nutanix_meetup_20210728_flow

Transcript

1. AOS5.20 Update - Flow編 - N U T A N

   I X M E E T U P 2 1 . 0 7 | H I R O K I I T O - S R . S Y S T E M E N G I N E E R N U T A N I X J A P A N

2. はじめに Disclaimer – 本資料は、2021年7月時点における弊社の一般的な製品機能の概要を説明を主目的とするものです。 – 本資料は情報提供を唯一の目的とするものであり、法律的またはその他の指導や助言を意図したものではなく、 いかなる契約にも用いることはできません。 – 本資料に含まれている情報については、完全性と正確性を期するよう努力しましたが、「現状」で提供され、 明示的または暗示的に関わらず、いかなる保証も伴わないものとします。

   – 本資料またはその他の資料の使用によって、あるいはその他の関連によって、いかなる損害か生した場合も、 Nutanix Inc.及びニュータニックス・ジャパン合同会社は責任を負わないものとします。 – 本資料で提供する情報やマテリアル、機能を確実に提供することを確約するものではありません。 弊社製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。

3. AHV組込セキュリティ Nutanix Flow

4. セキュリティの課題 | 4 消えつつある境界 複雑さ 洗練された攻撃 ハイブリッドクラウドのトレンド セキュリティ運用のスタッフ • 曖昧なオンプレ

   <==> クラウドの境界 • 従来のアプローチでは高コスト・複雑 • トラフィック量の増加＋攻撃手段の変化 • 価値の高いデータを狙う • モダンなアプリケーション・アーキテクチャ • マイクロサービス（コンテナ） • SaaS • パブリッククラウド • 専門知識の変化の速さ • マニュアル・静的なアプローチでは遅い/妨げになる

5. | 5 組み込みセキュリティ • に組み込みのセキュリティ機能 ➢ インストール不要！ ➢ から有効化するのみ！ •

   との連携 ➢ 強力な可視化機能 ➢ ポリシーベースのマイクロセグメンテーション • 追加ツール不要で直感的で拡張性のある ソリューション • のシンプルさが組み込み サーバ データ保護 ストレージ プラットフォーム 組み込みのセキュリティ

6. Prism Centralに組み込みの管理・視認性 • 可視化されたフロー情報 ➢ Application中心に構成 ➢ 視覚的な通信 • Prism組み込みの一元管理

   Prismに組込の管理面・及びTrafficの視覚的情報

7. すぐに簡単に使い始められる | 7 1. Prism Element より、 Prism Central をデプロ

   イ 3. Prism Central にログ インし上部タブから”?” をクリックしマイクロセ グメンテーションの Setup 4. 事前チェック完了後、 チェックボックスに チェックを入れEnable 5. 作業が完了し、マイク ロセグメンテーションが 有効化されFlow の機能 が利用可能となる 2. Prism Central にクラ スタを登録

8. アプリケーション中心のセキュリティ | 8 アプリ中心のポリシーとカテゴリ 層 内通信制御 層 間通信制御 IP /

   VLANに依存しない、GUIからのグラフィカルな設定 インバウンド アウトバウンド

9. ユースケース の実用例

10. での隔離 アプリポリシー アプリポリシー アプリポリシー アプリポリシー あらゆる 環境隔離ポリシー アプリ アプリ アプリ

    アプリ • 環境内で仮想マシンを特定 • カテゴリを割り当て • 環境 • 環境向けの隔離ポリシーを定義 • 通信の最小権限 すべてのトラフィックが許可さ れない

11. でのアプリケーションのセグメント化 ポリシー ✅ ❌ ❌ ❌ ポリシー ✅ ✅ ❌

    ❌ ポリシー ✅ ✅ ✅ ✅ ✅ ポリシー ✅ ✅ ✅ ✅ • 仮想マシンを特定 階層アプリとサービ ス あらゆる クラスタ ホスト • カテゴリを割り当て • ポリシーを定義 • インフラ階層のポリシーを定義 • でセキュアに

12. でのコンプライアンス 隔離 ポリシー アプリリングフェンシングポリシー アプリリングフェンシングポリシー ポリシー監査ログ パケット ログ と構成 管理者

