...

シスコ ユニファイド データセンター アーキテクチャにおける

by user

on
Category: Documents
3

views

Report

Comments

Transcript

シスコ ユニファイド データセンター アーキテクチャにおける
ホワイト ペーパー
シスコ ユニファイド データセンター アーキテクチャ
におけるセキュアな分離
概要
本書は、自社データセンターの効率性と柔軟性を向上したいと考え、サービスとしての IT(ITaaS)の提供手段として
一般的に使用されるプライベート クラウドやマルチテナント データセンター環境に、セキュリティを実装する最善の
方法を検討している技術者を対象としています。
データセンターの変革とは、その過程において予測可能な IT の課題を伴う進化の行程です。セキュリティならびに
それをデータセンターのインフラストラクチャに組み込むことは、アプリケーションごとの専用インフラから共有モデル
への移行を調整する IT 部門がよく直面する課題です。これらの課題に対応するため、シスコ®ユニファイド データセ
ンター プラットフォームは、シスコ ユニファイド コンピューティング、ユニファイド ファブリック、およびユニファイド マ
ネジメントという 3 つのテクノロジーの柱をお届けします。本書は、シスコ ユニファイド ファブリックの特長、機能、お
よび製品に加え、セキュアなネットワーク構築におけるその用途に主に焦点を当てています。本書を読み終えると、
セキュアな分離という概念を理解できるようになり、セキュアなマルチテナント データセンターを導入するにあたって、
考慮すべき要素を認識できるようになります。
はじめに
今日の企業には、現在と将来のビジネス ニーズに即応でき、しかもコスト効果と効率性の高いサービスを提供する
よう求める重圧が高まっています。IT の観点から考えると、これらのサービスには、IT インフラストラクチャの統合、
プラットフォームの統一、仮想化、自動化を通じて、十分に活用されていない従来のシステムから移行し、IT 運用を
簡素化する取り組みが含まれます。さらに、これらの取り組みには、新しいアプリケーションやサービスを即時に展
開するために、IT 部門をより機敏にすることが必要とされます。これらの目標を実現するため、従来のデータセン
ターを仮想化された環境、そして最終的には、パブリック、プライベート、またはハイブリッド クラウドの環境に変えて
いくアーキテクチャ革命が始まっています。
このトレンドは、クラウド環境へ移行する前に対応すべき新たなセキュリティ課題も生み出しています。これらの課題
は、新たなビジネス コンピューティング モデルにより、技術上の問題と大幅なプロセス変更の双方が関わるため、
複雑さを伴います。企業がインフラストラクチャを移行し、進化させるにあたって、これらの新しいアーキテクチャにセ
キュリティがどのように組み込まれるのか十分に理解し、自社の環境全体にわたり、情報の転送を確実に保護する
ための新しいセキュリティ ツールを採用する必要があります。さらに、新しいセキュリティ ポリシーやテクノロジーが、
新しい仮想データセンター環境のスケーラビリティとパフォーマンスを制限しないようにしなければなりません。
セグメント化かつ共有される仮想環境をホストする企業やサービス プロバイダーにとって極めて重要なセキュリティ
要件は、セキュアな分離です。セキュアな分離、あるいはマルチテナントとは、共通のコンピューティング、ストレージ、
およびネットワーク インフラストラクチャを使用しながら、顧客またはテナントの分離、セキュリティ、コンプライアンス、
サービスレベル契約(SLA)の各種要件を満たすために、ワークロードと仮想マシンを切り離すことです。今日の統
合されたデータセンターやクラウドには、単純なセグメンテーションからネットワーク トラフィックの完全な分離と厳格
なアクセス制御ポリシーまで及ぶニーズを持つ、多様なユーザ グループが存在します。
企業がプライベート クラウド環境へ移行し、これまでテナントごとまたは部門ごとに物理的に専用のものとして使用
されてきた基礎インフラストラクチャを仮想化するにあたり、現行レベルのセキュリティ、コンプライアンス、および
サービス品質(QoS)を確実に維持できるようにしなければなりません。
本書では、導入事例を通して、さまざまなレベルのセキュアな分離を検討します。組織の成長過程において、物理
から仮想、そしてクラウド コンピューティング環境へと進化するにつれ、どのような異なるレベルのセキュアな分離が
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 1 of 13
必要になるかを説明します。また、これには最高レベルのセキュアな分離を実現する導入事例も含まれます。本書
では、専用インフラストラクチャから始め、プライベート クラウド環境への移行まで、企業が次の成長サイクルを経験
するにあたって必要となる各種レベルのセキュアな分離を取り上げています。
1.
