ソリューション設計ガイド「Cisco Validated Design」

シスコ ユニファイド データセンター アーキテクチャにおけるセキュアな分離

ホワイト ペーパー





シスコ ユニファイド データセンター アーキテクチャにおけるセキュアな分離



概要


本書は、自社データセンターの効率性と柔軟性を向上したいと考え、サービスとしての IT(ITaaS)の提供手段として一般的に使用されるプライベート クラウドやマルチテナント データセンター環境に、セキュリティを実装する最善の方法を検討している技術者を対象としています。

データセンターの変革とは、その過程において予測可能な IT の課題を伴う進化の行程です。セキュリティならびにそれをデータセンターのインフラストラクチャに組み込むことは、アプリケーションごとの専用インフラから共有モデルへの移行を調整する IT 部門がよく直面する課題です。これらの課題に対応するため、シスコ®ユニファイド データセンター プラットフォームは、シスコ ユニファイド コンピューティング、ユニファイド ファブリック、およびユニファイド マネジメントという 3 つのテクノロジーの柱をお届けします。本書は、シスコ ユニファイド ファブリックの特長、機能、および製品に加え、セキュアなネットワーク構築におけるその用途に主に焦点を当てています。本書を読み終えると、セキュアな分離という概念を理解できるようになり、セキュアなマルチテナント データセンターを導入するにあたって、考慮すべき要素を認識できるようになります。

はじめに


今日の企業には、現在と将来のビジネス ニーズに即応でき、しかもコスト効果と効率性の高いサービスを提供するよう求める重圧が高まっています。IT の観点から考えると、これらのサービスには、IT インフラストラクチャの統合、プラットフォームの統一、仮想化、自動化を通じて、十分に活用されていない従来のシステムから移行し、IT 運用を簡素化する取り組みが含まれます。さらに、これらの取り組みには、新しいアプリケーションやサービスを即時に展開するために、IT 部門をより機敏にすることが必要とされます。これらの目標を実現するため、従来のデータセンターを仮想化された環境、そして最終的には、パブリック、プライベート、またはハイブリッド クラウドの環境に変えていくアーキテクチャ革命が始まっています。

このトレンドは、クラウド環境へ移行する前に対応すべき新たなセキュリティ課題も生み出しています。これらの課題は、新たなビジネス コンピューティング モデルにより、技術上の問題と大幅なプロセス変更の双方が関わるため、複雑さを伴います。企業がインフラストラクチャを移行し、進化させるにあたって、これらの新しいアーキテクチャにセキュリティがどのように組み込まれるのか十分に理解し、自社の環境全体にわたり、情報の転送を確実に保護するための新しいセキュリティ ツールを採用する必要があります。さらに、新しいセキュリティ ポリシーやテクノロジーが、新しい仮想データセンター環境のスケーラビリティとパフォーマンスを制限しないようにしなければなりません。

セグメント化かつ共有される仮想環境をホストする企業やサービス プロバイダーにとって極めて重要なセキュリティ要件は、セキュアな分離です。セキュアな分離、あるいはマルチテナントとは、共通のコンピューティング、ストレージ、およびネットワーク インフラストラクチャを使用しながら、顧客またはテナントの分離、セキュリティ、コンプライアンス、サービスレベル契約(SLA)の各種要件を満たすために、ワークロードと仮想マシンを切り離すことです。今日の統合されたデータセンターやクラウドには、単純なセグメンテーションからネットワーク トラフィックの完全な分離と厳格なアクセス制御ポリシーまで及ぶニーズを持つ、多様なユーザ グループが存在します。

企業がプライベート クラウド環境へ移行し、これまでテナントごとまたは部門ごとに物理的に専用のものとして使用されてきた基礎インフラストラクチャを仮想化するにあたり、現行レベルのセキュリティ、コンプライアンス、およびサービス品質(QoS)を確実に維持できるようにしなければなりません。

