システムアプローチ 物心ついた頃から、私は建築、特にコンピュータやネットワークの建築とは別の、物理的な建物に興味を持っていました。ですから、2000年代後半にMITでフランク・ゲーリー設計の建物で働くことになった時は、とても興奮しました。
結局のところ、この建物は、カビ、屋根から通行人に落ちる氷、人々(私とフランク・ゲーリーの両方を含む)を船酔いさせる会議室など、数々の欠陥があり、注目を集める建築の危険性を示すケーススタディのようなものでした。
MITは最終的にゲーリー氏と建設業者に対する訴訟で和解しましたが、問題のうちどれだけが設計の問題でどれだけが実装の問題だったのかは、完全には明らかではありませんでした。しかし、建築上の決定が、それに従う人々にとって重大な影響を及ぼすことはほぼ明らかでした。
今回は、ゲーリー設計のステイタセンターから氷が落ちることはありませんでした...クリックして拡大
ここで、インターネットとそのアーキテクチャ上の欠陥について触れておきたい。インターネットはほぼあらゆる面で大きな成功を収めてきたが、セキュリティに関しては、インターネットに最も深く関わっている人々でさえ、確固としたアーキテクチャ基盤が欠如していると指摘してきた。
例えば、ヴィント・サーフは、インターネットの初期のアーキテクチャには2つの基本的な欠陥があったと主張しました。それは、アドレス空間の不足とセキュリティの欠如です。「インターネットの設計者」であるデイビッド・クラークは、「エンドツーエンド論」[PDF]として知られる原則をインターネットに適用する方法は、セキュリティと信頼(とりわけ)に関する現在の知見を踏まえて再考すべきだと提言しました[PDF]。
インターネットの先駆者たちが提起した懸念を言い換えると、インターネットは何十億もの人々とデバイスを接続するという点では実にうまく機能しているが(アドレス空間の問題はさまざまな方法で対処されている)、セキュリティの点では依然として大きな欠陥が残っている、ということです。
分散した研究者グループが少数のコンピュータへのアクセスを容易に共有できるようにするという当初の設計目標は、それほど高いセキュリティを必要としませんでした。ユーザーは互いに信頼し合っており、セキュリティはネットワークの機能ではなく、エンドシステムで管理できました。
1988年、モリスワームはエンドシステムセキュリティのみに依存することの限界を如実に示しました。そのため、今日のアーキテクチャでは、すべてのデバイスが他のすべてのデバイスと通信できることがデフォルトとなっており、他の動作を強制したい場合は、ファイアウォールを設置し、特定のサブセットを除くすべてのトラフィックを明示的にブロックするなど、何らかの特別な措置を講じる必要があります。
そして、ファイアウォールのようなポイント修正を追加するアプローチは、セキュリティデバイスとテクノロジーの急増につながりました。これらのデバイスとテクノロジーは、アーキテクチャを実際に変更するものではありませんが、ネットワーク管理の全体的な複雑さを増大させます。
過去10年間に起きたいくつかの重要な進展は、楽観的な見通しを抱かせる根拠を与えてくれます。一つは、セキュリティに対する「ゼロトラスト」アプローチの出現です。これは、インターネットの本来のセキュリティアプローチをほぼ覆すものです。この用語は2009年にForresterで造語され、1975年にSaltzerとSchroederによって提唱された最小権限の原則の帰結と考えることができます。
ゼロ トラストは、すべてのデバイスが他のすべてのデバイスと通信できるようにするのではなく、事前に信頼するデバイスはなく、ある程度の認証を行った後にのみ、ジョブを完了するために必要なリソースのみに、正確に範囲指定されたリソース セットにアクセスできるという前提から始まります。
ゼロトラストとは、境界ファイアウォールを構築し、その境界内にあるすべてのものが他のすべてのものに自由にアクセスできるという状況はもはやあり得ないことを意味します。この考え方は、GoogleのBeyondCorpなどのアプローチに採用されています。BeyondCorpでは境界の概念は存在せず、すべてのシステムアクセスは厳格な認証および認可手順によって制御されます。私の見解では、ゼロトラストを強制できることは、ソフトウェア定義ネットワーク(SDN)とネットワーク仮想化の大きなメリットの一つでもあります。
ネットワーク仮想化の黎明期、Niciraの同僚たちは、ネットワークのあらゆるものが最終的には仮想化できるというビジョンを抱いていました。私がチームに加わった当時、Nicira製品はレイヤー2スイッチングの仮想化を実現したばかりで、レイヤー3ルーティングのリリースも間近でした。VMwareによるNiciraの買収後、分散ファイアウォールによってレイヤー4に到達するまでには少し時間がかかりましたが、私にとって、これはセキュリティに意味のある影響を与えるための重要なステップでした。
今では、ボトルネックとなる場所にファイアウォールを設置してトラフィックを強制的に通過させるのではなく、どのデバイス(当時は主に仮想マシン)がどのように相互に通信できるかについて、詳細なポリシーセットを指定できるようになりました。相互アクセスを必要としない多数のデバイスが通信できる「ゾーン」で運用するのではなく、デバイス間の通信方法に関する正確できめ細かなセキュリティポリシーを指定することが比較的容易になりました。
SD-WANでも同様のことが起こりました。SD-WANが市場を獲得した理由は数多くありますが、その一つは、セキュリティポリシーを適用するために支社から中央のファイアウォールにトラフィックをバックホールする必要がなくなったことです。セキュリティポリシーを中央で定義し、支社で適用できるようになりました。企業のデータセンター内の集中サーバーではなく、クラウドサービスへのトラフィックがますます増加している中で、これは大きなメリットでした。
ポリシーを一元的に定義し、それを分散的に実装するソフトウェアシステムを持つというこのパラダイムは、現代の分散アプリケーションのセキュリティ確保にも適用されます。サービスメッシュはこのパラダイムを適用した新興技術であり、今後さらに詳しく取り上げる予定です。
セキュリティ面での成功を宣言するのは時期尚早ですが、楽観的な見方ができる理由は確かにあると考えています。私たちは、アーキテクチャ上の問題に対する単発的な解決策を次々と提供しているだけではありません。確固たるアーキテクチャ原則(最小権限、ゼロトラスト)と、セキュリティのあり方を変革する大きな技術的進歩(SDN、インテントベースネットワーキングなど)も備えています。®