単一の共有インフラストラクチャと複数のアプリケーションを持ち、アプリケーションと部門間でセキュアな分離
を必要とする組織
●
ミッションクリティカルなアプリケーション専用のインフラストラクチャ。Oracle や SAP などのアプリケーション
によく見られる要件
2.
共有インフラストラクチャとセキュアな分離要件を持つ大規模な組織
●
SLA やビジネスの優先事項に基づく異なる QoS 要件を持つ複数の部門(たとえば、顧客関係管理システ
ム(CRM)のトラフィックは、ビデオ トラフィックより SLA 保証が高くなる)
●
3.
仮想化の基本前提:共有リソースと各種ソフトウェア アプリケーション用の仮想コンテナ
単一の組織から複数の組織へと拡大し、さらなる分離と仮想化を求め、被買収組織を統合するためにプライ
ベート クラウドとクラウド リソースを提供する組織
●
法的な分離要件を満たし、トラフィックがオーバラップしないようにする必要がある(たとえば、クレジットカー
ド情報を管理するグループは、エンジニアリング用ネットワークとは異なるセキュリティが必要)
●
4.
個々の仮想環境の分離が絶対不可欠
IT 部門がサービス プロバイダーの役割を果たす、ヘルスケア組織などの SLA が保証される事例
●
境界の作成と分離の保証
●
オーケストレーションと簡素化
セキュアな分離のためのセキュリティ モデルの設計
データセンターにおける IT 部門の最大の懸念の 1 つに、セキュリティがあります。顧客は、貴重なデータを守り、確
実なサービス デリバリを実現し、可用性を高め、規制要件を遵守することを求めています。これに加え、大量のワー
クロード、多種多様なデータ、トランザクション量の多いネットワーク トラフィックを処理できるハイ パフォーマンスな
データセンター セキュリティを必要としています。IT 部門は、マルチテナントまたはプライベート クラウド環境への移
行を調査するにあたって、次のよくあるセキュリティ上の懸念と概念を念頭に置く必要があります。
マルチテナントとセグメント化
●
マルチテナント:小規模の分散されたデータセンターは、少数のアプリケーションをホストしたり、単一の組織
をサポートしているのに対して、今日の統合されたデータセンターおよびクラウドでは、同じ物理サーバと
ネットワーク インフラを共有していながらも、ネットワーク トラフィックの完全な分離と厳格なアクセス制御ポ
リシーを必要とする多種多様なユーザ グループが存在します。これらと同じ要件が、内部テナントの分離が
求められるプライベートな仮想データセンターやプライベート クラウドにも適用されます。
●
セグメント化:大企業は、事業部門、重要度(ミッション クリティカルまたは非ミッション クリティカル)、機能な
どでセグメント化できる数千ものアプリケーションを利用しています。これらの各セグメントは、社内外の脅威
による損失を防ぐために、物理ネットワークからクラウドに及ぶまで、一貫性のあるセキュリティ管理でもって
保護されなければなりません。組織がよりセグメント化され、仮想化され、アプリケーションをクラウドへ移行
するにつれ、ネットワークの高度化と複雑度が増していきます。これに自動化とオーケストレーションが加わ
ると、一層複雑化します。
アプリケーションへのセキュア アクセス
●
ID と認可:移動性がますます高まり、安全対策が施されていないデバイスが増え、脅威が高度化される世
界においては、ネットワークが、アプリケーションに代わってセキュリティ ポリシーを適用する役割を担当す
る必要があります。ネットワークがよりコンテキスト アウェア、そしてアプリケーション アウェアになるにつれ、
アプリケーション エンドポイントの役割を引き継ぎ、これまで以上にユーザ認証やアクセス ポリシーに基づ
いた認可処理を行うようになります。ネットワークのセキュリティ インフラストラクチャでは、ID や役割ベース
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 2 of 13
のポリシーの適用に加え、その他のコンテキスト上の決定作業が要求されています。データセンターまたは
クラウドにおけるアプリケーションやサーバへのトラフィックをブロックする機能は、典型的な発信元アドレス
