データセンターセキュリティ

データセンターセキュリティとは

最新のデータセンターセキュリティには、複雑さを増すことなく、きめ細かな可視性、ポリシー制御、脅威検出および軽減の自動化を実現することが求められます。

1. 徹底的な可視化

データセンターネットワークは急速に変化しています。最も差し迫った課題は、コンピューティングリソースとストレージリソースを移動したりアップグレードしたりする一方で、ユーザーに対する運用の安定性と可視性を維持することです。

多くの種類のセキュリティインフラストラクチャからテレメトリを集約することができても、時間がかかり、問題が発生した後でしか特定できないことがよくあります。

2. セグメンテーション

どの接続を許可し、どの接続を拒否するかというポリシーを適切に定義するには、アプリケーションとデータに関連付けられたさまざまなユーザープロファイルを理解する必要があります。要件を特定することで、それに応じて適切なデータセンターアクセスプロファイルを開発できます。セグメンテーションは、セキュリティポリシーを適用できるよう、データセンターホストを論理的に分離することを指します。

セグメンテーションでは、データセンター内のすべてのEast-Westトラフィックをステートフルに検査し、悪意のある行為者が内部ネットワーク内を移動するのを阻止するポリシーを適用することで、望ましくないラテラルムーブメントを防止します。マイクロセグメンテーションでは、新たなアーキテクチャー設計を用いることなくセグメンテーションを実現できます。

マイクロセグメンテーションは、高度な監視を必要とするホストのサブセットに適用することも、より広範囲に適用してデータセンターのセキュリティ体制を最大限に生かすこともできます。

3. 脅威を軽減

現代のデータセンターインフラストラクチャでは、脅威を事前に検出して攻撃を抑えることが不可欠です。一元管理されたポリシーを1つの画面で確認することで、未知の脅威を軽減およびブロックできます。

自動化されたポリシーベースのネットワークセグメンテーションとマイクロセグメンテーションが必要であり、セキュリティアプライアンスの一元化はトラフィックフローの拡張には非効率です。データセンターエッジにあるハードウェアアプライアンスにトラフィックをヘアピン転送した場合、アプリケーション性能が損なわれ、拡張性が制限され、コストやレイテンシの増大につながります。

相互接続が増えたことに加えて、クラウドサービス、マイクロサービス、ソフトウェアコンポーネントが、異なるクラウドプラットフォームや企業ネットワークエッジにまたがって採用されるようになり、技術インフラストラクチャのセキュリティがかつてないほど複雑で重要になっています。ゼロトラストセキュリティアーキテクチャーの採用は、企業がこの課題に対応する1つの方法です。

同時に、人的要素が組織のセキュリティ戦略の大きな弱点となりうるため、ITインフラストラクチャを保護するうえで、従業員にパスワードと認証情報のセキュリティに関するトレーニングを行うことが非常に重要です。インフラストラクチャセキュリティは、次の4つのレベルを通じて企業のテクノロジー境界全体にわたりデータ保護を実装します。

• 物理: 盗難や破壊行為などから物理的インフラストラクチャを保護します。地理的に異なる拠点にオフサイトバックアップを置くデータリカバリ計画も、物理セキュリティ戦略の一部です。
• ネットワーク: オンプレミスまたはファイアウォール経由や多要素認証 (MFA) 経由のクラウドのいずれであっても、ネットワークトラフィックを監視して、ネットワークリソースへのアクセスを許可する前に検証します。
• 適用: 古いソフトウェアには、サイバー攻撃者がITシステムにアクセスするために悪用できる脆弱性が含まれている可能性があるため、ソフトウェアとファームウェアのアップデートが企業ネットワーク全体に配布され適用されるようにします。
• データ: 一般的なエンタープライズエンドポイントセキュリティ手段には、URLフィルタリング、ウイルス対策ツール、サンドボックス、セキュアメールゲートウェイ、エンドポイント検出/対応 (EDR) ツール、データ暗号化があります。