〜vExperts Advent Calendar 2016 に参加中です〜http://www.adventar.org/calendars/1709
白山さんから受け継ぎました。
今日は”もう知ってるよ!!”な方も多いと思いますが、、マイセグ(MicroSegmentation)について 各方面で反応が良かったので、おさらいします。
今も話題となるのは 標的型攻撃によるマルウェア感染 です。
<絶対に100%感染しない> を持続するのは難しいと断言します。
被害にあったときのダメージも計り知れませんね。
対策も無限ループです。
この手の情報といえばIPAでしたが、経済産業省も本気ですね。
ざっくりまとめると、こんな感じ
ということで、感染しても被害は最小限 という、感染を前提とした新しい考え が必要だと思います。
よく聞かれたのが、NSXを入れればOK なんでしょ? ですが、それは違います。
そもそもNSXといえば、ネットワーク仮想化ですが
2つの顔があります。
(1)自由で効率的なネットワークを実現
(2)物理環境では考えられなかった仮想NIC単位のセキュリティ対策
「なんでネットワーク仮想化がセキュリティに?」と思うかもしれませんが
その仕組みの一部を使って
「分散FireWall(DistributedFW)」の機能をセキュリティに活用することを、
マイクロセグメンテーション というのです。
ざっくりいいますと、何かあったら ケーブルを抜く という動作に近い状態を、NSXにて制御してもらいます。
仮想環境に移行にしないとNSXの仕組みを使えないので、VDI環境にして”ネットワークが制御できる状態”にする前提があります。
そして、拡散を防止すること
これを実現するには、2つの仕組みが必要なのです。
中身を見ると、すごく単純で・・・
分散仮想スイッチ(vDS)にあるポートセキュリティの仕組み(dvFilter(※))とDeepSecurityがうまく連携するようになっているのです。
※言い換えればL3スイッチのACL
これをまとめると 拡散防止ソリューション というのです。
この100%受けないように防御するのではなく、ある程度許容するというのが、もっとも有効だと私は信じています。
感染を前提にする新しい考え=拡散防止 この新しい考えを実現するには NSXだけじゃなくて、VDIとDeepSecurityの3つがセットで最強なんです。
かなり情報を削ってしまいましたが、もっとDeepなお話は BusinessMailをいただけたらとおもいます。
明日は、tunemicky さんです。
http://www.adventar.org/calendars/1709
それでは、このへんで・・・