と宛先アドレスに基づかせることはできません。今は、トランザクションにおけるユーザの ID や役割、プロセ
ス、またはアプリケーションに基づいてブロックする必要があります。
●
ローカル アクセスとリモート アクセス:アクセスは、アプリケーションにアクセスするデバイスの種類、ユーザ
の所在地、リクエストの時間など、ID 以外のコンテキスト固有の属性に基づかせることもできます。これらの
コンテキスト アウェアなポリシーは、データセンターのファイアウォールと侵入防止システム(IPS)の責任に
なりつつあり、そのために、これらのポリシーに基づいてトラフィックを検出および制御する機能やマルウェア
の存在、不正アクセスの試み、高度な攻撃を監視する機能を拡張しなければなりません。今日の企業では、
幅広いミッションクリティカルな商用アプリケーションや高度にカスタマイズされたアプリケーションが稼働して
います。このようなアプリケーションに含まれるデータは、攻撃側にとっては非常に貴重ですが、ユーザがこ
のデータにアクセスできることにより生産性が向上し、企業の成功を促進することができます。
クラウドにおける可視性とコンプライアンス
●
システムの複雑性と複数チーム:多くの企業は、パブリックまたはハイブリッド クラウドへ移行することにより、
可視性を失うものと考えています。仮想領域外にある従来のファイアウォールや IPS では、仮想マシン間の
トラフィックを見ることができません。多くのパブリック クラウドのシナリオにおいて、クラウド環境が外部ソー
スによって管理されているため、顧客は根底にあるセキュリティ製品に関する知識をもっていないのが現状
です。
●
コンプライアンス:クラウド インフラストラクチャは、業界標準、顧客標準、そして規制当局の基準を満たすも
のでなければなりません。さらに、可視性と監査機能を備えている必要があります。ヘルスケア、金融、政府
といった重要なコンプライアンス規制がある業界は、監査証跡が不十分になることを恐れています。
●
プライベートまたはパブリック クラウド:企業の多くが制御性や可視性の損失を懸念し、パブリック クラウドで
はなく、プライベート クラウドへ移行することの方がより良い選択肢と考えています。しかし、プライベート ク
ラウドにおいても、情報セキュリティに対する懸念やニーズは依然として存在し、データとアプリケーションへ
のアクセスをセキュアにしなければなりません。実際、セキュリティは、プライベート クラウドのコンピューティ
ング アーキテクチャ全体にわたって組み込まれているのです。
セキュアな分離の導入事例
マルチテナント データセンター インフラストラクチャの基礎を成すセキュリティ テクノロジーは、セキュアな分離であ
り、データセンター アーキテクチャ内に仮想的なコンテナを作る能力を提供します。セキュアな分離は、提供される
サービスに基づいた顧客の分離、セキュリティ、コンプライアンス、および SLA の各種要件を満たせるように、ワー
クロードと仮想マシンを切り離せるようにします。
ここで取り上げる 5 つの導入事例では、データセンター環境内の各種異なるレベルのセキュアな分離を紹介します。
組織が従来レベルのセキュアな分離を求める導入事例 1 から始まり、組織が進化するにつれ、必要なマルチテナ
ント セキュリティと分離を追加していく段階を追っていきます。これらの導入事例が示すように、買収、成長、新しい
アプリケーションの追加といったイベントに伴い、組織のセキュリティ要件が変更されても、シスコは新しい要件を満
たすための製品や機能を既存アーキテクチャに追加していくことができます。
これらの導入事例は、図 1 で示される従来の階層型のデータセンター基盤に基づいています。階層設計は、ネット
ワークのスケーラビリティと高可用性を実現するために頻繁に適用され、頑強なネットワーク フレームワークを構築
するために、シスコ ユニファイド データセンターでも採用されています。シスコ ネットワークは、階層設計において、
コア、アグリゲーション、およびアクセス レイヤから構成されます。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 3 of 13
図1
階層型ネットワーク設計
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 4 of 13
