次世代データセンターの保護に 向けて検討すべき7つの質問

セキュリティを
ビジネスの力に
仮想化などの次世代技術はコスト効果に優れていることが実証されていますが、ネットワークの役割が拡大するため、ネット
ワークセキュリティの見直しが必要になります。ネットワークセキュリティに関する選択は、継続的な運用コスト、セキュリティ
サービスのアップタイム、どのユーザーがどのアプリケーションを使用しているかというコントロールの精度に影響を及ぼす
可能性があります。このホワイトペーパーでは、このようなネットワークセキュリティに関する選択と、ネットワーク保護におけ
るそのコスト効果、そのネットワーク上で伝送されるデータ、ひいては組織のレピュテーションについて検討します。
統合された仮想化データセンターは、従来型アプリケーションとますます進化する
クラウドベースのアプリケーションの両方に対して当然の存在になりつつあります。
しかし、このようなデータセンターの保護には、広範囲にわたる保護機能が必要で
す。シンプルな周辺防御ではもはや十分とはいえません。
さらに複雑な脅威が日々出現する中、ネットワークセキュリティを一度設定するだけ
で放っておくという選択肢はもうあり得ないのです。ネットワークセキュリティソリュー
ションは、数の増加とともに巧妙化が進む攻撃に対応するだけでなく、さらに高いネ
ットワークパフォーマンスと継続的なネットワーク可用性に対する要求を満たす必要
があります。また、予算は引き続き制約されることから、コスト効果の高い統合を検
討することも重要です。それによって、ネットワークセキュリティのパフォーマンスと
継続的な可用性も向上する可能性があります。
ネットワークセキュリティを見直す際には、以下の質問項目を検討する必要があり
ます。
次世代データセンターの
保護に向けて
検討すべき7つの質問
ブルーコートシステムズ合同会社
ホワイトペーパー
次世代データセンターの保護に
向けて検討すべき7つの質問
1.キャパシティ要件の変化に対し、ネットワークセキュリティインフラはどの程度の柔
軟性と拡張性を備えているか時間の経過に伴って、段階的かつコスト効率的に拡
張できるでしょうか。それとも、ネットワークセキュリティアプライアンスを追加した
り、より大規模なアプライアンスを購入して機器を置き換えることが必要になるでし
ょうか。追加によって、ネットワークの可用性に影響を及ぼし得るネットワーク構造
の変更が必要でしょうか。データセンターの統合によって、将来のスループット要
件に悪影響が生じる可能性があります。少なくとも、データを新しいデータセンター
に移行しなければならない場合は、スループットに一時的な影響が生じます。その
際に必要な柔軟性は備わっているでしょうか。Blue Coat X-Seriesプラットフォー
ムならば今すぐ、そのレベルのスケーラブルなパフォーマンスを提供できます。XSeriesプラットフォームは線形的にスケーリングし、1つめのAPM(アプリケーション
プロセッサモジュール)であっても、8つめのAPMであっても、各アプリケーションモ
ジュールのパフォーマンスが均等に拡大するため、段階的な拡張に柔軟に対応
できます。Blue Coat X-Seriesは、ネットワークのフォークリフトアップグレードや再
設計を必要とすることなく、Pay-As-You-Grow方式でパフォーマンスを追加でき
ます。
2.ネットワークセキュリティソリューションは、ビジネスにおけるアップタイム目標を満
たすかファイアウォールなどのセキュリティアプライアンスに障害が発生した場合
は通常、手作業で問題を修復することが必要となり、その間、業務に影響が生じ
る可能性があります。ネットワークセキュリティソリューションを評価する際には、
さまざまな故障がサービスの可用性に与える影響を理解することが重要です。
例を以下に挙げます。
構成
故障時の影響
修復と復旧のための作業例
アクティブ:アクティブのペア
ネットワークパフォーマンス
1. 代替機器を特定または取得する
アクティブ:スタンバイのペア
移行時の遅延、手作業の介
入が必要な場合もあり
2. その機器に最新パッチレベルを適用する
IPSアプリケーション
トラフィック処理の停止(IPS
インスペクションなしでフェイ
ルオープントラフィックフロー)
4. ネットワークに機器追加のための変更を
3. 機器をネットワーク向けに構成する
加える
サービスを完全に復旧させるための労力を過小評価してはいけません。代替機
器をネットワークに追加するまでの作業と苦労は、丸1日間続く可能性がありま
す。一方、Blue Coat X-Seriesならば、冗長モジュールが故障したモジュールの
負荷を瞬時に自動的に引き受けます。ネットワークが中断することはなく、代替
アプライアンスを特定して使用可能にする必要もありません。ブルーコートのこ
のAdaptive Self-Healing(適応型自己回復)のアプローチにより、ネットワークを
変更したり再接続したりすることなく故障から復旧し、最も厳しいサービスレベル
要件を満たすことができます。これによって、99.999%の可用性(デュアルボックス
ペアリングを適用する場合は、99.99999%)が達成可能です。
1
ホワイトペーパー
セキュリティを
