オルタナティブ・ブログ > IT雑貨屋、日々のつづり >
RSS
IT雑貨屋、日々のつづり

IT業界につとめる「雑貨屋(なんでも屋)」が、業界の事、情報セキュリティの事、趣味や日々雑感を綴っていきます。お暇な方はおつきあい下さい。

【NET技術.020】仮想化とクラウド②

»

 佐藤@IT雑貨屋です。

 仮想化とクラウドについて続けていきます。

◆NFV
 NFV(Netowork Functions Virtualization)とは、ETSI(欧州電気通信標準化機構)が提唱する、ネットワーク機器の機能を仮想マシンとして実現する方式です。 SDNとは異なり、サーバではなくネットワーク機器を仮想化します。ルータ、スイッチ、ファイアウォールなどの専用機器を仮想化機構の仮想マシンとして動作させることで、設備投資や運用コストを低減させる事が可能となります。

◆クラウドコンピューティング
 クラウドコンピューティングとは、ソフトウェアやデータなどを、インターネット等のネットワークを通じてサービスという形で必要に応じて提供するっ方式です。クラウドとも呼ばれますが、これには不特定多数の利用者を対象に運用されるパブリッククラウドと、特定の企業や組織に向けて提供されるプライベートクラウドがあります。またパブリッククラウドとプライベートクラウドを組み合わせて利用する形態もあり、それをハイブリッドクラウドと呼んでいます。
 クラウドコンピューティングには以下の代表的な形態があります。

SaaS(Software as a Service)
 ソフトウェアをサービスとして提供する

PaaS(Platform as a Service)
 OSやミドルウェアなどの基礎を提供する

IaaS(Infrastructure as a Service)
 ハードウェアやネットワークのインフラを提供する

◆IDaaS
IDaaS(IDentity as a Service)は、クラウドでアイデンティティ管理を行うサービスです。ID、パスワードなどの認証情報や利用できるサービスやリソース等の認可情報を一元管理します。クラウドだけでなく、自社内のネットワークなどでも利用でき、アイデンティティ連携を行いシングルサインオンを実現します。

◆Well-Architectedフレームワークの五つの観点
 クラウドサービスの活用のノウハウをまとめたAmazonのAWSで提唱されているベストプラクティス集に、Wel-Archtectedフレームワークがあります。クラウドを利用して適切に設計・構築・運用できるように、以下五つの観点がまとめられています。

運用上の優秀性
 システムのモニタリング、変更管理、継続的な運用プロセス、手順の改善、通常・障害時の運用業務など、運用管理を行う上でしっかりと考えておくことが大切です。

セキュリティ
 データの機密性や完全性を確保すること、ユーザの権限を管理すること、せきゅりてぃを監視することなどを考える必要があります。

信頼性
 障害を防止すること、障害時に迅速に復旧できることを考えます。障害時に自動的に切り替えができるような仕組みづくりが大切です。

パフォーマンス効率
 クラウドのリソースを効率的に利用し、必要十分なシステムにすることが求められます。性能要件や需要の変化に応じて適切にリソースを切り替えていくことが大切です。

コスト最適化
 適切なコストの把握や、必要に応じたリソースの確保により、無駄をなくしつつ効率的に動作するシステムを作る事が大切です。

◆ゼロトラスト
 従来のオンプレミス環境では、ファイアウォールなどを社内の「信用できる領域」と社外の「信用できない領域」の境界に設置し、社内のセキュリティを守るという境界型防御が中心でした。クラウド環境では、社外からシステムを接続する機会が増えるので、境界型ではサイバー攻撃を防護しきれません。
 ゼロトラストとは、社内外全てを「信用できない領域」として、すべての通信を検査し認証を行うという考え方です。全てのデバイス、ユーザ、通信、ネットワークを監視し、認証・認可を行うことで、クラウド環境でも安全な通信を実現する事ができます。
 ゼロトラストアーキテクチャについて記載されているNISTSP800-207では、次のゼロトラストの基本的な七つの考え方が記載されています。

 1.全てのデータソースとコンピューティングサービスをリソースとみなす
 2.ネットワークの場所に関係なく、全ての通信を保護する
 3.企業リソースへのアクセスをセッション単位に付与する
 4.リソースへのアクセスは、クライアントアイデンティティ、アプリケーション
  /サービス、リクエストする資産の状態、その他の公道属性や環境属性を含めた
  動的ポリシーにより決定する
 5.すべての資産の整合性とセキュリティ動作を監視し、測定する
 6.全てのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施
  する
 7.資産・ネットワークのインフラストラクチャ、通信の現状について可能な限り
  多くの情報を収集し、セキュリティ体制の改善に利用する

 クラウドサービスを利用する場合には、従来のネットワークシステムの枠組みにとらわれず、柔軟に最適なものを選択していくことが大切なのです。

佐藤 洋之 2024/06/26 08:00:00 Comment(0)