導入事例 1:単一の共有インフラストラクチャと複数のアプリケーションを持ち、アプリケーションと部門
間でセキュアな分離を必要とする組織
図 2 は導入事例 1 を表しています。
図2
導入事例 1
組織のセキュリティ要件
●
部門 A、B、C では、セキュリティ上およびコンプライアンス上での、セキュアな分離とアプリケーションへの
個別アクセスが必要となります。
●
組織内では、セキュアで物理的な分離と仮想的な分離の要素が、ある程度は必要とされます。
導入事例 1 の製品
●
Cisco ASA 5500 シリーズの適応型セキュリティ アプライアンスの物理ファイアウォール、Cisco Nexus® ス
イッチング インフラストラクチャ、および物理ホスト
インターネット エッジ
ポリシーは WAN エッジで実装されます。これは、企業ネットワークとデータセンターにアクセス制御を提供する共通
インフラストラクチャのレイヤ 3 境界です。以下が、このレベルで実装されることが多い特長と機能です。
●
インフラストラクチャのセキュリティ ルールは、ルータのアクセス コントロール リスト(ACL)を通して実装され
ます。
●
ネットワークベースのファイアウォールは、物理ネットワークと複数の仮想ネットワーク間に配置されます。
●
コンテキスト ベースの仮想化が使用されます。
●
トポロジ、プロビジョニング、およびモニタリングは、テナント別に分離されます。
共有の物理ファイアウォール
Cisco ASA 5500 シリーズ アプライアンスが、テナント A、B、C によって共有される単一の物理ファイアウォールを
提供し、これが VPN アクセス保護と脅威軽減を実現しながら外部トラフィックのフィルタの役割を果たします。VLAN
はセグメント化を提供し、各テナントのセキュリティ ドメインにマッピングされます。
テナント コンテナ
Cisco Nexus Family スイッチと VLAN により、テナント コンテナ A、B、C が分離されます。VLAN は、物理ネット
ワークをセキュアに分割する能力を提供し、最適な資産活用を可能にします。
ホスト
ホストから各テナントへのトラフィックのさらなる物理的分離を実現する専用の物理サーバが、このモデルを補完しま
す。物理サーバは、特定のアプリケーションに結び付けられ、アプリケーションは一連の VLAN とセキュリティ ポリ
シーに結び付けられます。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 5 of 13
導入事例 2:単一の共有インフラストラクチャと複数のアプリケーションを持ち、セキュアな物理的分離と
仮想的分離の要素を必要とする組織
図 3 は導入事例 2 を表しています。
図3
導入事例 2
組織におけるセキュリティ要件
●
組織には異なる QoS 要件を持つ複数の部門が存在します。
●
仮想化の基本前提は、共有リソースと各種ソフトウェア アプリケーション用の仮想コンテナです。
●
組織内では、ワークロードと仮想マシンの分離を確立させ、顧客の分離、セキュリティ、コンプライアンス、お
よび SLA の各種要件を満たす必要があります。
導入事例 1 に追加された製品
●
Cisco Nexus 1000V スイッチ、物理ホスト上の仮想化ハイパーバイザと仮想マシン、および仮想ネットワー
ク インターフェイス カード(Cisco Nexus 1000V 上の仮想イーサネット用 vNIC)
ホスト
テナント別にネットワーク全体のホストに及ぶセキュア コンテナを作るため、ホストには仮想化が追加されます。
Cisco Nexus 1000V 仮想スイッチの形のデバイス仮想化は、仮想マシン別にトラフィック フローを分割し、アプリ
ケーションやセキュリティ サービスの挿入ポイントを提供します。
Cisco Nexus 1000V と Cisco VN-Link テクノロジーは、個々の仮想マシンに対する可視性を提供するため、Cisco
Nexus 1000V で仮想マシンごとにポリシーを設定し、適用できます。
仮想マシンのトラフィックは、VLAN などを使用して、物理アプライアンスに送信し、そこでネットワーク サービスを適
用できます。マルチテナンシーを提供するために、仮想コンテキストを使用できます。
テナントごとの QoS ポリシー