本書では、導入事例を通して、さまざまなレベルのセキュアな分離を検討します。組織の成長過程において、物理から仮想、そしてクラウド コンピューティング環境へと進化するにつれ、どのような異なるレベルのセキュアな分離が必要になるかを説明します。また、これには最高レベルのセキュアな分離を実現する導入事例も含まれます。本書では、専用インフラストラクチャから始め、プライベート クラウド環境への移行まで、企業が次の成長サイクルを経験するにあたって必要となる各種レベルのセキュアな分離を取り上げています。

  1. 単一の共有インフラストラクチャと複数のアプリケーションを持ち、アプリケーションと部門間でセキュアな分離を必要とする組織
    • ミッションクリティカルなアプリケーション専用のインフラストラクチャ。Oracle や SAP などのアプリケーションによく見られる要件
  2. 共有インフラストラクチャとセキュアな分離要件を持つ大規模な組織
    • SLA やビジネスの優先事項に基づく異なる QoS 要件を持つ複数の部門(たとえば、顧客関係管理システム(CRM)のトラフィックは、ビデオ トラフィックより SLA 保証が高くなる)
    • 仮想化の基本前提:共有リソースと各種ソフトウェア アプリケーション用の仮想コンテナ
  3. 単一の組織から複数の組織へと拡大し、さらなる分離と仮想化を求め、被買収組織を統合するためにプライベート クラウドとクラウド リソースを提供する組織
    • 法的な分離要件を満たし、トラフィックがオーバラップしないようにする必要がある(たとえば、クレジットカード情報を管理するグループは、エンジニアリング用ネットワークとは異なるセキュリティが必要)
    • 個々の仮想環境の分離が絶対不可欠
  4. IT 部門がサービス プロバイダーの役割を果たす、ヘルスケア組織などの SLA が保証される事例
    • 境界の作成と分離の保証
    • オーケストレーションと簡素化

セキュアな分離のためのセキュリティ モデルの設計


データセンターにおける IT 部門の最大の懸念の 1 つに、セキュリティがあります。顧客は、貴重なデータを守り、確実なサービス デリバリを実現し、可用性を高め、規制要件を遵守することを求めています。これに加え、大量のワークロード、多種多様なデータ、トランザクション量の多いネットワーク トラフィックを処理できるハイ パフォーマンスなデータセンター セキュリティを必要としています。IT 部門は、マルチテナントまたはプライベート クラウド環境への移行を調査するにあたって、次のよくあるセキュリティ上の懸念と概念を念頭に置く必要があります。

マルチテナントとセグメント化

  • マルチテナント:小規模の分散されたデータセンターは、少数のアプリケーションをホストしたり、単一の組織をサポートしているのに対して、今日の統合されたデータセンターおよびクラウドでは、同じ物理サーバとネットワーク インフラを共有していながらも、ネットワーク トラフィックの完全な分離と厳格なアクセス制御ポリシーを必要とする多種多様なユーザ グループが存在します。これらと同じ要件が、内部テナントの分離が求められるプライベートな仮想データセンターやプライベート クラウドにも適用されます。
  • セグメント化:大企業は、事業部門、重要度(ミッション クリティカルまたは非ミッション クリティカル)、機能などでセグメント化できる数千ものアプリケーションを利用しています。これらの各セグメントは、社内外の脅威による損失を防ぐために、物理ネットワークからクラウドに及ぶまで、一貫性のあるセキュリティ管理でもって保護されなければなりません。組織がよりセグメント化され、仮想化され、アプリケーションをクラウドへ移行するにつれ、ネットワークの高度化と複雑度が増していきます。これに自動化とオーケストレーションが加わると、一層複雑化します。