ビジネスの力に
機能分野
説明
使用による効果
プロキシーファイアウォール
受信リクエストを終端し、検査後に各接続を再確立
検査なしに流入するトラフィック(ファイアウォールのすり抜け)の確実な排除
IPS
侵入防止
未知の疑わしいリクエストを検出
アンチウイルス、強力なボットネット、アンチスパム
既知のマルウェアやスパムを検査
流入するトラフィックからの既知の脅威を排除
URLフィルタリング
最先端WebフィルタリングソフトウェアであるSmartFilterを利用した、Global Threat Intelligenceによる
3500万を超えるブロック可能なWebサイトのモニタリングに基づくインテリジェントなフィルタリング
組織を危険にさらす恐れのあるサイトへのアクセスにネットワークが使用されること
を防止
きめ細かいアプリケーションコントロール
アプリケーションとアプリケーションサブ機能の検査と識別
ネットワークに流入するトラフィックとアプリケーションの把握
IPSec VPN
VPNの作成と管理
伝送データの機密性、セキュアなアクセス
圧縮ファイルのサポート
圧縮ファイルのスキャン
全種類のトラフィックの検査
SSL/SSHのサポート
暗号化トラフィックを検査するために、SSL/SSHを復号化
全種類のトラフィックの検査
3.ファイアウォールはどの程度の保護を実現するかセキュリティ製品は、アプリケ
ーション、ファイル、Web、電子メール、ネットワークといった分野によって、脅威
に対する有効性に差異があります。最高レベルの保証を得るには、すべての分
野にわたるセキュリティ製品を統合する必要があり、それにはかなりの労力を要
する可能性があります。これに対し、McAfeeのFirewall Enterpriseは、Blue Coat
X-Seriesプラットフォーム上で統合された高いパフォーマンスを発揮できる、広範
囲にわたるセキュリティサービスを含むように設計されています。
4.セキュリティサービスをさらに統合することによって、どれだけの効果が得られる
かコストの制約を満たしつつ、リソースを最大限に活用することが強く求められる
中、大規模なデータセンターの運用がますます一般的になっています。次世代の
統合型データセンターにおける、コンピューティング、ストレージ、ネットワーキン
グの集中管理によって、ネットワークの可用性と十分なパフォーマンスを維持す
ることの重要性はさらに増大します。すべてのセキュリティサービスを、Blue Coat
X-Seriesなどの単一のプラットフォームに統合すれば、トラフィックフローに対す
るさらなるセキュリティ検査を非常にコスト効率よく追加できるようになります。多
くのセキュリティサービスを使用するほど、ネットワークパフォーマンスに与え得
る影響は増大するため、ネットワークセキュリティプラットフォームのパフォーマン
スの重要性はさらに高まります。例えば、McAfee Firewall Enterpriseは、Check
Point、Sourcefire、Impervaなどが提供する他の最高水準のセキュリティアプリケ
ーションとともに使用でき、多数の深刻な脅威ベクターに対する保護を単一のプ
ラットフォーム上で同時に行います。
次世代データセンターの
保護に向けて
検討すべき7つの質問
5.ファイアウォールのルールとセキュリティポリシーは、どの程度で古くなるかファイア
ウォールのルールを固定で設定したままでは、脅威が絶えず変化する今日の環境
において十分ではありません。セキュリティ機能は、レピュテーションベースのフィ
ルタリングに対する最新情報に基づいて更新する必要があります。McAfee Firewall
Enterpriseには、脅威に対して最新の防御体制を維持するための方法の1つが
McAfeeのGlobal Threat Intelligence(GTI)によって組み込まれています。GTIは、包
括的でリアルタイムなクラウドベースの脅威インテリジェンスサービスで、McAfee
セキュリティ製品による未知で新たなサイバー脅威の検出と追跡を可能にしま
す。GTIは、1億個以上のセンサーからのデータを収集し、McAfee Labs、McAfee
TrustedSource、ジオロケーション技術からの情報とそれを相互に関連付けること
によって、McAfee Firewall Enterpriseに最新の脅威情報を提供します。最も優れた
特長は、ルールごとに有効化が可能で、NAT(ネットワークアドレス変換)の制約を
受けないことです。
6.ネットワークを次に再構築する必要が生じた場合に、ネットワークセキュリティは
どの程度適応可能か物理的なサーバーから複数の仮想マシンへの移行によっ
てアプリケーション負荷の移動が容易になるため、ユーザーアクセスの増減に応
じてアプリケーションを物理的なサーバー間でトランスペアレントに移動できる可
能性があります。このようなアクセスの増減に対応するには、サーバー間トラフィ
ックに対するアジャイルなセキュリティが必要になります。ブルーコートのプラット
フォームの「ネットワーク・イン・ア・ボッ クス」としての利点の1つは、複数のセキ
ュリティアプリケーションのフローとシーケンスを制御できるその適応性です。ネッ
