【レポート】オンプレよりもセキュアに!GCVE でできるセキュリティ強化〜その対策方法とは#GoogleCloudDay

Google Cloud Day:Digital’22 で公開されたセッションのレポートブログです。今回は、「オンプレよりもセキュアに!GCVE でできるセキュリティ強化〜その対策方法とは」について紹介していきます。
2022.04.28

こんにちは、アライアンス統括部のきだぱんです。
2022年4月19日~21日に開催された「Google Cloud Day: Digital ’22」に参加しました!
当記事では、Google Cloud Day: Digital ’22のセッションの中から、「オンプレよりもセキュアに!GCVE でできるセキュリティ強化〜その対策方法とは」というセッションのレポートをお届けします。

それではいってみましょう!!

セッション概要

概要

IT 基盤に欠かすことの出来ない「セキュリティ」。オンプレミスの仮想基盤環境に、さらなるセキュリティ対策を求めるのであれば Google Cloud VMware Engine を是非ご活用ください。 VMware の業界最高水準のセキュリティソリューションを組み込み可能な Google Cloud VMware Engine にてどのような対策がとれるのか本セッションでご紹介いたします。

登壇者は、ヴイエムウェア株式会社の屋良 旦氏です。

今回、取り上げられた主なGoogle Cloud 製品 / サービスは、Google Cloud VMware Engineです。

アジェンダ

  • 昨今のセキュリティ課題
  • Google Cloud VMware Engine でできるセキュリティ強化
    • ネットワークからのアプローチ
    • エンドポイントからのアプローチ
  • まとめ

昨今のセキュリティ課題

昨今のセキュリティ課題は大きく3つあります。

  • 攻撃対象範囲の急増
  • 多くのツールによる運用と組織のサイロ化
  • コンテキストの欠如

サーバなどのターゲットを直接攻撃するのではなく、端末や他のシステムを通して間接的に攻撃するのも現在は珍しくありません。直接接していないシステムだからと言って油断禁物です。
適切なセキュリティー対策をとっているかは、企業の規模によらず必須事項です。
侵入されてしまった場合も、いつどうやって侵入されてのか、どのような被害を受けたのか等の原因をすぐに可視化できていないのも大きな課題となっております。

VMware Security Vision

セキュリティーをシンプル

  • より簡単に
    • セキュリティをビルトインの分散型サービスとして提供
  • より迅速に
    • 連携によりツールとサイロを消滅しゼロトラストを実現
  • より賢く
    • 脅威インテリジェンスとインフラのデータをもとに迅速かつ正確に対応

個別のシステムでなく、ワークロード全体を保護し、簡単にセキュリティー強化を可能にします。

Google Cloud VMware Engine(GCVE)の概要

Google Cloud VMware Engineは、既存のvSphere 環境を手軽にクラウド化できます。

特徴としては、以下の通りです。

  • 移行の障壁が低い
    • vSphere 基盤上のワークロードを現行のままクラウドに移行
    • 簡単にアプリの移行とオペレーションの継続が可能
  • TCO 削減
    • GoogleがマネージするVMwareソリューションとハードウェアを利用することでTCOを削減
  • Google Cloudの別プロダクトとの連携
    • Google Cloudネイティブサービスとの統合や、自動化によるベネフィットを享受

オンプレ環境のワークロードを移行するだけで実現可能なセキュリティ強化

オンプレ環境の課題例

  • ワークロード間のアクセス制御するにはセグメント分けが必要
  • ワークロード追加/変更の度にファイアウォールの設定変更が発生
  • ワークロードが塩漬けになっており、十分なセキュリティ対策が取れていないオンプレ環境
  • ファイヤ ウォールには物理アプライアンスを利用

GCVEに組み込み済みのネットワークセキュリティ:分散ファイアウォール

ワークロードを GCVE 上で稼働させるだけでセキュリティ強化を実現


分散ファイア ウォールを活用することで、

  • セグメントに縛られず、仮想マシン単位での制御が可能
  • ワークロード追加時も、セキュリティポリシーを適用することで都度のルール作成が不要
  • 塩漬けのワークロードに対して手を加えずにセキュリティ強化可能

になります!

エンドポイントからのアプローチ -

課題

  • もはや効果的ではない防御策
    • アンチウイルス製品のみで昨今の脅威に対抗できているのか
  • 多すぎるセキュリティ製品
    • 複数製品の導入により端末への負荷や管理工数が肥大化している
  • それでも足りない情報
    • 導入済の製品が集めた情報で自信を持った判断をできているのか
  • 分からない利用状況
    • 利用形態はユーザ任せで社内に存在するリスクを放置してしまっている可能性

Carbon Black Cloudの活用

  • NGAV機能 パターンファイル未対応の未知の不正プログラムにも対応

  • クラウド レピュテーションによる不明なアプリの動作制御

  • EDR機能

  • 脆弱性診断

    • OSおよび導入アプリケーションの脆弱性評価
    • 脆弱性評価の結果に基づいて優先的に対応することでインシデントの再発を抑止
  • 健全性確認
    • 強力な検索機能によるコンプライアンスチェックへの活用
    • 使用履歴のあるUSBのリスト化
    • BitLocker設定の確認
    • リモートデスクトップの設定確認

Carbon Black Cloud を活用することで、GCVE上のワークロードはもちろんのこと、ユーザ端末も一元的に管理可能で、同じエージェントでウイルス対策から EDRまで幅広く対応しています。

感想

今回のセッションで紹介された機能は一部ですが、うまく活用することで、時間をさかず簡単に、セキュリティ強化し、運用の効率化できるようになります。

今回のセッションもアーカイブが公開されていますので、気になった方は是非視聴してみてはいかがでしょうか。

このような便利なソリューションがGoogleCloudにはたくさんあります!たくさん活用していきたいですね!