Cisco Nexus 1000V は、仮想マシンごとの可視性、ポリシー、およびモニタリング機能を提供します。クラスベース
均等化キューイングと低遅延キューイングもサポートされているため、トラフィック クラスごとに、テナント仮想マシン
別(つまり、vNIC 単位)に QoS ポリシーを適用することも可能です。残りの Cisco Nexus スイッチおよびサービス
ノードでは、Cisco Nexus 1000V で設定される分類とマーキングが適合され、適切にキューイングされます。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 6 of 13
導入事例 3:単一の組織から複数の組織へと拡大し、さらなる分離と仮想化を求め、被買収組織を統合
するためにプライベート クラウドとクラウド リソースを提供する組織
図 4 は導入事例 3 を表しています。
図4
導入事例 3
組織におけるセキュリティ要件
●
●
組織は、導入事例に基づき、アプリケーションごとに異なる QoS レベルを必要としています。
法的な分離要件を満たし、トラフィックがオーバーラップしないようにするため、テナントごとに追加の分離
(ファイアウォールとサービス)が必要となります。
●
個々の仮想環境の分離は絶対不可欠です。
導入事例 2 に追加された製品
●
テナントごとの仮想ファイアウォールとロード バランサ
テナント別の専用の仮想コンテキスト
●
サービス ノードで仮想化が使用されます。
●
ファイアウォールとロード バランシング ノードは、テナント別に論理的に割り当てられています。
●
Cisco Application Control Engine(ACE)が、サービス ノードを横断するトラフィックを分離するためのテナ
ント別の仮想コンテキストを提供します(仮想化は、物理サービス ノードで使用されます)。
●
Cisco Nexus 1000V が、テナント別にファイアウォールを論理的に分割します。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 7 of 13
導入事例 4:コンプライアンス要件を満たすために最高レベルのテナント分離と隔離を必要とするヘル
スケア組織などの SLA が保証される事例
図 5 は導入事例 4 を表しています。
図5
導入事例 4
組織におけるセキュリティ要件
●
組織は、導入事例に基づき、アプリケーションごとに異なる QoS レベルを必要としています。
●
たとえば、病院の導入事例を使用することで、顧客は U.S Health Insurance Portability and
Accountability Act(HIPPA:医療保険の相互運用性と説明責任に関する法律)のコンプライアンス規制に
確実に対応できます。
導入事例 2 に追加された製品
●
テナント別の専用の仮想ルーティングおよび転送(VRF)
仮想ルーティングおよび転送
組織によっては、さらなる厳重なセキュリティを必要とする場合があります。この追加のセキュリティ要件により、他
のノードからセキュアに分離されたオーバーレイ ネットワークの構築が必要になることがあります。これを提供する
手段の 1 つに、Cisco Nexus Family スイッチの VRF 機能があります。専用のテナント別 VRF インスタンスを追加
することで、バックエンド アプリケーション ホスト(たとえば、ティア 2 および 3 アプリケーションやデータベース サー
バ、あるいはすべてのアプリケーション)を分離できます。
VRF は、ルーティング テーブルの複数のインスタンスが同じルータに共存できるようにします。ルーティング インス
タンスはそれぞれ独立しているため、マルチテナント環境内のテナント トラフィック フローのエンドツーエンドな分離
において、重要な役割を果たします。
グローバルな VRF インスタンスを適用する場所に、共有リソースや仮想マシンを配置できます。共有リソースには、
DMZ(プロキシ サーバ、IPS、SSL オフロード処理用のサーバロード バランシング(SLB)ファーム)などが挙げられ
ます。
共通のフロントエンド ゾーンとテナント別の固有のバックエンド ゾーンに Cisco Virtual Security Gateway VSG 仮
