仮想ファイアウォール 仮想IDS 仮想環境 / VMwareセキュリティ対策 クラウドセキュリティ

Juniper Networks(旧Altor Networks) Juniper Networks 仮想環境セキュリティ

概要

Juniper Networks 仮想環境セキュリティ - VirSec(Virtual Security)~仮想環境に最適なセキュリティ~

仮想化のメリット

仮想化により、インフラ全体のIT資源(メモリ、CPU、ディスク)を論理的に統合、配分できるようになりました。これによって、IT管理者は物理的な構成に依存することなく、ユーザからの需要に応じて、システムを動的に作成、変更、削除することでIT資源を最大限活用することが可能になりました。

従来型セキュリティ(VLAN型)の問題点

Juniper Networks 仮想環境セキュリティ - 従来型セキュリティの問題点従来のVLAN型のセキュリティソリューションでは、仮想化のメリットであるIT資源活用の『足かせ』となってしまいます。従来型の物理的なファイヤーウォールは、システム毎に物理的な『境界』を設け、境界ごとに通信の可視化、アクセス制御を行います。そのためダイナミックに環境を変更させることができる仮想環境においては、『境界』が足かせとなり仮想化のメリットである”インフラ全体のIT資源の活用”を最大限発揮させることができません。

また仮想化によって新たに必要になった、ライブマイグレーションへの対応、仮想環境内の通信の可視化と制御、ハイパーバイザアタックといった、仮想環境特有の脅威といったセキュリティ機能をサポートされていません。

上に戻る

仮想環境に最適なセキュリティソリューション VirtSec

Juniper Networks 仮想環境セキュリティ - 従来型セキュリティの問題点VirtSec(Virtual Security)は、仮想環境の特性を考慮して設計されたセキュリティソリューションです。VirtSecの導入により、セキュリティ環境を構築しつつ、仮想マシンの集約度と、物理的な構成に依存しない柔軟性と拡張性を最大限発揮できるようになります。
 
  Juniper Networks 仮想環境セキュリティ - VLAN型セキュリティとVirSecの比較はこちら
 
 

上に戻る

VirtSecの主な特徴

1. ライブマイグレーションに対応
仮想マシンの物理的なホストが変わったとしても、またはIPが変更されたとしても、個別のセキュリティポリシーを自動的に適用させることができます。
2. 仮想環境の特有の脅威を防御
物理的なネットワーク経由ではなく、仮想環境の中で発生する攻撃からハイパーバイザや仮想マシンを守ることができます。
3. 仮想環境の可視化
仮想環境における全通信を可視化します。これにより物理的なネットワークに出ない、仮想マシン間の通信も解析することができます。
4. ハイパーバイザーの保護を行う
仮想マシンの保護だけでなく、ハイパーバイザーへの攻撃も防ぐ。
5. イントロスペクション(検疫、隔離)
仮想マシンのアプリケーションを検疫することが可能。 仮想マシンに不正なアプリケーションがあった場合、または、正規なアプリケーションがインストールされていない場合、隔離ネットワークに隔離を行う
上に戻る

仮想化セキュリティ手法の比較

Juniper Networks 仮想環境セキュリティ - 仮想化セキュリティ手法の比較仮想環境におけるセキュリティソリューションを、仮想環境の特性を考慮した設計(VirtSec)の度合いと、パフォーマンスで比較すると右図のようなります。

  • VMsafeとは?
    VMwareが特定パートナーだけに公開している、VMkernelに実装された、セキュリティ用のAPIになります。

 
 
 

上に戻る

仮想化セキュリティに対する様々なアプローチ

Juniper Networks 仮想環境セキュリティ - 仮想化セキュリティに対する様々なアプローチ VLAN型

Juniper Networks 仮想環境セキュリティ - 仮想化セキュリティに対する様々なアプローチ VLAN型VLAN型
物理的なFWで仮想マシン毎にVLANを設計し、VLAN毎にセキュリティポリシーを適用していきます。セキュリティポリシー設計が物理的な構成に依存してしまい、システム変更、拡張、ライブマイグレーションに柔軟な対応ができず、仮想化のメリットが出にくい手法になります。

