本記事はNutanixのTechnical Marketing Engineer – NCI & SecurityのEric Waltersが2022年10月13日に投稿した記事の翻訳版です。
原文はこちら。
Nutanixのメリットシリーズを通して、Nutanixクラウドプラットフォームの多用途性、効率性、そしてレジリエンシーについてお伝えしてきました。このシリーズでは高いパフォーマンスとレジリエンシーを大規模環境においても実現するNutanixアーキテクチャのユニークな特性を取り上げてきました。エンタープライズグレードのレプリケーションと災害復旧(DR)と組み合わせ、Nutanixはお客様にハイパーバイザーの自由な選択肢とライセンスのポータビリティを提供できる優れたプラットフォームをご提供しています。加えて、Nutanixが単独のプラットフォームアプリケーションのニーズを満たす統合されたセルフサービスデータベース管理と完全に統合されたストレージをご提供することも確認してきました。これらのすべてのメリットは重要なものですが、昨今のようにエンタープライズにおいてセキュリティが最優先事項で語られるような状況においては、プラットフォームまたはデータがセキュアではない、ということになると、こうしたメリットは全て失われてしまいます。
Nutanixはセキュリティを重要な要素として考え、レイヤー型アプローチでプラットフォーム、データ、そして最終的にはアプリケーションを網羅的に取り囲んで保護しています。 これから最もみなさまにとって重要なデータセキュリティについて掘り下げていきたいと思います。プラットフォームとアプリケーションのセキュリティの基本部分について取り上げていきますが、すべてを網羅するにはもう一つ別のシリーズが必要になってしまいます!
プラットフォームセキュリティ
セキュリティは我々の Security development lifecycle (SecDL) プロセスを利用した開発のライフサイクルから始まります。
Nutanixはまた、セキュア構成管理および自動化(SCMA - Secure Configuration Management and Automation)でセキュリティベースラインを維持しており、自動的にセキュリティベースラインに合致しないあらゆる変更を調査し、元へ戻します。
アプリケーションセキュリティ
続いて、Flow Networks SecurityとSecurity Centralを用いてネットワークレベルの脅威を防止、検出し、アプリケーションをセキュアに保ちます。
これらはすべての重要なアプリケーションに対するセキュリティポリシーや体制の作成、実装、そして監視にとって重要な要素です。
データセキュリティ
データはあらゆる組織にとって重要な資産で、確実に保護されなければなりません。皆様のデータには重要な知的財産が含まれていたり、顧客データがあったり、法令監視を通過しなければならないはずです。どのようなニーズであっても、Nutanixは皆様のデータの保護を容易にします。
Nutanixユニファイドストレージ(NUS)はData Lensを通して不審な動きの検出やランサムウェアに対する防衛のセキュリティを提供します。Nutanixユニファイドストレージの機能ついて詳しくはこちらを参照ください :
データ保存時暗号化(DaRE - Data-at-rest Encryption)もセキュリティ戦略上大きな役割を担います。
皆様が、高いパフォーマンスとデータアクセスに対する高い可用性が必要であったとしても、皆様だけがそのデータにアクセスできるようにしなければなりません。データに対する脅威が増え続ける状況においては、セキュリティは深層防御、ゼロトラストのアプローチを取る必要があります。これはつまり、考えうる限りの攻撃にさらされる面において、認証されていないデータアクセスと取り出しを防止するためのセキュリティを施し、組織におけるデータの一貫性と確実性を実現するということです。これは広く知られたアプローチのように聞こえますが、多くの組織において洞察、予算、もしくはシンプルにリスクについての認識不足から重要なエリアが外部に露出したままになっていることがあります。これらの露出は壊滅的な漏洩やデータの喪失に繋がります。通常、エッジセキュリティを提供するファイヤウォール、VPN、そして転送中のデータをセキュアに暗号化するソリューション、更にはホストやユーザーを保護するエンドポイントセキュリティを探すことになりますが、データストレージについてはどうするのでしょうか? データストレージ媒体はリスクになる要素ではあるものの、見落とされることもしばしばです。データ保存時暗号化機能は不審な行動を行うユーザーに対して非常に大きな効果を発揮します。
これをわかりやすくするため、ハードドライブのようなストレージのコンポーネントを乗っ取ろうとする攻撃の仲介者と不審者を比較してみましょう。
攻撃の仲介者を経由して、不審者は通信中のデータを傍受して(彼らはおそらく通信が暗号化されてないことを願っています)、データの流れを再生し、データを再構成でき、怪しい動きを取れるだけの十分なデータが含まれていることを期待します。
認証されていない、不正なストレージコンポーネントの乗っ取りの場合、そこにあるすべてのデータは一箇所から取得されます。ひとたび保護されていないディスクを彼らが手にすることになれば、彼らはデータを盗み出すことができます。これは機材のリサイクル時や、サーバーリプレース時、ドライブの障害、返却時に発生する起こりうるシナリオです。次に起こることは企業にとって致命的なものになり、法的な問題に発展する場合さえあります。データに顧客の個人が特定できるデータが含まれていたと想像してみてください。 この記事の見出しはこのシナリオがフィクションではないということを示しています。