アプリケーションへのセキュア アクセス

  • ID と認可:移動性がますます高まり、安全対策が施されていないデバイスが増え、脅威が高度化される世界においては、ネットワークが、アプリケーションに代わってセキュリティ ポリシーを適用する役割を担当する必要があります。ネットワークがよりコンテキスト アウェア、そしてアプリケーション アウェアになるにつれ、アプリケーション エンドポイントの役割を引き継ぎ、これまで以上にユーザ認証やアクセス ポリシーに基づいた認可処理を行うようになります。ネットワークのセキュリティ インフラストラクチャでは、ID や役割ベースのポリシーの適用に加え、その他のコンテキスト上の決定作業が要求されています。データセンターまたはクラウドにおけるアプリケーションやサーバへのトラフィックをブロックする機能は、典型的な発信元アドレスと宛先アドレスに基づかせることはできません。今は、トランザクションにおけるユーザの ID や役割、プロセス、またはアプリケーションに基づいてブロックする必要があります。
  • ローカル アクセスとリモート アクセス:アクセスは、アプリケーションにアクセスするデバイスの種類、ユーザの所在地、リクエストの時間など、ID 以外のコンテキスト固有の属性に基づかせることもできます。これらのコンテキスト アウェアなポリシーは、データセンターのファイアウォールと侵入防止システム(IPS)の責任になりつつあり、そのために、これらのポリシーに基づいてトラフィックを検出および制御する機能やマルウェアの存在、不正アクセスの試み、高度な攻撃を監視する機能を拡張しなければなりません。今日の企業では、幅広いミッションクリティカルな商用アプリケーションや高度にカスタマイズされたアプリケーションが稼働しています。このようなアプリケーションに含まれるデータは、攻撃側にとっては非常に貴重ですが、ユーザがこのデータにアクセスできることにより生産性が向上し、企業の成功を促進することができます。

クラウドにおける可視性とコンプライアンス

  • システムの複雑性と複数チーム:多くの企業は、パブリックまたはハイブリッド クラウドへ移行することにより、可視性を失うものと考えています。仮想領域外にある従来のファイアウォールや IPS では、仮想マシン間のトラフィックを見ることができません。多くのパブリック クラウドのシナリオにおいて、クラウド環境が外部ソースによって管理されているため、顧客は根底にあるセキュリティ製品に関する知識をもっていないのが現状です。
  • コンプライアンス:クラウド インフラストラクチャは、業界標準、顧客標準、そして規制当局の基準を満たすものでなければなりません。さらに、可視性と監査機能を備えている必要があります。ヘルスケア、金融、政府といった重要なコンプライアンス規制がある業界は、監査証跡が不十分になることを恐れています。
  • プライベートまたはパブリック クラウド:企業の多くが制御性や可視性の損失を懸念し、パブリック クラウドではなく、プライベート クラウドへ移行することの方がより良い選択肢と考えています。しかし、プライベート クラウドにおいても、情報セキュリティに対する懸念やニーズは依然として存在し、データとアプリケーションへのアクセスをセキュアにしなければなりません。実際、セキュリティは、プライベート クラウドのコンピューティング アーキテクチャ全体にわたって組み込まれているのです。

セキュアな分離の導入事例


マルチテナント データセンター インフラストラクチャの基礎を成すセキュリティ テクノロジーは、セキュアな分離であり、データセンター アーキテクチャ内に仮想的なコンテナを作る能力を提供します。セキュアな分離は、提供されるサービスに基づいた顧客の分離、セキュリティ、コンプライアンス、および SLA の各種要件を満たせるように、ワークロードと仮想マシンを切り離せるようにします。

ここで取り上げる 5 つの導入事例では、データセンター環境内の各種異なるレベルのセキュアな分離を紹介します。組織が従来レベルのセキュアな分離を求める導入事例 1 から始まり、組織が進化するにつれ、必要なマルチテナント セキュリティと分離を追加していく段階を追っていきます。これらの導入事例が示すように、買収、成長、新しいアプリケーションの追加といったイベントに伴い、組織のセキュリティ要件が変更されても、シスコは新しい要件を満たすための製品や機能を既存アーキテクチャに追加していくことができます。

これらの導入事例は、図 1 で示される従来の階層型のデータセンター基盤に基づいています。階層設計は、ネットワークのスケーラビリティと高可用性を実現するために頻繁に適用され、頑強なネットワーク フレームワークを構築するために、シスコ ユニファイド データセンターでも採用されています。シスコ ネットワークは、階層設計において、コア、アグリゲーション、およびアクセス レイヤから構成されます。

