仮想化は不可能を可能にし、可能を一般化しました。サーバーの統合からクラウド・コンピューティングまで、仮想化は現在、世界中で支配的なコンピューティング・プラットフォームとなっています。
コンピューティング・パワーを拡張するだけでなく、仮想化はネットワーク・セキュリティを向上させる手段としても考えられています。ネットワーク仮想化では、分離とマルチテナンシーによってセキュリティを向上させることができます。
ネットワーク仮想化によるセキュリティの向上
クラウドデータセンターでは、アプリケーションのワークロードは自由にプロビジョニング、移行、オフライン化され、クラウド管理ソフトウェアがコンピュート、ストレージ、ネットワークの容量をオンデマンドで割り当てます。
ダイナミックな環境にネットワーク仮想化を加えることで、ネットワークの運用方法は完全に変わります。このような大きな変化は、しばしばセキュリティ担当者を不安にさせます。しかし実際には、ネットワーク仮想化にはネットワーク・セキュリティ上のメリットがいくつか組み込まれています。これらの利点には、分離とマルチテナント化、ネットワーク・セグメンテーション、分散ファイアウォール、サービスの挿入とリンクなどがあります。ネットワーク仮想化プラットフォームは、これらの機能を他のセキュリティ機能と組み合わせることで、ソフトウェア定義のデータセンターにおけるセキュリティ運用を効率化することができます。
分離とマルチテナント
ネットワーク仮想化の核となる機能は分離です。これはコンプライアンスや封じ込めのためであれ、単に開発環境、テスト環境、本番環境が相互に影響し合わないようにするためであれ、ほとんどのネットワーク・セキュリティの基本です。デフォルトでは、仮想ネットワークは基盤となる物理ネットワークから分離され、最小特権セキュリティの原則を提供します。この分離を有効にするには、物理的なサブネット、VLAN、ACL、ファイアウォールルールは必要ありません。
データセンター内の任意の場所に分散されたワークロードで構成される隔離された仮想ネットワーク。同じ仮想ネットワーク内のワークロードは、同じハイパーバイザーに存在することも、異なるハイパーバイザーに存在することもできます。複数の分離された仮想ネットワーク内のワークロードは、同じハイパーバイザーに存在できます。仮想ネットワーク間の分離により、IPアドレスの重複が可能になるため、仮想ネットワークの独立した開発、テスト、本番稼動が可能になります。
仮想ネットワークは、基盤となる物理インフラストラクチャからも分離されています。ハイパーバイザー間のトラフィックはカプセル化されるため、物理ネットワークデバイスは仮想ネットワークに接続されたワークロードとは全く異なるアドレス空間で動作します。例えば、仮想ネットワークはIPv4物理ネットワークの上でIPv6アプリケーションのワークロードをサポートすることができます。このように分離することで、仮想ネットワークのワークロードによって開始される攻撃が、基盤となる物理インフラストラクチャに影響を与えることを防ぎます。
ネットワーク仮想化の熱が高いと、ネットワーク仮想化の詳細なアプリケーションでは、同時に、セキュリティ上の問題は、ネットワーク仮想化の機能を再生する妨げに重要な影響となっている、ネットワーク仮想化のセキュリティを向上させるために、分離とマルチテナント対策の使用は非常に効果的ですが、ユーザーは試してみることをお勧めします。