想ファイアウォールを配置することで、追加のファイアウォール ゾーニングを作り、イースト/ウェストと分割できます。
これにより、N ティア アプリケーション セキュリティと分離の要件に対して、より包括的なサポートが提供されます。
シスコ データセンター セキュリティのメリット
シスコ データセンター セキュリティは、ポリシー制御でもって新たなビジネス イニシアチブをサポートする幅広いビ
ジネス アプリケーションを受け入れられる環境を実現します。広範なシスコ データセンター セキュリティは、個人的
かつ独自のエンドユーザ体験を作り出します。シスコ データセンター セキュリティは、汎用性と効率性を兼ね備えて
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 8 of 13
おり、組織が迅速なサービス提供とオペレーショナル エクセレンスを実現できるように支援します。シスコのデータセ
ンター セキュリティを利用して、次が行えます。
●
脅威に対応する防御システムでデータセンターの可用性を守れます
●
アプリケーションとコンテンツのセキュリティでデータセンター サービスをセキュアにする
●
セキュア アクセスでビジネスの損失を防ぐ
●
ポリシー制御により、物理および仮想環境の両方でコンプライアンス要件を満たす
シスコのデータセンター セキュリティには、次のメリットがあります。
●
シスコには、必要な技術的ノウハウと顧客に対する強力なコミットメントがあります。
●
シスコのセキュリティ ポートフォリオは、顧客のデータセンターのセキュリティ課題に対応できる幅広さと奥深
さを備えています。
●
シスコのイノベーション、アーキテクチャ、そしてシスコ検証済みデザインは、導入とメンテナンス面でサポー
トし、オペレーショナル エクセレンスと総所有コスト(TCO)削減の実現に役立ちます。
仮想マルチサービス データセンター向けのシスコ検証済みデザイン
シスコでは、セキュア データセンター、セキュア仮想データセンター、またはセキュア プライベート クラウドに対する
顧客のニーズに応え、設計の信頼性と安定性を確実なものにするため、徹底的に試験を行なっています。
シスコの仮想マルチサービス データセンター(VMDC)は、ミッションクリティカルなアプリケーションと機密データをホ
ストするユニファイド データセンターを保護します。シスコ ユニファイド データセンターは、コンピューティング、スト
レージ、ネットワーキング、仮想化、管理という一連の機能を、運用効率の向上、IT 運用の簡素化、およびビジネス
の即応性を目的として設計された単一のファブリックベース プラットフォームに集約することで、データセンターの経
済性を大きく高めます。シスコ ユニファイド データセンターは、管理ソフトウェアのレイヤを追加しなければ統合を実
現できない他のソリューションとは異なり、仮想化と自動化を目的として設計されています。さらに、物理環境と仮想
環境にわたるインフラストラクチャの共有プールから、オンデマンドでのプロビジョニングを可能にします。このアプ
ローチにより、コストセンターになりがちな IT 部門を、競争力を生み出す IT サービスへと転換できます。
シスコ ユニファイド データセンター と緊密に統合され、市場をリードするシスコのファイアウォール、VPN、ハード
ウェア アクセラレーションによる IPS、および仮想環境向けのアプライアンスとアプリケーションによって、セキュリ
ティ制御を実現できます。セキュアな VMDC シスコ検証済みデザインは、物理ネットワークから仮想ネットワークへ
の透過的なネットワーク フローを実現し、俊敏な運用とよりシンプルな管理を可能にします。複数のセキュリティ
ゾーンを作成して、仮想ネットワーク内のテナント リソースを論理的に分割し、フォールト トレラントな仮想マシンの
動作を可能にします。エッジ セキュリティは、データセンターを外部の脅威から保護し、データセンター リソースへの
アクセスをコンテキストに基づいて保護します。シスコ VMDC 環境は、わかりやすく、強力で、セキュアであり、グ
ローバル コリレーション機能を備えた革新的な IPS、ファイアウォールと Web アプリケーション ファイアウォール
(WAF)、および VPN テクノロジーを使用して、重要な情報アセットに対する優れた保護をリアルタイムで提供しま