図 1 階層型ネットワーク設計

図 1 階層型ネットワーク設計


導入事例 1:単一の共有インフラストラクチャと複数のアプリケーションを持ち、アプリケーションと部門間でセキュアな分離を必要とする組織

図 2 は導入事例 1 を表しています。

図 2 導入事例 1

図 2 導入事例 1


組織のセキュリティ要件

  • 部門 A、B、C では、セキュリティ上およびコンプライアンス上での、セキュアな分離とアプリケーションへの個別アクセスが必要となります。
  • 組織内では、セキュアで物理的な分離と仮想的な分離の要素が、ある程度は必要とされます。

導入事例 1 の製品

  • Cisco ASA 5500 シリーズの適応型セキュリティ アプライアンスの物理ファイアウォール、Cisco Nexus® スイッチング インフラストラクチャ、および物理ホスト

インターネット エッジ

ポリシーは WAN エッジで実装されます。これは、企業ネットワークとデータセンターにアクセス制御を提供する共通インフラストラクチャのレイヤ 3 境界です。以下が、このレベルで実装されることが多い特長と機能です。

  • インフラストラクチャのセキュリティ ルールは、ルータのアクセス コントロール リスト(ACL)を通して実装されます。
  • ネットワークベースのファイアウォールは、物理ネットワークと複数の仮想ネットワーク間に配置されます。
  • コンテキスト ベースの仮想化が使用されます。
  • トポロジ、プロビジョニング、およびモニタリングは、テナント別に分離されます。

共有の物理ファイアウォール

Cisco ASA 5500 シリーズ アプライアンスが、テナント A、B、C によって共有される単一の物理ファイアウォールを提供し、これが VPN アクセス保護と脅威軽減を実現しながら外部トラフィックのフィルタの役割を果たします。VLAN はセグメント化を提供し、各テナントのセキュリティ ドメインにマッピングされます。

テナント コンテナ

Cisco Nexus Family スイッチと VLAN により、テナント コンテナ A、B、C が分離されます。VLAN は、物理ネットワークをセキュアに分割する能力を提供し、最適な資産活用を可能にします。

ホスト

ホストから各テナントへのトラフィックのさらなる物理的分離を実現する専用の物理サーバが、このモデルを補完します。物理サーバは、特定のアプリケーションに結び付けられ、アプリケーションは一連の VLAN とセキュリティ ポリシーに結び付けられます。

導入事例 2:単一の共有インフラストラクチャと複数のアプリケーションを持ち、セキュアな物理的分離と仮想的分離の要素を必要とする組織

図 3 は導入事例 2 を表しています。

図 3 導入事例 2

図 3 導入事例 2


組織におけるセキュリティ要件

  • 組織には異なる QoS 要件を持つ複数の部門が存在します。
  • 仮想化の基本前提は、共有リソースと各種ソフトウェア アプリケーション用の仮想コンテナです。
  • 組織内では、ワークロードと仮想マシンの分離を確立させ、顧客の分離、セキュリティ、コンプライアンス、および SLA の各種要件を満たす必要があります。

導入事例 1 に追加された製品

  • Cisco Nexus 1000V スイッチ、物理ホスト上の仮想化ハイパーバイザと仮想マシン、および仮想ネットワーク インターフェイス カード(Cisco Nexus 1000V 上の仮想イーサネット用 vNIC)

ホスト

テナント別にネットワーク全体のホストに及ぶセキュア コンテナを作るため、ホストには仮想化が追加されます。

Cisco Nexus 1000V 仮想スイッチの形のデバイス仮想化は、仮想マシン別にトラフィック フローを分割し、アプリケーションやセキュリティ サービスの挿入ポイントを提供します。

Cisco Nexus 1000V と Cisco VN-Link テクノロジーは、個々の仮想マシンに対する可視性を提供するため、Cisco Nexus 1000V で仮想マシンごとにポリシーを設定し、適用できます。

仮想マシンのトラフィックは、VLAN などを使用して、物理アプライアンスに送信し、そこでネットワーク サービスを適用できます。マルチテナンシーを提供するために、仮想コンテキストを使用できます。

テナントごとの QoS ポリシー

Cisco Nexus 1000V は、仮想マシンごとの可視性、ポリシー、およびモニタリング機能を提供します。クラスベース均等化キューイングと低遅延キューイングもサポートされているため、トラフィック クラスごとに、テナント仮想マシン別(つまり、vNIC 単位)に QoS ポリシーを適用することも可能です。残りの Cisco Nexus スイッチおよびサービス ノードでは、Cisco Nexus 1000V で設定される分類とマーキングが適合され、適切にキューイングされます。

