クラウド利用時のネットワークとセキュリティの課題について
クラウド移行したあとの課題とその課題の解決方法について纏めてみました
こんにちは
東京エレクトロンデバイスでエンジニアをやっているあつふみです。
今日はクラウド利用する時のネットワークとセキュリティに関する課題とその解決策について話したいと思います。
近年、多くの企業、または自治体がDX(デジタルトランスフォーメーション)実現に向けて様々な取り組みを実施しており、その中の1つとしてシステムをクラウド移行する取り組みがあります。この背景としては、従来のIT機器(サーバー、ストレージ、ネットワーク装置などのハードウェア)の調達・運用・保守の見直し、情報システム部門の業務負荷軽減、予算の軽減が挙げられます。また、クラウド移行することは、新しいビジネスを展開する際に必要となるアプリケーションやサービスをいち早く構築・展開し競合他社との競争に勝ち抜いていくための手段でもあります。
現在のクラウド利用においては、マルチクラウド、ハイブリッドクラウドとして利用することが一般的になってきていますが、クラウドを利用することを前提とした場合、今までのオンプレミスだけの考え方ではクラウド移行が困難になり、逆にDX実現の足かせになってしまうことも考えられます。
そこで、まずはクラウド移行時の課題についてみていきたいと思います。
クラウド移行時のネットワークとセキュリティの課題について
クラウド移行時には考慮しなくてはいけない事項がいくつかあります。そのなかでも以下3点についてお話したいと思います。
クラウドのネットワーク設計の難しさ
クラウド移行時、既存のシステム構成をクラウド環境に合わせて再設計する必要が出てきます。例えば、既存システムのSW(スイッチ)、FW(ファイアウォール)、LB(ロードバランサー)をそのまま使うのか、あるいはクラウドで提供されているサービスを利用するのか、という点です。それ以外にも、システムの冗長化については、オンプレミスとクラウドでは構成が変わってきます。単純なHA(高可用性)構成を組む場合でも、それぞれの機器は異なるAZ(アベイラビリティゾーン)に配置するのか、それとも異なるリージョンに配置にするのか、また、切り替えの方式は、クラウドのロードバランサーを使うのか、機器特有の機能で切り替わるようにするかなど、クラウド特有の考慮点が出てきます。
クラウドサービスには非常に多くの種類があるがゆえに選択肢も多くなり、どれが正解なのか悩むことが多いかと思います。また、場合によってはクラウドサービスと連携する仕組みを考える必要もあり、簡単にはいきません。そのため、クラウドのネットワーク設計をなるべくシンプルかつ容易に実現する仕組みが必要になってきます。
クラウド環境選択の多様化と効率的な運用
1つのシステムをうまくクラウド移行させた場合でも、新たに課題が出てくる可能性があります。それは運用コストです。
システムの種類や用途にあわせて、オンプレミスを残しつつAWS、Azure、GCPなどの様々なクラウドサービスを利用することが多いかと思います。そのような場合、これまでオンプレミスのシステムだけを管理していればよかったものが、各クラウド環境も管理していく必要が出てきます。
例えば、オンプレミス、クラウド環境で同じセキュリティポリシーを設定したい場合、管理画面や設定方法は、各環境や製品ごとに変わってきてしまいます。そうなると、管理者は環境や製品毎に覚えなくてはいけないことが増えていくため、学習コストや負担が増大してしまいます。利用しているクラウドの種類が多くなればなるほど、この部分のコストは増大してしまうのです。
また、これは複数クラウドを利用している場合に限りません。1種類のクラウドを利用している場合でも、システム毎に構成は変わってきますし、そのクラウド内の様々な機能と連携している場合もあります。そうなってくると、システムに合わせて運用していく必要が出てきます。
オンプレミス、クラウドの環境が増えた場合でも、各環境を一元的に管理していくようなソリューションが必要になります。
年々高度化する新たな脅威への対応
クラウドシフトに限った話ではないのですが、クラウド環境においてもシステムをしっかりと保護するための仕組みが必要です。
近年の攻撃はより複雑で高度なものになってきています。単なるDoS攻撃ではなく複数のロケーションから同時にDoS攻撃を行ったり、人の動きを装った悪意のあるBotを使って攻撃を仕掛けてくるなど、今までと同じような保護の仕方では防ぎきれない場合もあります。
また、各環境毎にFWやWAF(ウェブアプリケーションファイアウォール)などを配置して保護していますといった場合でも、そもそも攻撃自体は各環境に届いてることになり、DoSや大量のBotからの攻撃を受けることによりFWやWAFが処理しきれずダウンしてしまい、結果としてシステムを守り切れない可能性も考えられます。
つまり、オンプレミス、クラウドなどの環境にとらわれないセキュリティ対策、且つ攻撃自体が各環境に届かないような仕組みを考える必要があります。
これらの課題を解決できる製品
クラウド移行時の課題として3点あげましたが、これらをうまく解決できる製品があります。
それは、CloudflareとF5 XCです。
それぞれの製品については、以下の記事を読んでみてください。
Cloudflareってなに? | 東京エレクトロンデバイス株式会社 (teldevice.co.jp)
F5 Distributed Cloud Services ( F5 XC) とは? | 東京エレクトロンデバイス株式会社 (teldevice.co.jp)
この2つの製品は、ネットワークとセキュリティに関する機能をSaaSとして提供することで、企業のシステムを一元的に管理することを実現できます。
この2つの製品のイメージとしては以下になります。
すべての通信をCloudflare、またはF5 XCに向けて管理しましょうという考え方になります。Cloudflare/F5 XCに集約された通信に対して、CDN(コンテンツデリバリーネットワーク)、LB、FW/WAF、DDoS保護やBot対策などのネットワークからセキュリティまでのサービスを提供します。
オンプレミス、クラウドで管理していたネットワークやセキュリティの各機能をCloudflare/F5 XCに移行することで、各環境のネットワークとセキュリティを一元管理することができるようになります。また、一元管理するだけではなく、セキュリティの面でもメリットがあります。それは、攻撃自体がお客様のサイトに来なくなるという点です。例えば、大規模なDDoS攻撃が発生した場合、その攻撃自体はCloudflare/F5 XCを経由することになり、そこで止めることができます。そのためオンプレミス、クラウドの環境に直接攻撃が届くことはなく、攻撃によるサービス停止の可能性を軽減することができます。
このようにCloudflare/F5 XCを利用することで、システムの構成もシンプルにでき、運用コストも削減することが可能です。
以上、今回はクラウドリフトしたあとの課題とその課題の解決方法について紹介しましたが、いかがでしたでしょうか。
ちなみに、CloudflareとF5 XCはそれぞれ同等の機能を持っていますが得意な分野は異なります。この2つの製品の住み分けについては、別の記事で詳しく紹介したいと思いますのでご期待ください
次回は、今回紹介した製品の特長や実際の設定画面やユースケースについて紹介したいと思います。