサービスをCiscoのネットワークデバイスやセキュリティデバイスに設定できるように設計されています。

まとめ

以上、拡張SMTアーキテクチャの機能一式を駆け足でご紹介しましたが、セキュリティ機能の概要のご理解に本稿がお役に立てば幸いです。セキュアな分離に加えて、他の要素である可用性、サービス保証、管理の点での新機能と機能向上については、包括的な設計ガイド(英語)で詳細をご確認ください (本ガイドでは「拡張SMT」が「ESMT」と表記されておりますが、どちらも意味は同じです)。この140ページに及ぶガイドでは、SMTアーキテクチャとSMT環境の要素を余すところなくご紹介しております。

NetAppコミュニティ
 拡張SMTに関するご意見をお寄せください

ご質問、意見交換、情報提供は、NetAppのコミュニティサイトまでお願いいたします。

Chris O'Brien氏

Chris O'Brien氏
ソリューション・アーキテクト
Cisco

O'Brien氏は、Ciscoのシステム・アーキテクチャ / ストラテジグループで最新のデータセンター・テクノロジの開発に当たっています。現在はデータセンター設計の検証とアプリケーション最適化を中心に取り組んでいます。以前はアプリケーション開発に携わっており、IT業界での勤務は15年以上に及びます。

David Klem

David Klem
リファレンス・アーキテクト
NetApp

Davidは2005年にNetAppに入社し、NetApp Kilo Client(NetAppエンジニアリング部門が利用している、1,700のノードを持つ社内クラウド)の設計と構築を担当した最初のチームメンバーに加わりました。現在は、NetAppインフラ / クラウド支援チームで働き、クラウドベースのアーキテクチャに対応したベストプラクティスとソリューションを主に担当しています。NetApp入社前は、Ciscoに6年間在籍し、Cisco Catalyst®スイッチ・プラットフォームのエンジニアとして勤務していました。

 
関連情報
 
TRUSTe
お問い合わせ  |  購入方法  |  フィードバック  |  採用情報  |  登録  |  プライバシーポリシー  |  © 2011 NetApp