導入事例 3:単一の組織から複数の組織へと拡大し、さらなる分離と仮想化を求め、被買収組織を統合するためにプライベート クラウドとクラウド リソースを提供する組織

図 4 は導入事例 3 を表しています。

図 4 導入事例 3

図 4 導入事例 3


組織におけるセキュリティ要件

  • 組織は、導入事例に基づき、アプリケーションごとに異なる QoS レベルを必要としています。
  • 法的な分離要件を満たし、トラフィックがオーバーラップしないようにするため、テナントごとに追加の分離(ファイアウォールとサービス)が必要となります。
  • 個々の仮想環境の分離は絶対不可欠です。

導入事例 2 に追加された製品

  • テナントごとの仮想ファイアウォールとロード バランサ

テナント別の専用の仮想コンテキスト

  • サービス ノードで仮想化が使用されます。
  • ファイアウォールとロード バランシング ノードは、テナント別に論理的に割り当てられています。
  • Cisco Application Control Engine(ACE)が、サービス ノードを横断するトラフィックを分離するためのテナント別の仮想コンテキストを提供します(仮想化は、物理サービス ノードで使用されます)。
  • Cisco Nexus 1000V が、テナント別にファイアウォールを論理的に分割します。

導入事例 4:コンプライアンス要件を満たすために最高レベルのテナント分離と隔離を必要とするヘルスケア組織などの SLA が保証される事例

図 5 は導入事例 4 を表しています。

図 5 導入事例 4

図 5 導入事例 4


組織におけるセキュリティ要件

  • 組織は、導入事例に基づき、アプリケーションごとに異なる QoS レベルを必要としています。
  • たとえば、病院の導入事例を使用することで、顧客は U.S Health Insurance Portability and Accountability Act(HIPPA:医療保険の相互運用性と説明責任に関する法律)のコンプライアンス規制に確実に対応できます。

導入事例 2 に追加された製品

  • テナント別の専用の仮想ルーティングおよび転送(VRF)

仮想ルーティングおよび転送

組織によっては、さらなる厳重なセキュリティを必要とする場合があります。この追加のセキュリティ要件により、他のノードからセキュアに分離されたオーバーレイ ネットワークの構築が必要になることがあります。これを提供する手段の 1 つに、Cisco Nexus Family スイッチの VRF 機能があります。専用のテナント別 VRF インスタンスを追加することで、バックエンド アプリケーション ホスト(たとえば、ティア 2 および 3 アプリケーションやデータベース サーバ、あるいはすべてのアプリケーション)を分離できます。

VRF は、ルーティング テーブルの複数のインスタンスが同じルータに共存できるようにします。ルーティング インスタンスはそれぞれ独立しているため、マルチテナント環境内のテナント トラフィック フローのエンドツーエンドな分離において、重要な役割を果たします。

グローバルな VRF インスタンスを適用する場所に、共有リソースや仮想マシンを配置できます。共有リソースには、DMZ(プロキシ サーバ、IPS、SSL オフロード処理用のサーバロード バランシング(SLB)ファーム)などが挙げられます。

共通のフロントエンド ゾーンとテナント別の固有のバックエンド ゾーンに Cisco Virtual Security Gateway VSG 仮想ファイアウォールを配置することで、追加のファイアウォール ゾーニングを作り、イースト/ウェストと分割できます。これにより、N ティア アプリケーション セキュリティと分離の要件に対して、より包括的なサポートが提供されます。

シスコ データセンター セキュリティのメリット


シスコ データセンター セキュリティは、ポリシー制御でもって新たなビジネス イニシアチブをサポートする幅広いビジネス アプリケーションを受け入れられる環境を実現します。広範なシスコ データセンター セキュリティは、個人的かつ独自のエンドユーザ体験を作り出します。シスコ データセンター セキュリティは、汎用性と効率性を兼ね備えており、組織が迅速なサービス提供とオペレーショナル エクセレンスを実現できるように支援します。シスコのデータセンター セキュリティを利用して、次が行えます。