DaREはこのリスクを最小限のオーバーヘッドで無害化することに役立ちます。
データ保存時暗号化(DaRE - Data-at-Rest Encryption)
データ保存時暗号化はその名のとおり、データが保存された際にデータを暗号化します。
Nutanixは時間のかからない、複雑性を低減した堅牢なDaRE機能を提供します。我々はお客様が実際にどのように、どのデータを暗号化したいのかに合わせてその方法を選択できる柔軟性を提供しています。これらの機能について詳細を見ていきましょう。
Nutanixのソフトウェアベースのデータ暗号化とネイティブキーマネージャー
これは最も広く利用されている選択肢で、もっとも経済的かつ、セキュリティに妥協をしていないものになります。Nutanixのネイティブソフトウェア暗号化は自己暗号化ドライブ(SED)でも利用されているAES-256 Standardを利用しています。これによってお客様はSEDのプレミアムな対価を支払うことなくセキュリティ要件を達成できます。Nutanixのソフトウェアベースのネイティブキーマネージャーのおかげで外部のキーマネージメントプラットフォームへの高価な対価も支払わずに済みます。
以下の図に示された異なるストレージメディアとキーマネージメントのタイプ毎の選択肢のすべてをご確認ください。
NutanixはNutanixクラウドプラットフォームを展開する際にお客様に選択肢と柔軟性をご提供することで広く知られています。この選択肢はハードウェアからハイパーバイザーまでの全域に渡ります。我々は同レベルの柔軟性を提供し、お客様が求めるレベルの保護をDaREを利用してデータをセキュアにする場合にも選択できるようにしています。
DaREを利用する際の選択肢
データ保存時暗号化はいくつかの異なる方法で適用することができます。これによってクラスタ全体を暗号化することもできますし、ストレージコンテナのいくつか、もしくは特定の仮想マシンだけを暗号化するということもできます。
ストレージコンテナへと暗号化を適応することで、同一クラスタ内で暗号化されているコンテナと暗号化されていないコンテナを同居させることもできます。いくつかの外部のキーマネージャーは暗号化するデータの総量をベースにライセンスされていることがあります。指定した必要なストレージコンテナだけを選択することでクラスタ全体を暗号化するのに比べコストを抑えることにも役立ちます。ストレージコンテナで暗号化を行うことでのもう一つの大きなメリットはストレージコンテナごとに別々の暗号鍵を利用できるということです。これは特にそれぞれのテナントがそれぞれのコンテナを所有するようなマルチテナント環境で利用する場合に有用です。
暗号化のためのストレージポリシー
AHVで利用できるストレージポリシーはRaREを展開する場合の最も新しく、最も柔軟(そしてクール)な選択肢です。Prism Central内で設定できるストレージポリシーはカテゴリを用いて仮想マシンもしくは仮想マシンのグループを暗号化するというようなストレージパラメーターを適用させる機能を提供します。ストレージポリシーはカテゴリを利用し、カテゴリに紐付けられた仮想マシンや仮想マシンのグループに対してポリシーを適用します。クラスタ全体やストレージコンテナ全体を暗号化する代わりに、それぞれの仮想マシンを暗号化することができるのです。この方法でもう一つ追加されたメリットはマネージドサービスプロバイダー(MSP)や大企業のお客様のようなマルチテナント環境で真価を発揮します。我々はテナント(のデータ)が異なるコンテナに入っている場合でも異なる暗号化鍵を利用する事ができるようになりました。これは本当に柔軟な選択肢です。
なぜこれが重要なのか?
Nutanixはセキュリティ開発ライフサイクル、セキュリティ構成管理と自動化、わずか30秒で有効化されるデータ保存時暗号化などのプログラムでセキュアな基盤を構築しています。この世の中でストレージパフォーマンスとレジリエンシーはセキュリティと一貫性が最重要優先度出ない場合には全く意味をなさなくなります。セキュリティーファーストアプローチはお客様がお望みのセキュリティ目標を達成することに役立つ一方で、使いやすく、自動化されたセキュリティ機能を提供することにも役立っています。
このNutanixのメリットシリーズで、なぜお客様がNutanixを信頼し、高パフォーマンスのアプリケーションや、ビジネスクリティカルアプリケーションをNutanix上で稼働させているのかということをご理解いただけたら幸いです。我々はコアアーキテクチャの信条の上に様々な機能を積み上げ、あらゆる規模ですぐにアプリケーションに対してメリットをご提供できるプラットフォームを作り上げました。よく考えられた分散されたプラットフォームからデータベースの管理まで、Nutanixは使いやすく、展開しやすい機能に加え、セキュリティでもお客様を包み込んでいます。
ですが、我々の言葉をうのみにするのではなく、是非ご自身の目で確認してください。Test Driveを受講してNutanixクラウドプラットフォームをご体験ください。また、セキュリティについてさらに詳しく知りたい場合にはnutanix.com/jp/security をご参照ください。