「Symantec Data Center Security」で実現できること
では、VMware NSXのセキュリティ対策は、組み込みセキュリティサービスだけで十分なのか。答えは「No」だ。VMware NSXにはサードパーティのサービスも組み込める仕様になっている。つまり、運用に応じて個別のセキュリティ対策を講じることが前提なのだ。
サードパーティのセキュリティ対策ソフトとして注目されているのが、VMWare NSXにいち早く対応したシマンテックの「Symantec Data Center Security(DCS)」である。これは、バーチャルアプライアンスとしてVMware NSXへ実装され、サーバのセキュリティに求められる様々な機能を提供するソフトウェアだ。シグネチャベースのマルウエア対策や仮想パッチの提供といった、従来のウイルス侵入防止機能だけでなく、仮想OS上での脆弱性対策やウイルス実行をブロックしたり、仮想OS間のウイルスの感染拡大も阻止したりするなど、ハイパーバイザー・レベルで高度なセキュリティ機能を提供する。
マイクロセグメント単位で、監視/保護を実行する
※クリックすると拡大画像が見られます
またセキュリティ機能だけでなく、運用面での効率化が実現できることも、大きなアドバンテージである。モジュール単位でのセキュリティ運用は、きめ細やかなセキュリティ対策が設定できる反面、運用が煩雑になるという課題があった。しかし、DCSであれば、セキュリティポリシー管理とワークフローの統合が自動化されているので、担当者が運用管理に頭を抱えることはない。なにより、「ヒューマンエラーによる脆弱性の放置」を防止することができるのだ。
株式会社シマンテック
セールスエンジニアリング本部
セキュリティ製品技術部
マネージャ 西秀夫氏
DCSは、用途別に「Server」と「Server Advanced」という2つのエディションがあり、DCS Serverはエージェントレスのマルウエア防御機能を提供する。シマンテックでセールスエンジニアリング本部 セキュリティ製品技術部 マネージャを務める西秀夫氏は、「ネットワーク仮想化による課題は、ゲストOSが物理的に移動することによる管理サーバとエージェントの通信の切断です。しかし、DCS Serverはエージェントをハイパーバイザー側に入れることで、エージェントをOS側に入れなくてもマルウエア対策が可能となります。マイクロセグメント単位でサービスが稼働するので、マイクロセグメント間の通信が暗号化されていてもセキュリティを確保できるのです」と説明する。
※クリックすると拡大画像が見られます
一方、DCS Server Advancedは、DCS Serverとは異なり、OS上のアプリケーションやOS自体に対して脆弱性対策と侵入防止対策の機能を提供する。未許可プログラムの動作抑止と、アプリケーションデータへのアクセス制限を強制することで、セキュリティコンテンツの更新がなくても最新の攻撃パターンからシステムを防御する。また、仮想サーバのパフォーマンスへの影響が少ない「in-guestエージェント」を介して、ポリシーベースのきめ細かい制御を提供する。これにより、物理サーバ環境と仮想サーバ環境が混在する「ハイブリッド仮想化環境」を一元的に監視/保護することが可能だ。その他にも、マイクロセグメント単位で、アプリケーションのサンドボックス化、ファイアウォール、システムロックダウン、改ざん検知、デバイスコントロール、侵入検知・防止、ログファイル監視などを実現している。
ハイパーバイザー・レベルでウイルスの実行や感染をブロックする
※クリックすると拡大画像が見られます
DCS Server Advancedでも特に注目すべき機能は、アプリケーションの「ラッピング機能」だろう。
ラッピング機能は、アプリケーションに一切の変更を加えることなく、実行権限、ファイルアクセス、レジストリアクセスといったサーバで提供する機能を各アプリケーションに付与し、適切にコントロールする技術である。これにより、外部から不正侵入されたり、脆弱性を狙った攻撃を受けた場合でも「操作自体をさせない」ことで、様々な攻撃を防止できる。西氏は、「ラッピング機能はシグネチャを更新することなく、不正改ざんや設定ミスを監視できます。サーバ防御には最適な技術なのです」と説明する。
現在、DCSは、SDDC環境だけではなく、金融機関や社会インフラ系、制御システム、通信インフラ、流通のPOS(Point of Sales:販売時点情報管理)システムなど「パフォーマンスの低下を最低限に抑え、かつ頻繁にセキュリティアップデートが実行できないミッションクリティカルな環境」で数多くの導入実績を誇る。
※クリックすると拡大画像が見られます
今後、SDDCは急速に普及する。その際、セキュリティ対策をおざなりにし、システム全体を脅威にさらしてしまったら、その被害は計り知れない、SDDCの運用を検討している企業は、ぜひ「セキュア・バイ・デザイン」の思想に則り、堅牢なSDDCを構築してほしい。