  • 脅威に対応する防御システムでデータセンターの可用性を守れます
  • アプリケーションとコンテンツのセキュリティでデータセンター サービスをセキュアにする
  • セキュア アクセスでビジネスの損失を防ぐ
  • ポリシー制御により、物理および仮想環境の両方でコンプライアンス要件を満たす

シスコのデータセンター セキュリティには、次のメリットがあります。

  • シスコには、必要な技術的ノウハウと顧客に対する強力なコミットメントがあります。
  • シスコのセキュリティ ポートフォリオは、顧客のデータセンターのセキュリティ課題に対応できる幅広さと奥深さを備えています。
  • シスコのイノベーション、アーキテクチャ、そしてシスコ検証済みデザインは、導入とメンテナンス面でサポートし、オペレーショナル エクセレンスと総所有コスト(TCO)削減の実現に役立ちます。

仮想マルチサービス データセンター向けのシスコ検証済みデザイン


シスコでは、セキュア データセンター、セキュア仮想データセンター、またはセキュア プライベート クラウドに対する顧客のニーズに応え、設計の信頼性と安定性を確実なものにするため、徹底的に試験を行なっています。

シスコの仮想マルチサービス データセンター(VMDC)は、ミッションクリティカルなアプリケーションと機密データをホストするユニファイド データセンターを保護します。シスコ ユニファイド データセンターは、コンピューティング、ストレージ、ネットワーキング、仮想化、管理という一連の機能を、運用効率の向上、IT 運用の簡素化、およびビジネスの即応性を目的として設計された単一のファブリックベース プラットフォームに集約することで、データセンターの経済性を大きく高めます。シスコ ユニファイド データセンターは、管理ソフトウェアのレイヤを追加しなければ統合を実現できない他のソリューションとは異なり、仮想化と自動化を目的として設計されています。さらに、物理環境と仮想環境にわたるインフラストラクチャの共有プールから、オンデマンドでのプロビジョニングを可能にします。このアプローチにより、コストセンターになりがちな IT 部門を、競争力を生み出す IT サービスへと転換できます。

シスコ ユニファイド データセンター と緊密に統合され、市場をリードするシスコのファイアウォール、VPN、ハードウェア アクセラレーションによる IPS、および仮想環境向けのアプライアンスとアプリケーションによって、セキュリティ制御を実現できます。セキュアな VMDC シスコ検証済みデザインは、物理ネットワークから仮想ネットワークへの透過的なネットワーク フローを実現し、俊敏な運用とよりシンプルな管理を可能にします。複数のセキュリティ ゾーンを作成して、仮想ネットワーク内のテナント リソースを論理的に分割し、フォールト トレラントな仮想マシンの動作を可能にします。エッジ セキュリティは、データセンターを外部の脅威から保護し、データセンター リソースへのアクセスをコンテキストに基づいて保護します。シスコ VMDC 環境は、わかりやすく、強力で、セキュアであり、グローバル コリレーション機能を備えた革新的な IPS、ファイアウォールと Web アプリケーション ファイアウォール(WAF)、および VPN テクノロジーを使用して、重要な情報アセットに対する優れた保護をリアルタイムで提供します。

顧客がマルチテナント環境へ移行するにつれ、組織は次を含む追加要件に対応しなければなりません。

  • 簡素化された導入、コンピューティング リソースのスケーリング、およびセキュアな仮想マシンのインスタンス化と運用
  • 信頼レベルと論理グループ別にワークロードを分離するための仮想マシン認識
  • 顧客が一時的または永続的に、さらに開発用およびテスト用に新しい仮想マシンをインスタンス化できるようにするための、セキュアでセルフサービス式の仮想マシン要請ツール
  • セキュリティ ポリシーをネットワーク オーケストレーションに連関させるコンプライアンス テンプレートとポリシー自動化ツール

シスコは、仮想管理と仮想ゲートウェイを通じたゾーン ロールベースのポリシー、仮想マシンのモビリティを実現するためのセキュアなトランスペアレント リンク、そしてコンプライアンスとポリシーのテンプレートを提供する追加の検証済みデザインを使用したセキュアな自動化によって、これらの追加要件を満たします。

