Share your requirements and we'll get back to you with how we can help.
多数のコンピューティング・リソースを接続するネットワークは、レジリエントなインフラを構築する手段としても有効です。強力な防御を構築するためには、さまざまなクラウド・サービス・プロバイダーが提供するさまざまなネットワーク機能とセキュリティ機能を理解し、自社のセキュリティ目標を満たすものを導入することが必要です。ネットワークをセキュリティで保護することで、クラウド上のデータ、アプリケーション、システムなど、重要なリソースの防御網を構築することが可能になります。
インフラをコンピューティングの無法地帯にさらすことは、大きなリスクを招くことになります。危険にさらすサービスの数を減らすことが、リスク軽減の方法の一つです。仮想プライベートクラウド(VPC)なら、分散コンピューティングでリソースを選択的にインターネットに接続することができます。従来のネットワークセキュリティの手法と類似していますが、VPCは、クラウドの拡張性と柔軟性を活かしながら、インフラストラクチャを保護するための新しいツールや戦略を提供します。
サブネットやファイヤーウォールといった従来のネットワーク化の考え方と新たなセキュリティ管理ツールセットを組み合わせることで、コンピューティングインフラをより細かい方法で管理できるようになり、全体的なセキュリティも向上します。
VPCは、サブネットごとにるIPアドレスの範囲を定義して異なるサブネットに分割することができ、リソースを論理的に分離することを実現します。サブネット内およびサブネット間の通信を、個別に制御できます。地理的にまとまっているサブネットをさらに小さくした区分にすることで、さらに独立することができ、個別の拡張要件も満たせるようになります。サブネットをプライベートとパブリックに分けることによって、攻撃対象領域を減らすことができます。さらに、サブネットをアクセス制限付きのレイヤーに分けることで、より徹底したセキュリティの構築が可能です。
サブネットは、プライベートとパブリックのいずれも、コンピューティングインフラ間の論理的分離は可能ですが、論理的分離自体にセキュリティ機能はありません。防衛のメカニズムは、ファイアウォールのようなもので、セキュリティグループとネットワークのアクセスコントロールリスト(ACL)を実施することで、装置間のさまざまな通信手段や通信の流れの方向を定義できます。通信のルールは、最小限の原則に基づいて実装されます。
フローログはVPCでの通信をほぼリアルタイムで記録することを可能にします。フローログデータは、VPC、サブネット、または個々のインターフェースレベルでも生成できます。Amazon CloudWatch LogsやGoogle BigQueryといった他のクラウドリソースにこのデータを取り込むすることで、継続的なモニタリングや発生した事後分析が可能になります。フローログはリアルタイム処理もバッチ処理も可能です。結果から得られた洞察は、セキュリティグループやネットワークのACLルールの微調整するために活用できます。
Amazonの一般的なログ監視サービスであるCloudWatchを活用することで、ユーザーは、必要なダッシュボードを備えたセキュリティオペレーションセンターを構築できます。最近リリースされたCloudWatchの異常検出は、監視中ログで異常なアクティビティが検出された場合にアラートを発します。侵入検知システムといった、ネットワークセキュリティの監視専用ツールも、フローログによってアクティブ・ディフェンスを行います。
VPCは、サブネットごとにるIPアドレスの範囲を定義して異なるサブネットに分割することができ、リソースを論理的に分離することを実現します。サブネット内およびサブネット間の通信を、個別に制御できます。地理的にまとまっているサブネットをさらに小さくした区分にすることで、さらに独立することができ、個別の拡張要件も満たせるようになります。サブネットをプライベートとパブリックに分けることによって、攻撃対象領域を減らすことができます。さらに、サブネットをアクセス制限付きのレイヤーに分けることで、より徹底したセキュリティの構築が可能です。
サブネットは、プライベートとパブリックのいずれも、コンピューティングインフラ間の論理的分離は可能ですが、論理的分離自体にセキュリティ機能はありません。防衛のメカニズムは、ファイアウォールのようなもので、セキュリティグループとネットワークのアクセスコントロールリスト(ACL)を実施することで、装置間のさまざまな通信手段や通信の流れの方向を定義できます。通信のルールは、最小限の原則に基づいて実装されます。
コンピューティングインフラが作成されると、サブネットと一緒にセキュリティーグループに割り当てられます。セキュリティグループは、そのグループのコンピューティングリソースのインバウンド(入力)およびアウトバンド(出力)トラフィックを制御するファイアウォールルールを定義します。必要に応じて、複数のセキュリティグループを定義することができます。最小限ののアクセスに制限したデフォルトのセキュリティグループを作成することもできます。
ネットワークのACLは付加的なセキュリティメカニズムとして機能し、サブネットレベルでファイアウォールのように保護します。サブネットでの論理的隔離、サブネット間のアクセスコントロール、インスタンスレベルでの制限、これらを組み合わせることで、高いレベルのセキュリティ耐性を実現できます。
フローログはVPCでの通信をほぼリアルタイムで記録することを可能にします。フローログデータは、VPC、サブネット、または個々のインターフェースレベルでも生成できます。Amazon CloudWatch LogsやGoogle BigQueryといった他のクラウドリソースにこのデータを取り込むすることで、継続的なモニタリングや発生した事後分析が可能になります。フローログはリアルタイム処理もバッチ処理も可能です。結果から得られた洞察は、セキュリティグループやネットワークのACLルールの微調整するために活用できます。
Amazonの一般的なログ監視サービスであるCloudWatchを活用することで、ユーザーは、必要なダッシュボードを備えたセキュリティオペレーションセンターを構築できます。最近リリースされたCloudWatchの異常検出は、監視中ログで異常なアクティビティが検出された場合にアラートを発します。侵入検知システムといった、ネットワークセキュリティの監視専用ツールも、フローログによってアクティブ・ディフェンスを行います。
DDoS(分散型サービス妨害)攻撃に対しても、アクティブ・ディフェンスを講じる必要があります。Google Cloud Armorのウェブアプリケーション、ファイアウォール機能は、クロスサイトスクリプティング(XSS)やSQLインジェクション(SQLi)といった一般的な攻撃をチェックします。Amazon WAFは、ウェブアプリケーションファイアウォールの作成をサポートし、AWS Shieldは、DDoS攻撃から守ります。課題は、特定ののニーズに適したサービスをすることです。
QBurstは、ミッションクリティカルなクラウドインフラストラクチャを包括的に保護するさまざまなツールやフレームワークに精通しています。 セキュリティにおいては 多層防御(defense in depth) を採用し、いかなる攻撃を遅延、攻撃による被害を制御し、ダウンタイムやビジネスへのの影響を最小限に抑えます。VPCのネットワークアーキテクチャの設計ではなく、お客様のセキュリティ要件や拡張要件、また、地域的な利用の違いも考慮致します。Amazon EC2 ClassicやGoogle旧ネットワークなど、廃止予定のクラウドネットワークモデルをご使用されている場合、柔軟性の高い、安全なVPCアーキテクチャへの移行をサポートいたします。