レイテンシをあまり増やさずにデータセンターのネットワークトラフィックを保護する可能性

tag-icon tag-icon linux-networking encryption spoofing
レイテンシをあまり増やさずにデータセンターのネットワークトラフィックを保護する可能性

私は、データ センター内のタイム クリティカルなアプリケーションのコンポーネントのネットワーク トラフィックを保護するための可能性 (およびその長所と短所) を探しています。目的は、攻撃者が VM を侵害した場合に引き起こす可能性のある損害を最小限に抑えることです。他の (侵害されていない) VM 間のトラフィックを読み取ることは不可能である必要があります。これは、暗号化またはネットワーク アクセスの制限によって実現できます。

当社には VMware 環境、複数の ESXi ホスト、および Fortigate ファイアウォールがあります。アプリケーションが複数の接続を次々に開くため、内部トラフィックの一部はまだ暗号化されていません。また、プロセス全体に遅延制限があります。

レイテンシ制限のため、各接続で TLS を (単純に) 使用することはオプションではありません。アプリケーションの動作に関係なく TLS 接続を開いたままにするプロキシをすべてのシステムで使用すれば、それが可能になるかもしれません。

関係するすべてのシステム (約 50) 間で VPN を使用すると、管理が悪夢になると思います。私たちは keepalived を使用していますが、これが VPN ソリューションをさらに悪化させている可能性があります。

また、ARP スプーフィングに対する保護として、永続的な ARP エントリを使用することも検討しています。VMware は MAC スプーフィングを防止します。これにより、遅延は発生せず、暗号化の必要性も回避できます。ただし、Fortigate ではうまく機能せず、仮想 IP でも機能しません。

私は、言及されたアプローチや、まだ知らない他のアプローチについての意見に興味があります。

マイクロサービスと時間制限のある他の組織では、どのような対応をしていますか? 最善の解決策が何であるかを述べる必要はありません。実現可能であることが証明されている (または証明されていない) ものを知りたいのです。

答え1

ゼロトラスト アーキテクチャの一部として、現在「マイクロセグメンテーション」と呼ばれているものを探しているようです。

基本的に、従来のセグメンテーション (ファイアウォールと vLAN) では、サブネット間の通信を制限します。つまり、特定の基準を満たさない限り、通信できないようにします。マイクロセグメンテーションでは、同じサブネット内にあるアプリケーション/サービス間のトラフィックを制限したり、検査したりします。ハイパーバイザーはゲストとの間でやり取りされるすべてのトラフィックをネイティブに確認できるため、これはハイパーバイザー レベルで最も簡単に実現できます。

ゼロ トラストとは、古いセキュリティ格言である「誰も信用しない」、つまり自分のシステムさえ信用しないというものです。信頼の最低限のレベルを拡張し、基本的には情報に対する「知る必要がある」操作と同等にします。アプリケーション サーバーは TLS 要求への応答としてのみ外部と通信でき、それ以外は許可されません。信頼を操作の明示的な要件に制限し、それ以上は許可しません。

たとえば、マイクロセグメンテーションを使用すると、Front-End-App-Server-A が Mid-Tier-Logic-Server-A と通信でき、Mid-Tier-Logic-Server-A が Database-Server-A と通信できるとすることができます。ただし、Front-End-Server は DB サーバーと直接通信できません。また、Front-End-A は Front-End-B と通信できません (同じサブネット内にある場合でも)。

VMware は最近、自社のプラットフォームでマイクロセグメンテーションを使用することをかなり強調しています。ぜひチェックしてみてください。https://www.vmware.com/solutions/micro-segmentation.html

これにより、暗号化のセッション作成時間制約が回避されます。さらに、暗号化ではできないことが可能になります。(VPN または SSL/TLS は転送中のデータを保護しますが、攻撃者が「保護された」ネットワーク内に入ると、実際に攻撃者が及ぼす可能性のある損害を制限するわけではありません。信頼が制限されたセグメンテーションにより、攻撃者の次のステップが制限されます。基本的に、攻撃者は新しいベクトルに方向転換しようとするたびに、新しいファイアウォールを破る必要があります。) また、これはすべてハイパーバイザー/ネットワーク レベルで行われるため、これを使用するためにアプリケーションを書き直す必要はありません。インフラストラクチャ レベルで設定し、アプリケーションが実行している操作をそのまま続行できるようにします。

答え2

基本的に、VPN は TLS と同様のパフォーマンスへの影響を及ぼします。そのため、レイテンシの面でより安価なソリューションが必要です。

  1. ESXi ファイアウォールを使用できます。(基本的に、VMware テクノロジは Linux に近く、ブリッジやその他の仮想ネットワーク コンポーネントでの L2 および L3 フィルタリングが可能です)。

  2. 一種のネットワーク セグメンテーションを使用できます。異なるゲスト グループまたはゲストに割り当てられた複数のネットワーク アダプターを使用すると、追加の障壁が作成される可能性があります。

  3. VLAN 設定を使用することもできますが、私見ではそれは少し過大評価された戦略です。

関連情報