システムアプローチ北半球に住むオーストラリア人であること(私は30年以上そうでした)の楽しいことの1つは、排水溝に流れ込む水がどの方向に回転するかについて何度も会話をすることです。
まあ、時間が経つにつれて少し面白くなくなってきましたが、自分の半球にあるいくつかの排水口を調べる実験を実際に試す人がほとんどいないことにいつも驚いていました。回転方向はコリオリの力ではなく、排水口の形状とシンク内の最初の水の動きによって決まることが判明しました。つまり、どちらの半球でも両方向を見ることができるのです。
実際に、このことを示した素晴らしい YouTube ビデオがあり、そのビデオでは、2 つの半球にある 2 つの同一の子供用プールから排出される水に対するコリオリの力の影響が印象的に示されています (これにより、ほとんどのシンクとトイレなどの交絡因子が排除されます)。
北は実際には「上」ではないことを説明するのにも、同様の時間がかかります。北半球を拠点とした探検家やそれ以降のほぼすべての地図製作者によって描かれた地図で、そのように示されているだけです。
1970年代に北半球を頻繁に旅した父は、南を上にした特注地図を最初に作った一人だったかもしれない。海外の同僚たちに、彼らの地図作成の慣習は単なる恣意的な慣習に過ぎないと指摘するためだ。投影の問題はさておき、メルカトル図法以外の方法を知るまでは、グリーンランドがオーストラリアよりも大きいと思っていた。
今週は、(a) 2020 年以来初めて北半球に戻ったこと (エディンバラでの講演に関する以前のメモを参照)、(b) スコットランドの高地を散歩していたときに地図と多くの時間を過ごしたこと、(c) データセンターのセキュリティの観点から、東西トラフィックと南北トラフィックの違いを同僚に説明する必要に迫られたことなど、これらすべてのことが頭に浮かんでいました。
定義
この命名規則の起源は正確にはわかりませんが、データセンターの入口/出口ポイントは「南北」トラフィックを伝送し、データセンター内のサーバー間を流れるトラフィックは「東西」トラフィックであるという考え方です。
なぜこのような区別をするのでしょうか?大きな理由の一つはセキュリティです。歴史的に、データセンターを「安全」にする最も簡単な方法は、入口/出口にアプライアンス(ファイアウォール、侵入検知システムなど)を設置することでした。
これは「境界型」セキュリティモデルであり、いくつかの理由から注目を集めるようになりました。まず、データセンターへの入口は少なく、1つ程度、多くても数個程度です。そのため、すべてのトラフィックを通過させるため、集中型セキュリティアプライアンスをこれらのボトルネックの近くに設置するのが自然です。
さらに、入口で必要な帯域幅は、東西間の総帯域幅よりも桁違いに小さい可能性があります。データセンターに入るトラフィックはギガビット/秒単位であるのに対し、東西間のトラフィックは容易にテラビットに達します。これらの点はいずれも、境界セキュリティが優れたモデルであることを意味するものではなく、単に長らく最も実用的なアプローチであったというだけのことです。
決定
少し立ち止まって、集中型アプライアンスがセキュリティ制御を適用するための好ましい方法となった理由を考えてみることは価値があります。
この話の 1 つのバージョンでは、元々のインターネット アーキテクチャにはセキュリティがなく、セキュリティを追加するための初期の取り組みはエンドツーエンドの議論に従ったもので、エンド システムにセキュリティを組み込むための十分な根拠となっているとされています。
私たちは理想化された並行宇宙ではなく、私たちが生きている世界に対処しなければならない
たとえば、暗号化と認証は、エンド システムに実装できるセキュリティ メカニズムです (キー配布を管理する方法を見つけることができれば、これは困難であることが証明されています)。
しかし、エンドツーエンド論の共著者であるデイビッド・クラークがマージョリー・ブルメンタールと共同で2001年に発表した論文で指摘したように、1990年代後半までにインターネットは、トラフィック経路に挿入される集中型アプライアンスの導入へと向かうに至った。その背景には、マルウェアの台頭、インターネットに精通していないユーザーによる導入、エンドシステムにおけるソフトウェア実装の信頼性の低さ(例:オペレーティングシステムのバグ)といった要因が挙げられます。
多くのインターネット純粋主義者がエンドツーエンド原則の衰退を嘆く一方で、クラークとブルーメンソールは、理想化されたパラレルユニバースではなく、私たちが生きる世界と向き合わなければならないという立場をとった。集中型ファイアウォールが主流となったのは、増大する脅威の世界で、すべてのエンドシステムが適切に動作するという非現実的な考えに頼ることなく、IT管理者がネットワークのセキュリティをある程度制御できるようになったためである。
私がデータセンター ネットワークに関わるようになった 2012 年頃には、データセンターの「境界」を保護するという考え方 (基本的には、入出力パスに多数のアプライアンスを配置する) が確立されていました。
