Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
nutanix_meetup_20210728_flow
Search
hiroki-ito1118
August 04, 2021
Technology
0
330
nutanix_meetup_20210728_flow
hiroki-ito1118
August 04, 2021
Tweet
Share
Other Decks in Technology
See All in Technology
~Everything as Codeを諦めない~ 後からCDK
mu7889yoon
3
460
学生・新卒・ジュニアから目指すSRE
hiroyaonoe
2
710
データの整合性を保ちたいだけなんだ
shoheimitani
8
3.2k
Amazon S3 Vectorsを使って資格勉強用AIエージェントを構築してみた
usanchuu
3
450
OWASP Top 10:2025 リリースと 少しの日本語化にまつわる裏話
okdt
PRO
3
830
プロダクト成長を支える開発基盤とスケールに伴う課題
yuu26
4
1.4k
AI駆動開発を事業のコアに置く
tasukuonizawa
1
330
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
5
1.6k
セキュリティについて学ぶ会 / 2026 01 25 Takamatsu WordPress Meetup
rocketmartue
1
310
ClickHouseはどのように大規模データを活用したAIエージェントを全社展開しているのか
mikimatsumoto
0
260
[CV勉強会@関東 World Model 読み会] Orbis: Overcoming Challenges of Long-Horizon Prediction in Driving World Models (Mousakhan+, NeurIPS 2025)
abemii
0
150
量子クラウドサービスの裏側 〜Deep Dive into OQTOPUS〜
oqtopus
0
140
Featured
See All Featured
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
Reality Check: Gamification 10 Years Later
codingconduct
0
2k
Heart Work Chapter 1 - Part 1
lfama
PRO
5
35k
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
78
Context Engineering - Making Every Token Count
addyosmani
9
660
Mobile First: as difficult as doing things right
swwweet
225
10k
Statistics for Hackers
jakevdp
799
230k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
69
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
54k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
100
Six Lessons from altMBA
skipperchong
29
4.2k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
120
Transcript
AOS5.20 Update - Flow編 - N U T A N
I X M E E T U P 2 1 . 0 7 | H I R O K I I T O - S R . S Y S T E M E N G I N E E R N U T A N I X J A P A N
はじめに Disclaimer – 本資料は、2021年7月時点における弊社の一般的な製品機能の概要を説明を主目的とするものです。 – 本資料は情報提供を唯一の目的とするものであり、法律的またはその他の指導や助言を意図したものではなく、 いかなる契約にも用いることはできません。 – 本資料に含まれている情報については、完全性と正確性を期するよう努力しましたが、「現状」で提供され、 明示的または暗示的に関わらず、いかなる保証も伴わないものとします。
– 本資料またはその他の資料の使用によって、あるいはその他の関連によって、いかなる損害か生した場合も、 Nutanix Inc.及びニュータニックス・ジャパン合同会社は責任を負わないものとします。 – 本資料で提供する情報やマテリアル、機能を確実に提供することを確約するものではありません。 弊社製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
AHV組込セキュリティ Nutanix Flow
セキュリティの課題 | 4 消えつつある境界 複雑さ 洗練された攻撃 ハイブリッドクラウドのトレンド セキュリティ運用のスタッフ • 曖昧なオンプレ
<==> クラウドの境界 • 従来のアプローチでは高コスト・複雑 • トラフィック量の増加+攻撃手段の変化 • 価値の高いデータを狙う • モダンなアプリケーション・アーキテクチャ • マイクロサービス(コンテナ) • SaaS • パブリッククラウド • 専門知識の変化の速さ • マニュアル・静的なアプローチでは遅い/妨げになる
| 5 組み込みセキュリティ • に組み込みのセキュリティ機能 ➢ インストール不要! ➢ から有効化するのみ! •
との連携 ➢ 強力な可視化機能 ➢ ポリシーベースのマイクロセグメンテーション • 追加ツール不要で直感的で拡張性のある ソリューション • のシンプルさが組み込み サーバ データ保護 ストレージ プラットフォーム 組み込みのセキュリティ
Prism Centralに組み込みの管理・視認性 • 可視化されたフロー情報 ➢ Application中心に構成 ➢ 視覚的な通信 • Prism組み込みの一元管理
Prismに組込の管理面・及びTrafficの視覚的情報
すぐに簡単に使い始められる | 7 1. Prism Element より、 Prism Central をデプロ
