皆さん、こんにちは レノボ・エンタープライズ・ソリューションズ 小宮です。本日はNutanixのFlowに関しての内容をお話したいと思います。Nutanix Flowについては約1年前にもブログで内容を記載しておりますが、少し内容が古いため新しい内容でお伝えしたいと思います。
過去に掲載したブログは以下のURLになります。
Nutanix FLOWについて【第二弾】 - LTN Blog 〜 Lenovo Technology Network 〜
イメージについては、Nutanix社の資料を利用させて頂いております。
一般的なFlowのユースではどのようなパターンで利用されるのかを以下のイメージに示しております。それぞれのケースで簡単にお話したいと思います。
1.インフラ環境を隔離
Nutanix Flowは、高度なネットワークおよびセキュリティサービスを提供し、仮想ネットワークの可視性、ネットワーク脅威からのアプリケーション中心の保護、および一般的なネットワーク操作の自動化を提供します。
従来のインフラ環境においては、VLANベースの隔離やファイアウォールでのゾーン化を主なアプローチとして対応してきておりましたが、VLANの隔離はそもそもセキュリティの観点で隔離するのではありません。また、マニュアル作業のため安全とは言い切れません。また、横方向のネットワークには対応できないというデメリットがあります。
ファイアウォールのゾーン化については、VLANベースの隔離に比べればセキュリティという観点では優れておりますが、機器の値段はそれほど安いものではありません。
Flowは、完全な可視性とトラフィック制御を可能にするアプリケーション中心のポリシーを提供します。このポリシーモデルにより、管理者はトラフィックの送信元と宛先、またはマイクロセグメンテーションに関するきめ細かいルールを実装できます。これらの同じポリシーにより、アプリケーションVM内およびアプリケーションVM間を流れるトラフィックを視覚化できます。
Flowによるインフラの隔離であれば、部署ごとによりポリシーを容易に決めることができて、それがPrism Central上から操作が簡単にできるというところが特徴です。
2.アプリケーションの隔離
アプリケーションのセグメンテーションについては、従来のものに関しては、各アプリケーションレイヤでVLANを割り当ててから、各アプリケーション/アプリケーションレイヤのFWポリシーを作成します。
この方法の場合、トラフィックはすべてFWに固定されてしまいますし、複雑化してコストもかかってしまいます。また、スケーラブルではないので、せっかくのハイパーコンバージド環境での利用も台無しになります。
FlowによるアプリケーションのセグメンテーションはVM単位にカテゴリ化します。(VLAN/クラスタ/ホストは任意)また、インバウンド/アウトバウンドのポリシー定義やティア内のポリシー定義を行います。
FWを利用した時に比べて非常にシンプルに設定が可能です。
3.セキュアなVDI環境の実現
こちらは従来のVDI環境におけるセキュアな環境ですが、こちらもFW内にアプリケーションに関するポリシーを設定するなどしなければならないため、複雑であり、VDI環境が拡張するにあたり、ポリシールールも手作業で大変になります。
逆にFlowで管理する場合はどうでしょうか。デスクトップユーザーの識別ができていることから、実際に人事異動でしたユーザーのポリシーについて、カテゴリごとにアプリケーション単位で適応できていれば、わざわざファイアウォール側での設定を行う必要はありません。またポリシー設定されていればマルウェアの拡散の防止にもなります。NutanixのAHV環境でVDIを構成する場合は、Flow導入するとセキュリティ対策も含めて便利になります。
4.コンプライアンスについて
カード決済などでよく利用されるPCIアプリケーションについては、かなり厳しいコンプライアンスが要求されると思います。各PCIアプリケーションについてファイアウォールのルールの適応を行うとともに、これを自動化していかないと毎回ユーザー登録するたびにマニュアルのオペレーションが発生します。これにより作業コストも上がりますし、横移動する際のセキュリティについても慎重に考えなければなりません。
Flowであれば、カテゴリ別設定することからマニュアル作業は極力削減することができます。また、ポリシーなどの監査についてもリモートホストのSyslogに転送することもできます。セキュリティオペレーターはそれらをモニタリングして、ポリシー違反なども発見することができます。
モニタリングとロギングに関する点については、実は先週のブログで紹介したAOS5.11に関するPrism Centralに関する記述の中で一部触れております。
Syslogに送信する機能およびセキュリティポリシーのインポート・エクスポート機能もサポートしておりますので、コンプライアンスを意識お客様は是非検証してみてはいかがでしょうか。
https://blog.lenovojp.com/entry/2019/08/19/000942
以上、よろしくお願い致します。