2016年3月5日土曜日

NSX for vSphereを見てみよう(9) 分散ファイアウォールでマイクロセグメンテーション

さて、前回に分散ファイアーウォールのお話をさせていただきました。
分散ファイアーウォールは、セグメントに関係なく細かなポリシー設定が可能というのが特徴でした。
これだけでマイクロセグメンテーションといっても間違いではありませんが、よりマイクロセグメンテーションを有効的に利用する方法をご紹介しましょう。

仮想マシン単位で細かいファイアーウォールを設定できるメリットを生かせる場所を考えて見たときに、ウイルス/マルウェア対策との連携があげられます。

環境はFAT-PC(一般的な物理PC)から、シンクライアント環境(VDI)になってきましたが、シンクライアントの場合、稼働している仮想マシンは、ユーザーの手元にないと言うことです。

今までの物理PCの場合、端末がウイルスに感染したら、情シス管理者は「LANケーブルを抜け」という指示を出し、その端末を"隔離"することから行います。
これが、シンクラになった場合、ユーザーにLANケーブルを抜かせる指示をしても、シンクラ端末のLANケーブルを抜いたところで、ユーザーに画面転送がされなくなるだけで、ウイルスを隔離することはできません。

これでは、ウイルスが拡散してしまいます。

これをNSX for vSphereの分散ファイアーウォールとサードパーティーのセキュリティ製品を連携することで、問題を解決することができます。

ウイルス対策などのセキュリティ製品で、ウイルスチェックを行い、特定の仮想マシンがウイルス/マルウェアに感染したと判断した場合仮想マシンに特定の識別タグを付与することができます。

この仮想マシンのタグというのは、NSX Managerが管理する仮想マシン単位で管理できる識別子です。サードパーティーのウイルス対策製品が、ウイルス検出など特定のイベントが発生したときに、NSX Managerに仮想マシンに対してタグを付与する命令を出すことができます。

このタグが付いた仮想マシンだけを分散ファイアーウォールによって通信を遮断するルールを記載することで、ウイルスに完成した仮想マシンだけを隔離することが可能となります。

これで今までの物理PCで可能であった、マシン隔離も自動で行うことが可能となります。
VDI時代になって、データーの持ち出し制限など、情報漏洩に関するセキュリティは解消したものの、こういった仮想化ならではの新たな問題にも対応することが可能となります。

これは、NSX for vSphereとサードパーティー製セキュリティソフトとの連携による、次世代のセキュリティーソリューションだと思います。


0 件のコメント:

コメントを投稿