残念ながら、このアプローチは不十分であることも急速に明らかになりました。東西のセキュリティが欠如していたため、境界内にある単一の(おそらく重要ではない)システムが侵害されると、システム間の横方向の移動を介した、より深刻な攻撃の足掛かりになる可能性がありました。
この問題の象徴的な事例は、2013年に米国のスーパーマーケットチェーンTargetが受けたサイバー攻撃です。最初のセキュリティ侵害は冷蔵業者のコンピュータを介して発生し、侵入者はTargetのネットワーク境界内に足掛かりを築きました。そこから数週間かけてシステム間を横断的に移動し、約1億人の顧客のクレジットカード情報を入手しました。
契約者ポータル(攻撃の本来の入り口)が、クレジットカードデータのあるシステムと接続する理由はありませんでした。しかし、両システムが「境界内」にあったため、両者間のセキュリティ制御は限定的でした。東西トラフィックの制御不足が、今回の攻撃をはじめとする多くの攻撃の鍵となりました。
簡単ではない
2013年当時、東西トラフィックのセキュリティ確保は根本的に困難な問題でした。膨大な量のデータを伝送するシステム間には膨大な数のパスが存在し、従来のセキュリティ確保の方法は、ネットワークを少数のゾーンに分割し、その間にファイアウォールを設置するというものでした。ゾーン内ではトラフィックは依然として自由に流れていました。東西トラフィックをすべて傍受できるようなファイアウォールを設置することは、非現実的、あるいは法外な費用がかかるものでした。
私がこの問題に興味を持つようになったのは、Target社のセキュリティ侵害とほぼ同時期に進行していたネットワーク仮想化の進化がきっかけでした。Nicira社が開発した初期のネットワーク仮想化製品は、レイヤー2(スイッチング)とレイヤー3(ルーティング)を仮想化しており、私たちは長年、レイヤーを上へと進めてネットワーク全体を仮想化していくという考えを抱いていました。シンプルなファイアウォールはレイヤー4(トランスポートプロトコルのポート番号を参照)で動作するため、これが論理的な次のステップでした。
ネットワーク仮想化により、SDNスタイルのファイアウォール実装が可能になります。SDNスタイルとは、データプレーンが分散され、制御プレーンが論理的に集中化されることを意味します。
下の図では、分散データプレーンが各サーバーの仮想スイッチ内で実行され、各仮想マシンに出入りするトラフィックを検査しています。(同様のアプローチは、コンテナ化されたワークロードやベアメタルワークロードにも適用できます。)
これにより、データセンターを通過するすべてのパケット、さらには同一サーバー内のVM間でのみ通過するパケットにもファイアウォールポリシーを適用できるようになりました。仮想スイッチはサーバーが送信する速度と同じ速度でパケットを処理できるため、東西トラフィックにテラビット単位のファイアウォール容量を割り当てることが可能になりました。
しかし、このアーキテクチャは SDN に基づいているため、分散データ プレーンの管理を簡素化する論理的に集中化されたコントロール プレーンが存在します。
コントロールプレーンと管理の観点から見ると、ファイアウォールは依然として中央集中型のデバイスのように見えます。IT管理者(またはAPIを呼び出す自動システム)がデータセンター全体のファイアウォールポリシーを設定できるからです。しかし、データプレーンはサーバーのキャパシティに応じてスケールアウトするため、トラフィックを中央集中型のアプライアンスに強制的に流すという壮大な努力は必要ありません。
- さあ、遊んでみましょう...これらの欠陥を利用してデータセンターシステムの電源を強制的にオフにします
- 米国は連邦データセンターのセキュリティ強化を目指す:物理的およびサイバー
- ペンテスターはトイレの裏の隠れたルートからデータセンターに侵入したと語る
- データセンターは依然として男性中心の社会だが、人員不足がそれを変えるかもしれない
ネットワーク仮想化のこの側面については、弊社のSDN関連書籍でさらに詳しく説明しています。これは決してEast-Westセキュリティの決定版ではありません。例えば、AviatrixはクラウドワークロードのEast-Westセキュリティに対応しています。
Thomas Graf氏がCiliumの講演で示しているように、プロトコルポートの検査だけにとどまらないことが重要です。全体として、東西トラフィックに効率的にセキュリティサービスを提供するためのツールの開発は、ゼロトラストセキュリティの実装における重要な要素の一つでした。このトピックについては、以前にも取り上げました。
これは、ネットワーク仮想化が企業のデータセンターで主流に採用された主な理由の 1 つでもあります。境界セキュリティと少数のファイアウォール ゾーンのみに依存するのでは、今日のセキュリティ上の課題には不十分であることが明らかになったからです。
ここではやるべきことがまだたくさんありますが、サービス メッシュは、(とりわけ) 東西のセキュリティに対処するアクティブな作業のもう 1 つの領域です。
しかし、少なくとも、南北トラフィックのみに焦点を当てるために入口の集中型アプライアンスのみに頼ることで、問題を先送りすることはなくなりました。®
