マルチクラウド環境をセキュリティ保護するための統一的なアプローチ: HyTrust CloudControl Ver 6 [概要編]

概要

ここ数年で、パブリッククラウドが急速に普及してきましたが、その主な理由は次になります。

• Dockerコンテナ＆Kubernetesなどの新技術
• クラウドネイティブアプリケーションへの欲求の増大
• マイクロサービスなどを使用してモノリシックアプリケーションを近代化する必要性の増大

次のようなさまざまな理由で、マルチクラウド戦略を採用する企業が増えています。

• ベンダーロックインの回避
• コスト削減など

上記の傾向は、マルチクラウドの管理者や監査人にとって新たな問題を引き起こしています。 たとえば、許可ポリシーの管理に関して、管理者はさまざまなツールを理解し、許可ポリシーを適切に設定する必要があります。 これは以下の理由で非常に複雑になる可能性があります。

• ユーザーインターフェイス/ APIは、一般的にクラウドベンダー固有である。
• 特定のリソースの用語と表現に一貫性がない。
• リソースに対して実行できる操作は同じではない可能性があり、たとえそれらが同じであっても、操作は異なる名前が付けられる可能性があります。 また、実行することができる操作の細分性が著しく異なることがあり、その結果、一貫した職務分離が達成できないか、または正しく構成するには過度に複雑になる可能性がある。

無数のツール、さらに重要なことにはこれらのツールのサイロ化された性質、およびそのような環境で共通または一貫した一連の認証ポリシーを使用できないことは、最終的にはマルチクラウド環境のセキュリティ構成の低下につながり、悪用の容易なターゲットになる可能性があります。

ここでは、マルチクラウド環境を保護するためのHyTrustのアプローチの基本となる重要な概念とテーマのいくつかを取り上げます。 これらはHyTrust社の主力製品であるHyTrust CloudControl製品の最新バージョン6で実装されています。

主な概念とテーマ

1.統一された可視性

何よりもまず、セキュリティは特定の企業の資産の可視性から始まります。 ユーザが気付いていないことを守ることはできません。 今日、マルチクラウド企業では、在庫を把握するために、それぞれのクラウドベンダー固有のサイロ・コンソールを使用する必要があります。 HyTrust CloudControl 6.0は、以下の原則に基づいてすべてのリソースの包括的なビューを提供します。

• 抽象化されたインベントリ・データモデルを使用した、マルチクラウド環境内の全リソースの統一された、一貫した正規化されたビュー： 今日では、AWSコンソールにログインしてAWS EC2インスタンスを表示し、VMware Virtual CenterにログインしてvSphere VMなどを表示する必要があります。
• 関連リソースとそのコンテキストのエンドツーエンドのビュー： たとえば、コンテナがVMまたはベアメタルのどちらで実行されているかを知ることは、関連するリソースを適切に保護するために非常に重要です。
• マルチクラウド内のリソースに対して実行されたさまざまな操作に関するすべての監査ログの一貫した統合ビュー： 今日では、AWS運用のCloud TrailログとvSphereイベントのVirtualCenterログを確認する必要があります。

2. 統一されたポリシー

マルチクラウドの世界では、ワークロードはパブリック・クラウド間で移動する可能性があり、一貫したセキュリティ体制を維持することが非常に重要です。 今日、マルチクラウドにまたがってセキュリティポリシーを設定するには、それぞれのクラウドプラットフォームの複雑性を深く理解する必要があります。 クラウド・プラットフォームの異種性により、一貫したポリシーを設定することは非常に困難です。

HyTrust CloudControl 6.0は、マルチクラウド環境でさまざまなセキュリティ・ポリシーを設定するための単一のペインを提供します。 たとえば、アクセス制御ポリシーの設定に関しては、HyTrust CloudControlは抽象操作で構成された抽象化されたロールの概念を提供します。 たとえば、VM_User_Roleという抽象ロールがあり、これは次の抽象化された操作で構成されます。

• Compute.Vm.Create
• Compute.Vm.Edit
• Compute.Vm.Delete
• Compute.Vm.View

そのような抽象化された役割は、それぞれのIDおよびアクセス制御APIを使用してターゲット・プラットフォームに適切にプロビジョニングされます。 たとえば、AWSの場合、適切な管理ポリシーがJSONで生成され、AWS IAMにプロビジョニングされます。

そのため、HyTrust CloudControlを使用すると、管理者はクラウドプラットフォームに関する知識や知識がなくてもアクセス制御ポリシーを一元的に定義でき、代わりにHyTrust CloudControlを使用してそれぞれのクラウドプラットフォームにポリシーを適切にプロビジョニングできます。 同様に、構成の強化、二次承認など、他のセキュリティ管理策のポリシーを一元的に定義して管理することもできます。

3.セキュリティ自動化

クラウドの動的な性質とDevOpsが本番環境に新しいビルドをプッシュするような急速なペースについていくには、セキュリティも敏捷である必要があります。HyTrust CloudControl 6.0は、宣言的なセキュリティ・アプローチを採用しています。トラストマニフェストと呼ばれるYAMLドキュメントを通してコードとして定義されます。

トラストマニフェストは、豊富な直感的なUIを介して、またはviやemacsなどのお気に入りのエディタを直接使用して作成できます。 信頼マニフェストは、それぞれがアクセス制御、構成強化、展開制御などのセキュリティポリシーの種類に対応するさまざまなセクションで構成されます。

そのようなトラストマニフェストは、AWSアカウント、Kubernetesクラスタ、ネームスペースなどのさまざまなレベルで割り当てることができ、セキュリティポリシーは、新しいリソースが作成されたときに自動的に新しいリソースに適用されます。

関連トピックス

• VMware、パブリッククラウド、コンテナ間でハイブリッド・マルチクラウド・セキュリティとコンプライアンスを提供する唯一のソリューション：HyTrust CloudControl 6.0が正式リリース
• 豊富なアクセス制御でBYODのセキュリティリスクを解決 [Accops]
• Webセミナー録画とプレゼンテーション『高まるテレワーク需要をセキュアに実現！ホットなVDIソリューションをご紹介』：2020/3/10 開催
• CloudBerry BackupでのMS Exchangeバックアップ方法
• HyTrustはVMware vSphere VM暗号化の認定KMSです！
• StarWind Virtual SAN(vSAN)ハイブリッド・クラウド [for Azure］
• VMimportロールの設定方法：CloudBerry Backup
• Veeam Backup for Microsoft Azure v4のAzure Files バックアップについて
• バックアップジョブの長期保存ポリシー（GFS）[Veeam Backup & Replication]
• 【CloudBerry】日本リージョン対応クラウド一覧