データセンター内通信を「ゼロトラスト化」するには?

新たなバトルフィールドになったデータセンター内(East-West)通信多くの企業が多額の費用をかけてセキュリティ対策を行っている。だが、大規模なセキュリティ事件/事故が止まらない。

その原因の1つは攻撃対象となる領域(アタックサーフェス)の爆発的な拡大だ(図表1)。かつてシステムの脆弱性を突く攻撃は数%だったが、最近では30%にまで拡大。システムが巨大化、高度化する中で、1つか2つの対策の抜け漏れが突かれる。

「以前は3層アーキテクチャで、ネットワークの出入り口を関所のようにファイアウォールで守っていました。ところが、今ではアプリケーションがモダナイズされ、コンテナ化も進み、クラウドも使うので、システムの実態をつかむことが難しくなっています。そのため、攻撃が一旦ファイアウォールを越えてしまうと、拡散を防ぐ手立てがないのです」

ヴイエムウェア株式会社のネットワーク&セキュリティ事業部 ネットワーク&セキュリティ技術統括部 シニアスペシャリストエンジニア 長門石晋氏はこう語る。

図表1 データセンター内のEast-West通信が新たな脅威に(画像クリックで拡大)

図1.NSX-Tによるビルトインアプローチ:分散アーキテクチャ

もう1つの原因は、従来型のアプローチではデータセンター内のトラフィックの2割程度しかセキュリティチェックができないことだ。

データセンターのトラフィックは、外部との通信(North-South)と内部通信(East-West)に分けられる。一般的なデータセンターでは内部と外部間の通信は約2割、残りの8割は内部通信である。そのため、外部との通信だけをチェックする対策では、通信の8割を見逃してしまうことになる。

無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。