Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
nutanix_meetup_20210728_flow
Search
hiroki-ito1118
August 04, 2021
Technology
0
290
nutanix_meetup_20210728_flow
hiroki-ito1118
August 04, 2021
Tweet
Share
Other Decks in Technology
See All in Technology
ここが嬉しいABAC ここが辛いよABAC #再解説+補足編
masahirokawahara
0
220
検証を通して見えてきたTiDBの性能特性
lycorptech_jp
PRO
6
3.3k
AWS を使う上で知っておきたいオンプレミス知識/aws-on-premise-essentials
emiki
1
4.2k
エンタープライズ環境下での Active Directory の運用 TIPS
tamaiyutaro
1
1.6k
PHPカンファレンス小田原2024
ysknsid25
3
660
最近たまに見かけるTiDBってなんだ? - Findy
pingcap0315
2
580
反実仮想機械学習とは何か
usaito
PRO
6
2.1k
Janus
bkuhlmann
1
490
コンテナセキュリティの基本と脅威への対策
kyohmizu
3
690
「共通基盤」を超えよ! 今、Platform Engineeringに取り組むべき理由
jacopen
25
5.8k
オブザーバビリティの Primary Signals
onk
PRO
0
550
Databricks:『生成AI World Cup』のご案内
databricksjapan
2
150
Featured
See All Featured
GraphQLの誤解/rethinking-graphql
sonatard
50
9.2k
Rebuilding a faster, lazier Slack
samanthasiow
72
8.2k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
273
13k
The Cost Of JavaScript in 2023
addyosmani
14
3.8k
What's new in Ruby 2.0
geeforr
337
31k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
104
6.6k
Statistics for Hackers
jakevdp
789
220k
StorybookのUI Testing Handbookを読んだ
zakiyama
11
4.6k
Building Applications with DynamoDB
mza
88
5.6k
Design by the Numbers
sachag
274
18k
YesSQL, Process and Tooling at Scale
rocio
163
13k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
Transcript
AOS5.20 Update - Flow編 - N U T A N
I X M E E T U P 2 1 . 0 7 | H I R O K I I T O - S R . S Y S T E M E N G I N E E R N U T A N I X J A P A N
はじめに Disclaimer – 本資料は、2021年7月時点における弊社の一般的な製品機能の概要を説明を主目的とするものです。 – 本資料は情報提供を唯一の目的とするものであり、法律的またはその他の指導や助言を意図したものではなく、 いかなる契約にも用いることはできません。 – 本資料に含まれている情報については、完全性と正確性を期するよう努力しましたが、「現状」で提供され、 明示的または暗示的に関わらず、いかなる保証も伴わないものとします。
– 本資料またはその他の資料の使用によって、あるいはその他の関連によって、いかなる損害か生した場合も、 Nutanix Inc.及びニュータニックス・ジャパン合同会社は責任を負わないものとします。 – 本資料で提供する情報やマテリアル、機能を確実に提供することを確約するものではありません。 弊社製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
AHV組込セキュリティ Nutanix Flow
セキュリティの課題 | 4 消えつつある境界 複雑さ 洗練された攻撃 ハイブリッドクラウドのトレンド セキュリティ運用のスタッフ • 曖昧なオンプレ
<==> クラウドの境界 • 従来のアプローチでは高コスト・複雑 • トラフィック量の増加+攻撃手段の変化 • 価値の高いデータを狙う • モダンなアプリケーション・アーキテクチャ • マイクロサービス(コンテナ) • SaaS • パブリッククラウド • 専門知識の変化の速さ • マニュアル・静的なアプローチでは遅い/妨げになる
| 5 組み込みセキュリティ • に組み込みのセキュリティ機能 ➢ インストール不要! ➢ から有効化するのみ! •
との連携 ➢ 強力な可視化機能 ➢ ポリシーベースのマイクロセグメンテーション • 追加ツール不要で直感的で拡張性のある ソリューション • のシンプルさが組み込み サーバ データ保護 ストレージ プラットフォーム 組み込みのセキュリティ
Prism Centralに組み込みの管理・視認性 • 可視化されたフロー情報 ➢ Application中心に構成 ➢ 視覚的な通信 • Prism組み込みの一元管理
Prismに組込の管理面・及びTrafficの視覚的情報
すぐに簡単に使い始められる | 7 1. Prism Element より、 Prism Central をデプロ