す。
顧客がマルチテナント環境へ移行するにつれ、組織は次を含む追加要件に対応しなければなりません。
●
簡素化された導入、コンピューティング リソースのスケーリング、およびセキュアな仮想マシンのインスタン
ス化と運用
●
●
信頼レベルと論理グループ別にワークロードを分離するための仮想マシン認識
顧客が一時的または永続的に、さらに開発用およびテスト用に新しい仮想マシンをインスタンス化できるよう
にするための、セキュアでセルフサービス式の仮想マシン要請ツール
●
セキュリティ ポリシーをネットワーク オーケストレーションに連関させるコンプライアンス テンプレートとポリ
シー自動化ツール
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 9 of 13
シスコは、仮想管理と仮想ゲートウェイを通じたゾーン ロールベースのポリシー、仮想マシンのモビリティを実現する
ためのセキュアなトランスペアレント リンク、そしてコンプライアンスとポリシーのテンプレートを提供する追加の検証
済みデザインを使用したセキュアな自動化によって、これらの追加要件を満たします。
Cisco VMDC によるマルチレイヤ型のエンドツーエンドなセキュリティ
クラウド アーキテクチャ導入の成功は、クラウド コンシューマのアプリケーションやサービス ロードをホストするデー
タセンターのインフラストラクチャと仮想環境双方のエンドツーエンドなセキュリティにかかっています。Cisco VMDC
アーキテクチャは、ネットワークの複数のレイヤにおいて、エンドツーエンドなセキュリティを実現するための包括的
なフレームワークを提供することで、セキュリティ上の課題に対応します。
適切なセキュリティ アプローチには、データセンター ネットワーク内の適切な場所に多数の補完的なセキュリティ
サービスを導入することが不可欠です。データセンターのセキュリティ要件には、下記が含まれます。
●
不正ユーザや外部からの攻撃からデータセンターを守ること
●
侵入とマルウェアが潜むデータを防ぐこと
●
仮想インフラとクラウド インフラの両方をセキュアにするため、実績あるファイアウォールでテナント エッジを
守ること
●
仮想ネットワーク内のセグメント化された信頼ゾーンに仮想マシンを割り当て、仮想サーバ レベルでアクセ
ス ポリシーを適用すること
●
一元的なマルチテナント ポリシー管理を提供すること
●
仮想マシンのモビリティをサポートすること
●
仮想データセンターとアプリケーションへのアクセスをセキュアにすること
●
残りのクラウド対応インフラストラクチャ部分に合わせて拡張可能なセキュリティ ソリューションを提供するこ
と
●
セキュリティ、ネットワーク、およびサーバの各管理者の職務を分離すること
Cisco VMDC アーキテクチャは、シスコの物理および仮想セキュリティ ポートフォリオを使用しています。これには、
Cisco ASA 5585-X 適応型セキュリティ アプライアンス、Cisco ASA 1000V クラウド ファイアウォール、Cisco VSG、
Cisco Nexus 1000V シリーズ スイッチ、そして一貫性のある物理エッジとテナント エッジ、テナント間セキュリティ、
およびポリシー管理を実現する Cisco Virtual Network Management Center(VNMC)が含まれます。Cisco
Nexus 1000V シリーズ スイッチの Cisco vPath は、セキュリティの俊敏性と効率を改善します。動的コンテキスト
対応のマルチテナント管理セキュリティは、Cisco VNMC を使用して提供されます。
マルチテナント化を実現するうえで、これまでは、ホストされるテナントごとに専用のインフラストラクチャが導入され
ていました。しかし、このアプローチは、コスト、管理の複雑性、不効率なリソース活用といった観点から、スケーラビ
リティが低いといえます。Cisco VMDC では、共通インフラストラクチャ内の複数のテナントは、共有リソースを効率
的に使用することができるため、コスト削減を実現できます。共通のインフラストラクチャを共有するテナントをお互
いから隔離し、テナントのセキュリティとプライバシーを確保するためには、テナントごとにパスを分離する必要があ