上に戻る
Juniper Networks 仮想環境セキュリティ - 仮想化セキュリティに対する様々なアプローチ エージェント

Juniper Networks 仮想環境セキュリティ - 仮想化セキュリティに対する様々なアプローチ エージェントエージェント
ESX上の仮想マシンのOS毎にセキュリティソフトを導入していきます。仮想マシン毎にセキュリティソフトをインストールしていくため、パフォーマンス、運用管理面で非常に効率の悪い手法になります。また、ソフトウェアライセンスを仮想マシンのOS毎に購入する必要があるため、ランニング費用も高額になってしまいます。

上に戻る
Juniper Networks 仮想環境セキュリティ - 仮想化セキュリティに対する様々なアプローチ バーチャルアプライアンス

Juniper Networks 仮想環境セキュリティ - 仮想化セキュリティに対する様々なアプローチ バーチャルアプライアンスバーチャルアプライアンス
物理的なFWをESX上に仮想マシンとして設置します。物理的なFW同様にバーチャルアプライアンスで、仮想マシン毎にVLANを設計し、VLAN毎にセキュリティポリシーを適用していくため、システム変更、拡張、ライブマイグレーションに柔軟な対応ができず、仮想化のメリットが出にくい手法になります。セキュリティ対象の全ての通信がバーチャルアプライアンスを経由するため、バーチャルアプライアンスがボトルネックになる可能性もあります。

上に戻る
Juniper Networks 仮想環境セキュリティ - 仮想化セキュリティに対する様々なアプローチ VMsafe Slow-path

Juniper Networks 仮想環境セキュリティ - 仮想化セキュリティに対する様々なアプローチ VMsafe Slow-pathVMsafe Slow-path
VMsafe SlowPathは、セキュリティ機能の一部の処理をVMware Kernel上で行います。APIは、VMware kernelを利用するものの、セキュリティポリシー適用等の処理は、VMware kernel外部の仮想マシンで実施します。そのため、仮想マシンとVMware kernel間で複数の通信が発生しパフォーマンスの劣化してしまいます。また、セキュリティ処理を行う仮想マシン自体が、攻撃の対象になってしまうため、パフォーマンス、セキュリティ面が弱い手法になります。

上に戻る
Juniper Networks 仮想環境セキュリティ - 仮想化セキュリティに対する様々なアプローチ VMsafe Fast-path

Juniper Networks 仮想環境セキュリティ - 仮想化セキュリティに対する様々なアプローチ VMsafe Fast-pathVMsafe Fast-path
VMsafe Fast-Pathは、セキュリティ機能の処理を完全にVMware Kernel上で行います。そのため、オーバヘッドが発生することなく、高速でセキュリティの処理を行うことができます。また、完全にKernelにセキュリティ機能が組み込まれているため、ハイパーバイザーアタックなど、ハイパーバイザーレベルでの攻撃を防御することができる、非常に強力なセキュリティソリューションです。

上に戻る

圧倒的パフォーマンスを実現する“VMsafe Fast-Path”対応

~vGW(Altor)導入による、ESXのオーバヘッドはたった3%~
vGW(Altor)は、セキュリティ処理を完全にハイパーバイザーのカーネルに組み込むVMsafe Fast-Pathに対応しています。これにより、従来型のセキュリティ設計(VLAN分離型、バーチャルアプライアンス型等)で問題となっていた折り返し通信によるオーバーヘッドが発生せず、圧倒的なパフォーマンスを実現することができます。
また、パフォーマンスの劣化が非常に少ないことから、サーバ集約度向上に貢献します。		 Juniper Networks 仮想環境セキュリティ - 圧倒的パフォーマンスを実現する“VMsafe Fast-Path”対応
Juniper Networks 仮想環境セキュリティ - VLAN型セキュリティとVirSecの比較はこちら
上に戻る