★☆★JNSAメールマガジン 第23号 2013.11.22.☆★☆
JNSAメールマガジン 第23号 をお届けします。
2013年流行語大賞のノミネートが発表されました。一覧を見てみますと、「じぇじぇじぇ・アベノミクス・3倍返し」など、なるほど!と思えるものから、知らないなあと思えるものまで全部で50語が候補にあがっています。みなさんの心の中の今年の流行語大賞は何でしょうか?
2013ユーキャン新語・流行語大賞
http://singo.jiyu.co.jp/nominate/nominate2013.html
おまけ:本日は「いい夫婦の日」だそうです。ボジョレーヌーボーも解禁となりましたし、たまには夫婦でお家でワインを開けるのもいいですね!
さて、今回の連載リレーコラムは、JNSA幹事でシスコシステムズ合同会社コンサルティングシステムズエンジニア 木村 滋様からの寄稿です。
「SDN時代のネットワークセキュリティ実装に求められる要素技術」
(JNSA幹事 シスコシステムズ合同会社 コンサルティングシステムズエンジニア 木村 滋)
今日のITメディア、雑誌にSoftware Defined Network(SDN)というキーワードが取り上げられないことは無いと言えるほど、企業内のIT資産の保護のためベースラインと言えるセキュリティアプローチである、Firewall、IPS、アンチマルウェア等の専用装置が配置されるネットワークが、このキーワードにより大きく変革を遂げていると言える。
SDN化が進んでいく今後に置いて、特にネットワーク周りにおけるセキュリティ実装周り起こる変化と、その時に求められる要素技術を考察してみる。
Software Defined Networkとは?今やインターネットアーキテクチャを白紙から考えなおすスタンフォード大学「Clean Slate」プロジェクトから生まれた標準化プロトコルOpenFlowをベースとするネットワーク抽象化、制御の考え方の定義から、各ソフトウェア、仮想化、ネットワークベンダーがこれまで市場に投入してきた製品の歴史に基づき、独自の価値を加えた新しいネットワークのコンセプトに意味を広げている。
それでも尚、これまでの機器のコントロールプレーン(制御)とデータプレーン(転送)を分離、ネットワークの抽象化を行い、集約されたソフトウェアからこれまでに実現が難しかった制御を行う新しいアプローチという考え方は一般的に根付いている。
まず、これまでのネットワークセキュリティ実装のベストプラクティスについて振り返り、整理する。
脅威の対象(インターネット)から保護する資産(サーバ、デスクトップ上のデータ)までのネットワーク経路について、それぞれ必要とされるトラフィック(プロトコル、サービス)と資産価値、重要度に応じたセキュリティドメインとして分離する
マイクロセグメンテーションによりセグメント化されたセキュリティドメインの境界に制御を実施する。ここで言うアクセスコントロールとは、本題テーマである各種ネットワークセキュリティ製品での制御機能を意味し、ルータ等のインターフェースに適用するプロトコル、トランスポートベースのACLだけでは無い(もちろんACLも含まれる)
セキュリティドメインは通常何層にも分断される。境界に必要とされる制御に要する処理能力あたりの実装単価は現実的に大きく差があるため、一台で全要件を満たせる製品は存在しない。このため要所に応じた製品配置が必要になる。例として、資産がWebベースアプリケーション上の個人情報とした場合、理想的な機器の配置は、脅威に近い位置から、
- 「アンチDDoS」→「DDoS検知」→「Firewall」→「次世代Firewall」→
「IPS」→「WebアプリケーションFirewall」→「DBセキュリティ」→
「ネットワークインフラセキュリティ」(スイッチ上の機能)→
「コンピューティングセキュリティエージェント」(AV、振る舞い検知等)
このような一般的なセキュリティアプローチ、製品実装がSDNによって今後どのように変化していくか技術要素の観点で大まか挙げていきたい。
- ベンダーから提供されるHWセキュリティアプライアンスは、今後一層サーバ仮想化と同じアプローチにより、汎用サーバ上仮想化基盤の上での展開が加速する。仮想アプライアンスは今に始まった技術では無い。ただしSDNのコンセプトにより再定義が行われている。仮想化されたセキュリティ機能の連結(サービスチェイン)機能、上位オーケストレーションツールによる例えば稼働状況を基にした仮想セキュリティ機能自体の動的プロビジョニング、そして展開された機能に対するセキュリティポリシー設定のためAPI実装が拡充されるだろう。
セキュリティも含めたネットワーク機能の仮想化標準化における特にキャリアからの要求事項は、ETSI(欧州電気通信標準化機構)ワーキンググループにおいて議論されている。
- セキュリティアプライアンスの仮想化が進んでも、これまでの専用機はベースラインの制御を行う位置づけとして、これまで以上の高スループットをハンドリングする。このためファブリックの一部としてこれまで以上にハイアベイラビリティの機能が求めら、今後、接続されるデータセンタースイッチで実装されるファブリック技術との統合、それによるクラスター技術が進化していく。
- これまでのセキュリティサービスの連結はアプライアンスによるブリッジングやルーティングによって静的なスイッチとの物理ケーブリング、設定により行われてきた。SDN化、仮想化の中で今後さらに高速で動的なサービス連結の変更が要求されており、これまでのブリッジング、ルーティングに依存しないサービスチェーンの標準化(例:Network Service Header)や主にネットワークベンダーによる独自技術実装(例:Cisco Nexus 1000V vPath)が始まっている。
またVXLANに代表される仮想オーバーレイの技術は、ネットワーク仮想化製品がSDNの一部として認知されていることもあり、特にセキュリティ機能仮想化とともに技術統合が進んでいく。
これまでと今後のネットワークセキュリティシステム実装のポイントについてま とめてきた。結局何が言いたいのかは至ってシンプルである。一つ目は、「多段防 衛と導入デザイン上の本質的なアプローチは変わらない。」ということ、二つ目は 「これからのセキュリティ機能を実装するネットワークとコンピューティング周り の技術に注意し理解を深める。」ということである。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。
★「組織で働く人間が引き起こす不正・事故対応WG」では12月13日(金)に内部不正対応ソリューションガイド公開イベントを企画中です。詳細は近日中に発表予定です。
★12月2日(月)13:30より東京都町田市で「インターネット安全教室」を開催します。
お申し込みはこちら↓から。(参加費無料)
http://www.net-anzen.go.jp/schedule/2013/12/131202-1.html
★SECCON2013東北大会(福島)の試合結果を公開しました。
https://www.jnsa.org/seccon/
★JNSAの部会・WGは会員企業の方でしたらどなたでも参加できます。
参加のご希望がありましたら、JNSA事務局までお気軽にお問い合せ下さい。
部会・WG予定・その他 活動スケジュールはこちらをご覧下さい。
https://www.jnsa.org/aboutus/schedule.html
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願い致します。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第23号
発信日:2013年11月22日
発行: JNSA事務局
*************************************