トワークの異なるセグメントをまたがるフローを、ネットワークの再構成や再接続
を行うことなく調整できます。このフロー処理により、ネットワークセキュリティアプ
リケーションを必要に応じて柔軟に適応させ、統合することができます。必要な処
理を行うために、セキュリティをネットワークインフラの隅へと追いやってネットワ
ークトポロジーを歪めることなく、包括的かつ効果的に処理します。
ブルーコートシステムズ合同会社
2
ホワイトペーパー
セキュリティを
ビジネスの力に
7.どの程度簡単に管理できるかネットワーク障害の影響を抑えるには、自動管理
機能を利用することが非常に効果的です。どのユーザーがどのアプリケーション
にアクセスできるかを集中管理する必要があります。特定のユーザーと、それら
のユーザーによる複数のアプリケーションの特定部分へのアクセスを識別、設
定、管理するための簡単なメカニズムがあれば、初期運用コストに加えて長期
的な運用コストも削減できます。セキュリティポリシーを組織全体にわたって集
中管理することによっても、運用効率は大幅に改善されます。例えば、McAfee
ePolicy OrchestratorとMcAfee Firewall Enterpriseの間の右クリック統合や、実
証されたエンドポイント保護、既存のファイアウォールから移行するための成熟し
た移行ツールなどが利用できます。エネルギー効率も運用コストに影響を与える
ため、多数のセキュリティ機能をエネルギー効率の高い単一のボックスに統合で
きれば、長期的にはかなりのコスト削減が達成できます。Blue Coat X-Seriesに
よって、CO2排出量とエネルギーコストを最大96%削減し、運用コストを半分に減
らしたお客様もあります。
まとめ
現在、ネットワークセキュリティインフラがどれだけ統合されているとしても、ネットワ
ークセキュリティを見直し、さらなる仮想化とクラウドベースアプリケーションの導入
によって、運用コストを削減し、リスクを軽減する機会がもたらされます。Blue Coat
X-Seriesは、優れたパフォーマンスと可用性を提供します。ブルーコート上のMcAfee
Firewall Enterpriseは、この利点を活用しています。ブルーコート上のMcAfee Firewall
Enterpriseは高い信頼性を実現する次世代ファイアウォールとして、企業や組織の重
要な環境を急増する脅威から防御するための、最も安全で回復力と統合性に優れ
たネットワークセキュリティソリューションを構築します。
次世代データセンターの
保護に向けて
検討すべき7つの質問
ブルーコートシステムズ合同会社
3
ホワイトペーパー
セキュリティを
ビジネスの力に
ブルーコートシステムズ合同会社
© 2013 Blue Coat Systems, Inc.All rights reserved.ブルーコートシステムズから書面
による同意を得ることなしに、このドキュメントの一部または全部を何らかの方法で
複製することや、電子メディアに変換することを禁じます。このドキュメントに記載し
た情報は、発行日の時点で正確であり信頼できると判断したものですが、ブルーコ
ートはこれを確約するものではありません。また、ブルーコートは発行日以降に提
示されるいかなる情報の正確性も保証いたしません。このドキュメントは情報提供
のみを目的としています。ブルーコートは、このドキュメントに記載した情報につい
て一切の明示的、暗黙的、または法的な保証をいたしません。このドキュメントに記
載した情報は、米国向けに提供される製品とサービスに適用されます。ブルーコー
トは、このドキュメントに記載した製品、サービス、または機能を他の国に提供しな
い場合があります。ご利用になれる製品とサービスについては、国内のブルーコー
ト販売代理店にお問い合わせください。このドキュメントに記載したブルーコートの
製品、技術サービス、その他の技術データは、米国の輸出規制と制裁規定、法令と
要件の適用対象です。また、それ以外の国の輸出/輸入規制の適用対象となる場
合があります。ユーザーは、これらの法律、法令、要件を厳格に遵守することに同
意し、ブルーコートからの提供物の輸出、再輸出、国内での移譲、または輸入を行
うために必要とされる場合はライセンス、許可、またはその他の承認を得る責務を
負うことに同意するものとします。ブルーコートは、このドキュメントに記載した対象
物に特許を保有する場合または特許を出願中の場合があります。このドキュメント
の提供によって、これらの特許のライセンスが与えられるものではありません。Blue
Coat、ProxySG、PacketShaper、CacheFlow、IntelligenceCenter、BlueTouchは、Blue
Coat Systems, Inc.の米国およびその他の国の登録商標です。このドキュメントで言及
するすべての商標は、それぞれの所有者のものです。
www.bluecoat.co.jp
03-6251-9111
v.WP-7Questions-to-Consider-in-Securing-Your-Next-GenerationData Center-A4-EN-v2b-0413
Blue Coat
Systems Inc.
www.bluecoat.com
4