る場合があります。論理的な分離、あるいは仮想化は、マルチテナントの基本概念であり、Cisco VMDC アーキテ
クチャ内のネットワーク、コンピューティング、およびストレージの各レベルで実現されます(図 7)。
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 10 of 13
図6
マルチテナント設計
まとめ
シスコのプライベート クラウド向けセキュア データセンター ソリューションは、プライベート クラウド環境におけるマ
ルチテナント セキュリティを確保し、ネットワークのトラフィックとアクティビティを可視化して、顧客がクラウド ガバナ
ンス プロセスを維持できるように支援します。シスコ セキュリティは、一貫したポリシーと確実な適用、スケーラビリ
ティとパフォーマンスの向上によって、顧客がクラウドを導入する際のリスクを軽減します。シスコ セキュリティをシス
コ ユニファイド データセンターとともに利用すると、既存のデータセンターを更新、あるいは新しいデータセンターを
構築する会社は、クラウド導入の障壁を取り除くことができ、顧客がクラウド コンピューティングがもたらす規模の経
済と効率性をセキュアな方法で実現できるようにします。
関連情報
●
シスコ データセンター セキュリティ:
http://www.cisco.com/jp/go/dc_security/
●
Cisco ASA 5585-X アプライアンスと Cisco Catalyst® 6500 シリーズ ASA サービス モジュール:
http://www.cisco.com/web/JP/product/hs/ifmodule/csm/asasmc/index.html
●
Cisco IPS 4500 シリーズ センサーと Cisco ASA 5585-X IPS セキュリティ サービス プロセッサ:
http://www.cisco.com/jp/go/ips/
●
Cisco Nexus 1000V シリーズ スイッチ:http://www.cisco.com/jp/go/nexus1000/
●
Cisco VSG:http://www.cisco.com/jp/go/vsg/
●
Cisco ASA 1000V クラウド ファイアウォール:http://www.cisco.com/jp/go/asa1000v/
●
Cisco VNMC:http://www.cisco.com/jp/go/vnmc/
●
シスコ ユニファイド データセンター:http://www.cisco.com/jp/go/unifieddatacenter/
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 11 of 13
●
Cisco VMDC 検証済みデザイン:
http://www.cisco.com/jp/go/vmdc/
All contents are Copyright © 1992–2013 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 12 of 13
©2013 Cisco Systems, Inc. All rights reserved.
Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。
本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。
「パートナー」または「partner」という用語の使用はCiscoと他社との間のパートナーシップ関係を意味するものではありません。(0809R)
この資料に記載された仕様は予告なく変更する場合があります。
お問い合わせ先
シスコシステムズ合同会社
C11-722425-00JA 13.06
〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー
http://www.cisco.com/jp
お問い合わせ先:シスコ コンタクトセンター
0120-092-255(フリーコール、携帯・PHS含む)
電話受付時間 : 平日10:00~12:00、13:00~17:00
http://www.cisco.com/jp/go/contactcenter/
Fly UP