    運用 監視 • セキュリティ 監査ログ • ポリシー違反 • トラフィック監視 • パケットの許可 拒否ログ • リモート セキュリティ運用 専用インフラストラクチャ不要なコンプライアンス

13. ネットワーク脅威の抑止 エッジファイヤウォール 外部脅威の検出とフィルタ マイクロセグメンテーション 必要な通信だけを許可 マイクロセグメンテーション 脅威検出 必要な通信だけを許可し、許可された通信に対して サイバー脅威と不審を検査 パートナー

    セキュリティア プライアンス 真相防御によってネットワークセキュリティを向上 • 境界の決めの粗いフィルタリングを通過 • アプリケーションや組織で内部ネットワークをセグメント化 • アプリケーションを層やサービスでマイクロセグメント化 • 許可されたトラフィックに対してディープパケットインスペクションと脅威のイン テリジェンスツールを利用

14. Flowセキュリティ Updateポイント

15. サービスグループ • すべての標準的な ポートとグルー プをサポート • 特定のユースケースに基づいてカスタム サービスを作成することが可能 • システム標準またはユーザー定義のサー

    ビスを使用可能な柔軟性 • つまたは複数のサービス（ユーザー定義 またはシステム定義）を単一のサービス グループの一部として構成可能 主な特徴

16. サービスグループ • 使いやすさ ドロップダウンからの選択 • 設定エラーの最小化 • 冗長な作業を最小限に抑える • 標準の

    ポートとグループを使用し て、より良いセキュリティを確保 主なメリット

17. アドレスグループ 主な特徴 • エンドポイントのグループ アドレ ス、サブネットなど を表すために、 のようなユーザー定 義のカスタム名を使用できます。 •

    異なるポリシーでアドレスグループを 再利用可能

18. アドレスグループ 主なメリット • 冗長な設定作業を最小限に抑える：アドレスグループを 使用すると、 、 、ロギング、クライアント サ ブネットなどの アドレスの共通セットに、ユーザーが

    指定した名前を割り当てることができるため、ポリシー ごとに繰り返し設定を行う必要性を軽減できます。 • 変更管理を最適化する：アドレスグループを使用するこ とで、 アドレス構成の変更を影響を受けるすべてのポ リシーに伝播させるために必要な時間と労力を節約でき ます。 • 可視化におけるノイズの削減：トラフィックフローのア ドレスグループ単位での可視化が提供されることで、情 報の把握と管理がしやすくなります。アドレスグループ を展開して、詳細な表示を行うことも可能です。

19. Flowユースケース - Identity(AD) Based動的セキュリティ

20. Identity Based Securityとは? | 20 1. AOS 5.17で追加されたの新機能 2. ログインしたユーザのActive

    Directory(AD)グルー プに応じて、VMをカテゴライズ 3. カテゴライズされたVMに該当するFlow Securityルー ルを動的に適応 注：Windows User Desktop VMを想定 これが意味することは……?! 何が異なる……?! 1. 同一VMに対して、ログインしているユーザに応じて 異なるセキュリティルールが適応可能 2. 動的なスキームにより、通常のスタティック（のみ） の方法論に比べると自由度が向上

21. | 21 Why ID Based Security? ( ユースケース) • Primary:

    VDI on AHV – Active Directoryを用いる環境において 、Desktopのセキュリティを自動化 – ユーザに基づいたセキュリティのルール – VMの手動Categorizeは不要 ▪ 例: HR（人事）ユーザはHRのリソー スのみがアクセス可能 • Secondary: Src and Dstをユーザで定 義 – 既存AppTypeポリシーにおいてADGroup をSrc and Dstとして定義可能

22. 情報による動的セキュリティ ADドメインを同期 – Poll Groups ユーザのログイン・イベント VMをカテゴリにマッピング John’s Desktop VM

    Finance Desktop VMs IT Desktop VMs IT Desktop VMs 該当するADグループに応じて、 自動的にFlowセキュリティポリシーを適応 Other Desktop VMs Other Desktop VMs

23. 標準 ポリシー 標準ポリシー 新しい の ベースのファイヤウォ ール 構成ワークフロー • 仮想マシンのフィルタとカテゴリの

    割当を単一 へと移動 • 文字列マッチ を含 む • オプションを含む

24. Thank you