Cisco VMDC によるマルチレイヤ型のエンドツーエンドなセキュリティ

クラウド アーキテクチャ導入の成功は、クラウド コンシューマのアプリケーションやサービス ロードをホストするデータセンターのインフラストラクチャと仮想環境双方のエンドツーエンドなセキュリティにかかっています。Cisco VMDC アーキテクチャは、ネットワークの複数のレイヤにおいて、エンドツーエンドなセキュリティを実現するための包括的なフレームワークを提供することで、セキュリティ上の課題に対応します。

適切なセキュリティ アプローチには、データセンター ネットワーク内の適切な場所に多数の補完的なセキュリティ サービスを導入することが不可欠です。データセンターのセキュリティ要件には、下記が含まれます。

  • 不正ユーザや外部からの攻撃からデータセンターを守ること
  • 侵入とマルウェアが潜むデータを防ぐこと
  • 仮想インフラとクラウド インフラの両方をセキュアにするため、実績あるファイアウォールでテナント エッジを守ること
  • 仮想ネットワーク内のセグメント化された信頼ゾーンに仮想マシンを割り当て、仮想サーバ レベルでアクセス ポリシーを適用すること
  • 一元的なマルチテナント ポリシー管理を提供すること
  • 仮想マシンのモビリティをサポートすること
  • 仮想データセンターとアプリケーションへのアクセスをセキュアにすること
  • 残りのクラウド対応インフラストラクチャ部分に合わせて拡張可能なセキュリティ ソリューションを提供すること
  • セキュリティ、ネットワーク、およびサーバの各管理者の職務を分離すること

Cisco VMDC アーキテクチャは、シスコの物理および仮想セキュリティ ポートフォリオを使用しています。これには、Cisco ASA 5585-X 適応型セキュリティ アプライアンス、Cisco ASA 1000V クラウド ファイアウォール、Cisco VSG、Cisco Nexus 1000V シリーズ スイッチ、そして一貫性のある物理エッジとテナント エッジ、テナント間セキュリティ、およびポリシー管理を実現する Cisco Virtual Network Management Center(VNMC)が含まれます。Cisco Nexus 1000V シリーズ スイッチの Cisco vPath は、セキュリティの俊敏性と効率を改善します。動的コンテキスト対応のマルチテナント管理セキュリティは、Cisco VNMC を使用して提供されます。

マルチテナント化を実現するうえで、これまでは、ホストされるテナントごとに専用のインフラストラクチャが導入されていました。しかし、このアプローチは、コスト、管理の複雑性、不効率なリソース活用といった観点から、スケーラビリティが低いといえます。Cisco VMDC では、共通インフラストラクチャ内の複数のテナントは、共有リソースを効率的に使用することができるため、コスト削減を実現できます。共通のインフラストラクチャを共有するテナントをお互いから隔離し、テナントのセキュリティとプライバシーを確保するためには、テナントごとにパスを分離する必要がある場合があります。論理的な分離、あるいは仮想化は、マルチテナントの基本概念であり、Cisco VMDC アーキテクチャ内のネットワーク、コンピューティング、およびストレージの各レベルで実現されます(図 7)。

図 6 マルチテナント設計

図 6 マルチテナント設計


まとめ


シスコのプライベート クラウド向けセキュア データセンター ソリューションは、プライベート クラウド環境におけるマルチテナント セキュリティを確保し、ネットワークのトラフィックとアクティビティを可視化して、顧客がクラウド ガバナンス プロセスを維持できるように支援します。シスコ セキュリティは、一貫したポリシーと確実な適用、スケーラビリティとパフォーマンスの向上によって、顧客がクラウドを導入する際のリスクを軽減します。シスコ セキュリティをシスコ ユニファイド データセンターとともに利用すると、既存のデータセンターを更新、あるいは新しいデータセンターを構築する会社は、クラウド導入の障壁を取り除くことができ、顧客がクラウド コンピューティングがもたらす規模の経済と効率性をセキュアな方法で実現できるようにします。

関連情報