マルチクラウド時代のセキュリティ【後編】対立するアプローチの功罪とは(テックコラム)

前回では、クラウド時代のセキュリティ対策のニューノーマルや、”ハイブリッドクラウド”や”マルチクラウド”の考え方など、クラウド時代のセキュリティの複雑化の背景について解説しました。

今回はこれらの複雑化するインフラ環境下における実践的なセキュリティ対策について、Alibaba Cloudの特長を交えながらご紹介しつつ、マルチクラウドと対立するアプローチが企業活動にもたらす影響についても見極めたいと思います。

概要

・マルチクラウドにおけるセキュリティの内部対策の課題には、Alibaba CloudのSecurity Centerが解決策になる。
・Alibaba Cloudのセキュリティプロダクトはオープンなプロトコルに準拠しており、ロックイン要素なく利用できる。
・ハイブリッドクラウドとマルチクラウドでは、教育コストとサービス選択の自由の観点で対立するアプローチである。

 

(おさらい)マルチクラウドのセキュリティ対策


前回の話をおさらいすると、マルチクラウドにおけるセキュリティのアンチパターンとして、各クラウドサービスごとに固有のセキュリティプロダクトを適用しようとすると、運用負担が非常に大きくなってしまうということがありました。

マルチクラウドのセキュリティ
〈マルチクラウドにおけるセキュリティ運用のアンチパターン〉

今回も、こういった事情から生じるマルチクラウド特有の課題とその対策を取り上げていきたいと思います。

マルチクラウドにおける内部対策の課題

内部対策においても、セキュリティの管理者はマルチクラウド特有の課題に遭遇し始めています。
各クラウドのベストプラクティスは様々となっており、例えばAWSではエコシステムの中から評判のよい3rd Partyプロダクトを使用するように推奨しており、AzureではMicrosoft社純正のサービスを用意しています。しかしながら、複数のクラウドを利用する場合のベストプラクティスは、各クラウドからは提示されておらず、これがセキュリティ管理者を悩ませています。

そんな課題を解決するプロダクトの一つとして、今回はAlibaba Cloudの「Security Center」のご紹介をしたいと思います。

Alibaba Cloud Security Centerという解決策

各サーバを保護するAlibaba Cloudの「Security Center」もマルチクラウドに対応しており、専用エージェントをインストールすることで運用しているサーバの内部対策全般を一元的に管理できる、まさにセキュリティ専門ベンダの製品並みのプロダクトです。

エージェントのインストール画面にはAWSや中国系のクラウド、オンプレミスも含まれていることがわかります。Aegis(イージス)と命名されているServer Guard Agentは、既にOSベンダ・ディストリビュータのサポートが終了しているバージョンを含むWindowsと各Linuxディストリビューションに対応しています。

Security Centerのエージェントインストール画面
〈Security Centerのエージェントインストール画面〉

余談ながら、各メディアでお馴染みの言葉とはいえ、多神教であるギリシャ神話由来の命名もマルチクラウド対応のセキュリティ製品として興味深いです。イージスは神話では盾として知られていますが、元々は山羊の革製の防具全般を意味する言葉でしたので多機能さも特長であるSecurity Centerには似合っていると思います。

(※Security Centerの各機能についてはこちらの記事で詳しく紹介しています)

さらに余談として、防衛分野で有名なイージスシステムの正式名称・略称はAWS(AEGIS Weapon System)です。一方で、米国防衛省のクラウドプロジェクトJEDI(ジェダイ)は空色を意味するMicrosoft Azureを採用しました。命名が何かを暗示しているのでしょうか。。。

それはさておき、Security Centerのエージェントは各OSでお馴染みの3rd Partyベンダ製品と同様のパスにインストールされるため、従来のセキュリティ専門ベンダなどのプロダクトと同じ感覚で扱えることが分かると思います。

 

項目 Windows System Linux System
Agentプロセス

 

AliYunDun

AliYunDunUpdate

左に同じ

プロセス実行アカウント

System root

プロセスファイルの場所

C:\Program Files/Alibaba/Aegis

※64bit

C:\Program Files(x86)/Alibaba/Aegis

※32bit

/usr/local/aegis

/etc/init.d/aegis

リソース消費(待機時)

CPU 1% メモリ 10MB

左に同じ

 リソース消費(最大)

CPU 10% メモリ 80MB

※制限超過時はエージェントは停止 

左に同じ

〈Security Centerのエージェントプロセス〉

 

