企業IT組織の業務は、コンピューティング、ネットワーキング、ストレージ、セキュリティの分野におけるメンテナンスとサポートを中心に展開される傾向があります。これらのチームのさらなる専門化は、影響力とスキルの領域によって推進され、責任とリソースを取り、運用、アーキテクチャ、エンジニアリングの役割に移行します。
このような組織構造は、階層的で標準化されたプロセス駆動型であり、環境が高度に仮想化されたときに必要とされるアジャイル・アプローチには適合しません。一人のシステム管理者がすべての仮想化機能を担当すると、技術領域が統合され抽象的になります。
このような構造やITの統合により、新たなオペレーティング・モデルの出現が余儀なくされている一方で、仮想環境の保護方法は新たなオペレーティング・モデルに合わせて進化していません。
*** ワークロードを保護するアドバンスモード
仮想環境におけるエンタープライズ・ネットワーク・セキュリティを検討する場合、または仮想化を使用してセキュリティ・サービスを提供する場合、物理アプライアンス・モード、仮想アプライアンス・モード、またはその組み合わせのいずれかを選択できます:
物理デバイスがセキュリティを強化ネットワーク・チームは、仮想LANとIPサブネット・ルーティングを使用して、物理ネットワークを論理的にセグメント化して管理します。これにより、物理的なエアギャップとインターフェースの組み合わせや、ルーターやファイアウォールを使用したゾーンベースの分離が可能になります。この場合、仮想ホストを管理するために、専門のチームが別々の仮想スイッチやネットワーク・トポロジーを管理することになります。同じゾーン内では、一般的にワークロードのセキュリティに特化したテクノロジーは存在しません。ワークロードがゾーンの境界を越えようとする場合、通信は仮想コンピューティングインフラストラクチャの外部にある物理ファイアウォール/ルータを通過しなければなりません。これが古典的な「馬蹄型」境界セキュリティ設計パターンです。
仮想アプライアンスによる強制セキュリティ。仮想アプライアンスによるセキュリティ強化の場合、システム管理者は、フロントエンドのワークロードの集合体の論理領域に配置された論理的な仮想「エッジ」セキュリティアプライアンスとルーティングアプライアンスを使用します。これらの仮想アプライアンスは物理アプライアンスを置き換えますが、保護対象のワークロードにより近い場所に配置されます。トラフィックがエリアの境界を越える必要がある場合、対応するワークロードの場所を越え、仮想デバイスに近接しながら、転送方法と保護方法を決定します。論理的なセグメンテーションは物理ネットワークでは便利ですが、仮想ネットワークのトラフィックの多くは東西に流れるため、物理ファイアウォールはそれほど多くのネットワークトラフィックに遭遇することはありません。このアーキテクチャは、これらのポリシーがネットワークの最下部で物理的な分離やセグメンテーションにおいて緩やかにしか結合されていないことを意味します。
物理アプライアンスと仮想アプライアンス。これら2つのモデルを組み合わせることで、仮想ホストによるワークロードクラスタの論理的なセグメンテーションと地域的な物理的分離を実現します。このアプローチは、仮想ワークロードの最適化されたローカルセグメンテーションとフォワーディングを提供します。仮想化クラスタは、提供するサービスによって制限されます。しかし、このモデルはコンプライアンス、監査、リスクチームによって認識されています。
SuperManagerと仮想アプライアンスの組み合わせに基づくワークロードの分離とSuperManagerでのセキュリティ実施。SuperManagerまたはSuperManagerと統合された仮想アプライアンスの組み合わせでポリシーを作成し、ワークロードにアタッチします。このアプローチは、仮想環境と仮想化プラットフォームの統合により、非常に高いパフォーマンスを提供し、物理ネットワーク、論理ネットワーク、モバイルワークロードを問わず、ワークロードの保護を考慮します。
混合モード。このモードは、上記のオプションのいずれか、またはそれらすべてを組み合わせたものです。このモードは、実行において最も柔軟性を提供する、真に均質なアプローチを提供する可能性を秘めています。しかし、このアプローチのバランスは非常に複雑です。ハイブリッド・モデルは、機能チーム間の統合アプローチを必要とし、高度なワークフロー自動化に依存します。