イ 3. Prism Central にログ インし上部タブから”?” をクリックしマイクロセ グメンテーションの Setup 4. 事前チェック完了後、 チェックボックスに チェックを入れEnable 5. 作業が完了し、マイク ロセグメンテーションが 有効化されFlow の機能 が利用可能となる 2. Prism Central にクラ スタを登録
アプリケーション中心のセキュリティ | 8 アプリ中心のポリシーとカテゴリ 層 内通信制御 層 間通信制御 IP /
VLANに依存しない、GUIからのグラフィカルな設定 インバウンド アウトバウンド
ユースケース の実用例
での隔離 アプリポリシー アプリポリシー アプリポリシー アプリポリシー あらゆる 環境隔離ポリシー アプリ アプリ アプリ
アプリ • 環境内で仮想マシンを特定 • カテゴリを割り当て • 環境 • 環境向けの隔離ポリシーを定義 • 通信の最小権限 すべてのトラフィックが許可さ れない
でのアプリケーションのセグメント化 ポリシー ✅ ❌ ❌ ❌ ポリシー ✅ ✅ ❌
❌ ポリシー ✅ ✅ ✅ ✅ ✅ ポリシー ✅ ✅ ✅ ✅ • 仮想マシンを特定 階層アプリとサービ ス あらゆる クラスタ ホスト • カテゴリを割り当て • ポリシーを定義 • インフラ階層のポリシーを定義 • でセキュアに
でのコンプライアンス 隔離 ポリシー アプリリングフェンシングポリシー アプリリングフェンシングポリシー ポリシー監査ログ パケット ログ と構成 管理者
運用 監視 • セキュリティ 監査ログ • ポリシー違反 • トラフィック監視 • パケットの許可 拒否ログ • リモート セキュリティ運用 専用インフラストラクチャ不要なコンプライアンス
ネットワーク脅威の抑止 エッジファイヤウォール 外部脅威の検出とフィルタ マイクロセグメンテーション 必要な通信だけを許可 マイクロセグメンテーション 脅威検出 必要な通信だけを許可し、許可された通信に対して サイバー脅威と不審を検査 パートナー
セキュリティア プライアンス 真相防御によってネットワークセキュリティを向上 • 境界の決めの粗いフィルタリングを通過 • アプリケーションや組織で内部ネットワークをセグメント化 • アプリケーションを層やサービスでマイクロセグメント化 • 許可されたトラフィックに対してディープパケットインスペクションと脅威のイン テリジェンスツールを利用
Flowセキュリティ Updateポイント
サービスグループ • すべての標準的な ポートとグルー プをサポート • 特定のユースケースに基づいてカスタム サービスを作成することが可能 • システム標準またはユーザー定義のサー
ビスを使用可能な柔軟性 • つまたは複数のサービス(ユーザー定義 またはシステム定義)を単一のサービス グループの一部として構成可能 主な特徴
サービスグループ • 使いやすさ ドロップダウンからの選択 • 設定エラーの最小化 • 冗長な作業を最小限に抑える • 標準の
ポートとグループを使用し て、より良いセキュリティを確保 主なメリット
アドレスグループ 主な特徴 • エンドポイントのグループ アドレ ス、サブネットなど を表すために、 のようなユーザー定 義のカスタム名を使用できます。 •
異なるポリシーでアドレスグループを 再利用可能
アドレスグループ 主なメリット • 冗長な設定作業を最小限に抑える:アドレスグループを 使用すると、 、 、ロギング、クライアント サ ブネットなどの アドレスの共通セットに、ユーザーが
指定した名前を割り当てることができるため、ポリシー ごとに繰り返し設定を行う必要性を軽減できます。 • 変更管理を最適化する:アドレスグループを使用するこ とで、 アドレス構成の変更を影響を受けるすべてのポ リシーに伝播させるために必要な時間と労力を節約でき ます。 • 可視化におけるノイズの削減:トラフィックフローのア ドレスグループ単位での可視化が提供されることで、情 報の把握と管理がしやすくなります。アドレスグループ を展開して、詳細な表示を行うことも可能です。
Flowユースケース - Identity(AD) Based動的セキュリティ
Identity Based Securityとは? | 20 1. AOS 5.17で追加されたの新機能 2. ログインしたユーザのActive
Directory(AD)グルー プに応じて、VMをカテゴライズ 3. カテゴライズされたVMに該当するFlow Securityルー ルを動的に適応 注:Windows User Desktop VMを想定 これが意味することは……?! 何が異なる……?! 1. 同一VMに対して、ログインしているユーザに応じて 異なるセキュリティルールが適応可能 2. 動的なスキームにより、通常のスタティック(のみ) の方法論に比べると自由度が向上
| 21 Why ID Based Security? ( ユースケース) • Primary:
VDI on AHV – Active Directoryを用いる環境において 、Desktopのセキュリティを自動化 – ユーザに基づいたセキュリティのルール – VMの手動Categorizeは不要 ▪ 例: HR(人事)ユーザはHRのリソー スのみがアクセス可能 • Secondary: Src and Dstをユーザで定 義 – 既存AppTypeポリシーにおいてADGroup をSrc and Dstとして定義可能
情報による動的セキュリティ ADドメインを同期 – Poll Groups ユーザのログイン・イベント VMをカテゴリにマッピング John’s Desktop VM
Finance Desktop VMs IT Desktop VMs IT Desktop VMs 該当するADグループに応じて、 自動的にFlowセキュリティポリシーを適応 Other Desktop VMs Other Desktop VMs
標準 ポリシー 標準ポリシー 新しい の ベースのファイヤウォ ール 構成ワークフロー • 仮想マシンのフィルタとカテゴリの
割当を単一 へと移動 • 文字列マッチ を含 む • オプションを含む
Thank you
mu7889yoon
hiroyaonoe
shoheimitani
usanchuu
okdt
yuu26
tasukuonizawa
oracle4engineer
rocketmartue
mikimatsumoto
abemii
oqtopus
afnizarnur
codingconduct
lfama
greggifford
addyosmani
swwweet
jakevdp
ryanjones
destraynor
cargoodrich
skipperchong
sarafernandez