オープンなプロトコルで構成されたAlibaba Cloudのセキュリティプロダクト


世の中の「中国製品」のイメージからは意外かも知れませんが、Alibaba Cloudのプロダクトはオープンソースソフトウェアや標準的なネットワークプロトコルを積極的に活用しています。前回ご紹介したWAFやAnti-DDoSをDNSによりリバースプロキシ型構成するのはその筆頭ですし、Security Centerのエージェントも汎用OS上で動作します。他のクラウドでサービスでは、OSも独自カスタマイズされていることが見受けられる昨今ですが、そのような首をかしげてしまうようなクラウドロックイン要素が少ないことも体感できます。

大国間では、政治的なイデオロギーではなく経済的な対立によって自由競争ともテクノロジーの革新でもないITプロダクトやサービスの排除の動きが生まれがちな昨今ではあります。そうした対立に巻き込まれない、特定の国の思惑に左右されない技術を追求した結果、OpenやRFCへと立ち戻り、自由な選択ができる国際標準に準拠したプロダクトが生まれるのかも知れません。セキュリティ管理者としては、標準プロトコルを用いている限り、意図せぬ通信が発生していないことを確認できる安心感もあり、これも重要に思います。

 

ハイブリッドクラウド vs マルチクラウド


セキュリティ専門ベンダの製品にもマルチクラウドに対応しているものは当然あります。オンプレミスと同様に著名なベンダの製品を採用し、なるべく横断的に利用することでボリュームディスカウントでコストを抑えるアプローチが有効です。ただ、AWS等一部のメジャークラウドへのサポートに偏っている場合が多く、米国・中国・日本国内の各クラウドサービスのサポートを謳うものは意外に少ないのが現状です。多層防御とマルチクラウド対応の両方の特徴を持つセキュリティプロダクトをラインナップしているのが実はAlibaba Cloudであるというのは注目に値する事実と思います。

多層防御とマルチクラウド対応がAlibaba Cloudの特長
〈多層防御とマルチクラウド対応がAlibaba Cloudの特長〉

もちろん、マルチクラウドアプローチとは逆に、利用するクラウドサービスを一つに絞ることは、ただちに害があるわけではありません。開発や運用等のためのトレーニング費用や、意志決定のための検討時間や資料作成、意志決定者への説得に費やす時間も節約できます。

ただ、これまでのITの歴史の中では、ある領域で特定ベンダが世界を席巻してデファクトスタンダードとなった後、株主要求に応えるため利益を追い求めた結果、ユーザーにしわ寄せが来る形で状況が一変することがあります。度重なるライセンスポリシーの変更や料金改定の通知を受け取った経験がある情報システムの管理者も多いはずです。

また昨今では、新入社員教育に特定のメジャークラウドの教育プログラムを用いることが流行していますが、そのクラウドサービスを一から学ぶのに体系的かつ実践的でよい教育プログラムである一方で、インターネットを支えてきた標準的なプトロコルに関する内容は少なく、この結果なのか、例えば「コンソールで設定はできるが、DNSを構成し、リバースプロキシ型でWebサーバを保護する」ということの意味がわからないというようなプラットフォームエンジニアが増えている現実があります。

クラウドサービスにおいても、いずれコストダウンや適材適所のために、脱○○というプロジェクトを組むことが必要になることでしょう。そのとき、特定サービスの独自の知識・経験しかない状況ではそれもままなりません。クラウド化に伴ってエンジニアが習得すべき知識が減ることは教育コストの観点で好ましいことですが、汎用的なネットワークやセキュリティ知識が習得できないことは将来のサービス選択の自由を阻害されるのではと心配されます。

こうしたことから、マルチクラウドとハイブリッドクラウドは、その観点では対立するアプローチであると言えるのです。

 

〈関連記事〉
【テックコラム】Alibaba Cloud多層防御セキュリティの全体概要 Security Centerの機能紹介

f:id:sbc_kitano:20200811193554j:plain

SBクラウド株式会社 技術部副部長

西澤 和正

大手SIerで防衛や大手金融セキュリティプロジェクトの現場での設計・構築経験を経て、官庁や自治体の仮想化基盤やセキュリティ基盤構築にプロジェクトマネージャやアーキテクトとして多数参画。オンプレ領域では仮想化エンジニアチームのグループ長として、プライベートクラウド、仮想デスクトップ、SDNによるネットワーク分離や自動防御システム等を提供してきた。2019年にSBクラウドに入社し、Alibaba Cloudを活用した、中国進出企業を支援するネットワーク活用、マルチクラウド対応のセキュリティ対策、データ分析基盤や仮想デスクトップ等のソリューション開発・提供をおこなっている。