イ 3. Prism Central にログ インし上部タブから”?” をクリックしマイクロセ グメンテーションの Setup 4. 事前チェック完了後、 チェックボックスに チェックを入れEnable 5. 作業が完了し、マイク ロセグメンテーションが 有効化されFlow の機能 が利用可能となる 2. Prism Central にクラ スタを登録
アプリケーション中心のセキュリティ | 8 アプリ中心のポリシーとカテゴリ 層 内通信制御 層 間通信制御 IP /
VLANに依存しない、GUIからのグラフィカルな設定 インバウンド アウトバウンド
ユースケース の実用例
での隔離 アプリポリシー アプリポリシー アプリポリシー アプリポリシー あらゆる 環境隔離ポリシー アプリ アプリ アプリ
アプリ • 環境内で仮想マシンを特定 • カテゴリを割り当て • 環境 • 環境向けの隔離ポリシーを定義 • 通信の最小権限 すべてのトラフィックが許可さ れない
でのアプリケーションのセグメント化 ポリシー ✅ ❌ ❌ ❌ ポリシー ✅ ✅ ❌
❌ ポリシー ✅ ✅ ✅ ✅ ✅ ポリシー ✅ ✅ ✅ ✅ • 仮想マシンを特定 階層アプリとサービ ス あらゆる クラスタ ホスト • カテゴリを割り当て • ポリシーを定義 • インフラ階層のポリシーを定義 • でセキュアに
でのコンプライアンス 隔離 ポリシー アプリリングフェンシングポリシー アプリリングフェンシングポリシー ポリシー監査ログ パケット ログ と構成 管理者
運用 監視 • セキュリティ 監査ログ • ポリシー違反 • トラフィック監視 • パケットの許可 拒否ログ • リモート セキュリティ運用 専用インフラストラクチャ不要なコンプライアンス
ネットワーク脅威の抑止 エッジファイヤウォール 外部脅威の検出とフィルタ マイクロセグメンテーション 必要な通信だけを許可 マイクロセグメンテーション 脅威検出 必要な通信だけを許可し、許可された通信に対して サイバー脅威と不審を検査 パートナー
セキュリティア プライアンス 真相防御によってネットワークセキュリティを向上 • 境界の決めの粗いフィルタリングを通過 • アプリケーションや組織で内部ネットワークをセグメント化 • アプリケーションを層やサービスでマイクロセグメント化 • 許可されたトラフィックに対してディープパケットインスペクションと脅威のイン テリジェンスツールを利用
Flowセキュリティ Updateポイント
サービスグループ • すべての標準的な ポートとグルー プをサポート • 特定のユースケースに基づいてカスタム サービスを作成することが可能 • システム標準またはユーザー定義のサー
ビスを使用可能な柔軟性 • つまたは複数のサービス(ユーザー定義 またはシステム定義)を単一のサービス グループの一部として構成可能 主な特徴
サービスグループ • 使いやすさ ドロップダウンからの選択 • 設定エラーの最小化 • 冗長な作業を最小限に抑える • 標準の
ポートとグループを使用し て、より良いセキュリティを確保 主なメリット
アドレスグループ 主な特徴 • エンドポイントのグループ アドレ ス、サブネットなど を表すために、 のようなユーザー定 義のカスタム名を使用できます。 •
異なるポリシーでアドレスグループを 再利用可能
アドレスグループ 主なメリット • 冗長な設定作業を最小限に抑える:アドレスグループを 使用すると、 、 、ロギング、クライアント サ ブネットなどの アドレスの共通セットに、ユーザーが
指定した名前を割り当てることができるため、ポリシー ごとに繰り返し設定を行う必要性を軽減できます。 • 変更管理を最適化する:アドレスグループを使用するこ とで、 アドレス構成の変更を影響を受けるすべてのポ リシーに伝播させるために必要な時間と労力を節約でき ます。 • 可視化におけるノイズの削減:トラフィックフローのア ドレスグループ単位での可視化が提供されることで、情 報の把握と管理がしやすくなります。アドレスグループ を展開して、詳細な表示を行うことも可能です。
Flowユースケース - Identity(AD) Based動的セキュリティ
Identity Based Securityとは? | 20 1. AOS 5.17で追加されたの新機能 2. ログインしたユーザのActive
Directory(AD)グルー プに応じて、VMをカテゴライズ 3. カテゴライズされたVMに該当するFlow Securityルー ルを動的に適応 注:Windows User Desktop VMを想定 これが意味することは……?! 何が異なる……?! 1. 同一VMに対して、ログインしているユーザに応じて 異なるセキュリティルールが適応可能 2. 動的なスキームにより、通常のスタティック(のみ) の方法論に比べると自由度が向上
| 21 Why ID Based Security? ( ユースケース) • Primary:
VDI on AHV – Active Directoryを用いる環境において 、Desktopのセキュリティを自動化 – ユーザに基づいたセキュリティのルール – VMの手動Categorizeは不要 ▪ 例: HR(人事)ユーザはHRのリソー スのみがアクセス可能 • Secondary: Src and Dstをユーザで定 義 – 既存AppTypeポリシーにおいてADGroup をSrc and Dstとして定義可能
情報による動的セキュリティ ADドメインを同期 – Poll Groups ユーザのログイン・イベント VMをカテゴリにマッピング John’s Desktop VM
Finance Desktop VMs IT Desktop VMs IT Desktop VMs 該当するADグループに応じて、 自動的にFlowセキュリティポリシーを適応 Other Desktop VMs Other Desktop VMs
標準 ポリシー 標準ポリシー 新しい の ベースのファイヤウォ ール 構成ワークフロー • 仮想マシンのフィルタとカテゴリの
割当を単一 へと移動 • 文字列マッチ を含 む • オプションを含む
Thank you