数年の建設期間を経て、キャンパスの情報技術プロジェクトは、数十台のラックサーバーとブレードサーバー、複数のストレージハードウェア、仮想化によって展開され、デジタルキャンパス、ウェブサイトクラスターシステム、その他多くのアプリケーション、2つのキャンパスにまたがるデータレベルのディザスタリカバリ、Linux/Windows、データベース、ミドルウェアなどの2つのプラットフォームをカバーしています。
近年、本学ではデータセンターのセキュリティ対策構築を強化し、セキュリティゲートウェイ、WEBアプリケーション保護、アンチウィルスソフトなどのセキュリティシステムを導入し、物理的な境界のセキュリティや端末のセキュリティを基本的に実現しています。しかし、仮想化システム自体の特性上、仮想化システムのホスト脆弱性対策を実現することは困難です。
物理サーバであろうと仮想サーバであろうと、その上のオペレーティングシステムや、様々なデータベース、ミドルウェア、その他のアプリケーションには、ハッカーやウイルスがサーバを攻撃するためのセキュリティ上の脆弱性が存在する可能性があります。この攻撃のプロセスは、一般的に以下の図1に示されています:
図1:脆弱性を悪用して攻撃を行うプロセス
物理的なパッチでサーバーの脆弱性に対処するには、関係するすべてのサードパーティのアプリケーション開発者と調整し、アプリケーションの互換性を確認する必要があります。このアプローチは、年に1~2回集中的に実施することは可能ですが、セキュリティの脆弱性に同期して実施することは現実的ではないと思います。現状では、いくつかの重要なセキュリティ脆弱性に対してネットワークIPS機器を一般的に使用してポリシーブロッキングを行っています。しかし、IPSに添付するポリシーの数が多すぎると、IPSのパフォーマンスが不十分になってしまいます。実際、この方法は、ポリシーをブロックするセキュリティホールの限られた数に対してしか設定できず、様々なオペレーティングシステムやアプリケーションソフトウェアに存在する数千のセキュリティホールと比較すると、バケツの中の一滴のようなものです。このジレンマに応答して、ホストのセキュリティは、一般的にネットワークIPSに加えて、ホストファイアウォールとホストIPSシステムの実装では、各サーバ上のホストハードニングソフトウェアの展開は、IPSのポリシーのほとんどは、ホストに共有され、このように、オペレーティングシステムおよび各独立したホスト上のアプリケーションに起因する制限され、そのホストIPSは、ポリシーをホストする必要がありますされませんユーザーのためのより高い要件があります。多くは、基本的にセキュリティのニーズを満たすことができます。
従来のサーバールームでは、スイッチ、ルーター、ファイアウォール、IPSといった従来のセキュリティ機器を使用して、さまざまなセキュリティ機能を実現することができます。しかし、仮想化環境では、仮想化ソフトウェアの下部にある仮想スイッチを介して仮想マシン同士が直接通信するため、攻撃者が仮想サーバを利用して別の仮想サーバを攻撃した場合、内部攻撃を検知するために境界に配置したIPSやファイアウォール、IDSは役に立ちません。
実のところ、仮想化環境におけるホスト・セキュリティは、「仮想化」という観点から捉え、考える必要があります。VMwareの仮想化ソフトウェアは、例えば、VMwareの仮想化システム全体、すべての仮想マシンVMは、通信のためにvSwitch仮想スイッチを介して、VMwareは、通信制御を運ぶためにAPIの2つのセットを使用しています。VMsafe APIはネットワーク関連の通信を担当し、vShield Endpoint APIはコンテンツとアプリケーション関連の通信を担当します。セキュリティ・ソフトウェアがVMwareの仮想化ソフトウェアの下部に組み込まれ、これら2組のAPIを直接呼び出すことができれば、仮想サーバのセキュリティを含め、仮想化環境自体のセキュリティを実現することはできません。
もちろん、仮想化環境では、各仮想サーバーのリソース利用率は一般的に50%以上に達することが知られており、これは物理マシン時代の平均10%前後から5倍に増加したことになります。この観点から、仮想化環境向けのセキュリティ・ソフトウェアを各仮想マシンに導入する必要がある場合は、慎重に検討する必要があります。結局のところ、セキュリティ・ソフトウェア自体が非常にリソースを消費し、リソースの「取り合い」に慣れており、セキュリティ・ソフトウェアのスキャンや更新などは非常にリソースを消費します。
つまり、仮想化ソフトウェアの最下層にファイアウォールやIPSの機能を実現する組み込みソフトウェアをインストールすることです。このエージェントレスファイアウォールやIPSは、仮想マシン間や仮想マシンと外部との通信を制御することができますが、仮想マシンごとにカスタマイズされたIPSやファイアウォールポリシーを実現するために、各仮想サーバにエージェントをインストールしないという前提もあります。簡単に言えば、VMwareのESX上にセキュリティ仮想マシンをインストールし、ESX上に仮想化された異なる仮想サーバとそのアプリケーションに対して異なる脆弱性保護セキュリティポリシーを実装し、仮想マシン間で起こり得る相互攻撃やスプリングボード攻撃をブロックすることができます。この種のセキュリティ保護は、前述の仮想化システムのコンパクトなリソース利用を考慮する必要があり、仮想化システムに大きなリソース負担を強いることはできません。さらに、この戦略と保護を実装するプロセスでは、オペレーティング・システム、データベース、ミドルウェア、その他のアプリケーションのカーネルを変更することはできず、サーバーの再起動はもちろん、「互換性の問題」を引き起こすこともできません。
1、包括的な製品の機能は、トレンドマイクロDeepSecurityは完全に仮想化環境の全体的なセキュリティを実現することができます。
2、製品の相対的な成熟度は、DeepSecurityの製品は2006年から今日まで、他のベンダーが発売した同様の製品のほとんどはわずか1年あるいは数ヶ月ながら、長い歴史があります。
3、多くの応用事例があり、仮想化とクラウドコンピューティングのリーダーであるVMwareやAmazon自身もトレンドマイクロのDeepSecurity製品を使用しています。県内の姉妹大学や教育機関でも導入が進んでいます。
トレンドマイクロのDeepSecurityは、仮想化環境全体のセキュリティに対してエージェントレスアプローチを採用しています。以下は、エージェントレスセキュリティの図です:
図2:エージェントレス・セキュリティの概念図
仮想化環境にTrend Micro DeepSecurityを導入することで、VMwareのvCenterにあるDeepSecurityのコンソールを直接呼び出して仮想化環境のホスト脆弱性スキャンを行い、その結果に基づいてDeepSecurityが提示する「仮想パッチ」の推奨ポリシーを適用することができます。スキャン結果に基づいてDeepSecurityが提示する「仮想パッチ」推奨ポリシーを適用することで、仮想化環境全体のホストの脆弱性を一律に保護することができます。もちろん、独自の保護ポリシーを設定することも可能です。上記の作業はマウス操作で、管理者が保護ポリシーを記述する必要がないため、時間を大幅に節約でき、専門的な知識もあまり必要ありません。
IT技術は日々変化しており、大学情報構築の仮想化時代の到来は抗しがたいものがあります。新しい時代と新しい技術のシステムアーキテクチャの中で、大学ネットワークのセキュリティをどのように考慮するかは、すべての大学のIT管理者の責任です。新しい技術に直面し、新しいアーキテクチャは、課題をもたらし、唯一の最新のネットワークセキュリティの脅威に直面するために、ネットワークセキュリティシステムを再考する前提の下で新技術の原理を分析し、習得することができますので、情報技術は、より良い大学の建設と発展に役立つように。
