Guest
sol_dc_02_main

データセンター セキュリティの強化

データセンター

概要

データセンター内に稼働するさまざまなアプリケーションの安全な運用を維持するため、Cisco ACI による L2-L4 レベルのポリシー ベース制御に加え、複数のエコ パートナーが提供する L7 レベルの次世代ファイアウォール機器や次世代 IPS 機器(侵入検知防御システム)などとのインテリジェントな連携を可能にします。

また、仮想デスクトップ環境においては、マイクロ セグメンテーション(μEPG)を活用することで、1 台 1 台の仮想マシン(VM)をマシン名や IP アドレス、MAC アドレスを基に識別し、同一ブリッジ ドメインであってもきめ細やかな仮想マシン間の通信制御を可能とします。

ポイント

  • Cisco ACI は、ホワイト リスト型のネットワーク ポリシー(L2 ~ L4 情報)により、データセンター内のサーバ間通信を従来型のアクセス リストに頼ることなくトラフィック制御が可能
  • 次世代ファイアウォールや次世代 IPS/IDS とのシームレスな連携で、サイバー攻撃による Web サーバのマルウェア感染を自動的に検出し、感染サーバの自動隔離が可能
  • 仮想デスクトップ環境では、Active Directory 認証と連動し、各社員が持つアクセス権限に基づいてサーバと仮想デスクトップ間のきめ細やかなアクセス制御を提供
  • Opflex(IETF で標準化中)による仮想スイッチ上での Cisco ACI ポリシー制御が可能

[ Cisco ACI デモンストレーション ]
データセンター セキュリティの強化
IPS 連携によるサーバの自動検疫

[+] SDN コントローラ(Cisco APIC)+ 次世代 IPS によるサーバ自動隔離

Cisco ACI は、Cisco FirePOWER シリーズとの連携により、フロント エンドの Web サーバなどがサイバー攻撃によってマルウェアに感染した場合、その Web サーバを自動的に隔離用ネットワークへ移動させてシステム被害の拡散を軽減します。
これは Cisco FirePOWER シリーズの FMC から Cisco APIC へ感染サーバの IP アドレスを知らせることで、Cisco APIC が隔離用仮想ネットワークを自動的に作成し、サーバの収容変更を行います。

Cisco ACI と Cisco Firepower シリーズ による
サーバ自動隔離

Cisco ACI と Cisco Firepower シリーズによる
セキュア仮想デスクトップ環境
User-Identity ベースでマイクロ セグメンテーションを実現

[+] 幅広いセキュリティ パートナーと連携

  • Cisco ACI はセキュリティ ベンダー各社との幅広いパートナーシップを構築しており、L7 レベルの次世代ファイアウォールや次世代 IPS/IDS などとインテリジェンスに連携可能

※SIEM : Security Information and Event Management - セキュリティ情報およびイベント管理

[+] オープン プロトコル OpFlex を活用

  • Cisco Application Policy Infrastructure Controller(APIC)と OpFlex を利用することで、マルチ データセンター環境でのポリシー フェデレーションによる完全なポリシー実行が可能になり、アプリケーションの大規模な導入と管理に対応
  • OpFlex プロトコルを通してさまざまなインフラストラクチャ プロバイダーに対し Cisco APIC のアプリケーション ポリシーを公開しており、マルチ ベンダー ネットワークの自動化と管理の簡素化を実現可能
  • OpFlexにより、主要なハイパーバイザ、スイッチ、ネットワーク サービス(L4~7)でのアプリケーション ポリシーに基づくセルフ設定が可能
  • シスコは OpFlex オープン ソース コミュニティの一員として長年にわたり活動しており、オープン ソース テクノロジーの発展の推進、オープン スタンダードの開発の拡大および持続可能なイノベーションを積極的に支援