SDN(Software Defined Networking)はネットワークのアーキテクチャーの大きな変革であり、様々なエリアに大きな影響を及ぼす。その一つがセキュリティ分野である。SDN環境下においては、これまでのセキュリティのアーキテクチャーとは異なるポリシーベースのアプローチが求められる。そしてSDNによって、これまで以上にアプリケーションやデータを分離しセキュリティチェックすることも可能になる。セキュリティ製品のリーディング企業の一つであるトレンドマイクロのエバ・チェン代表取締役社長(CEO)に、SDNがもたらすセキュリティ・アーキテクチャーの変化について聞いた。
SDNのような大きなネットワークのアーキテクチャーの変革は、セキュリティの考え方やアプローチにも影響を与えるのではないか。
その通りだ。SDNはこれまでのインフラを一新する大きな波だ。セキュリティの考え方にも大きな変化をもたらす。
これまでのネットワーク環境は、ルーターがあり、スイッチがあり、スイッチの各ポートにコンピュータが接続されていた。このようなネットワーク環境下では、ポートやIPアドレスなどをベースにセキュリティチェックをしていた。例えばファイアウォールはルーターの前に設置され、どのポートを開放するかをチェックし、IDSやIPSはHTTPなどどのプロトコルを通すかを判断。エンドポイント環境の防御ではファイルのスキャニングも実施していた。ただこれまでの環境では、全体のセッションを統合的に把握するのは困難だった。
ではSDN環境下では、どのようにセキュリティの考え方が変わるのか。SDNではネットワークを構成する要素が全てダイナミックに変化しうる。これまでのエンドポイントの管理は大抵IPアドレスをベースにしている。そのため、これまでのようなセキュリティのアプローチでは対応できないことになる。
SDNの環境下では、例えばこれまでのファイアウォールやIDS/IPSなどは、SDNコントローラーと連携して動作する必要がある。具体的にはSDNコントローラーと連携したセキュリティゲートウエイが、ポリシーに沿ってプロトコルやファイル内容などをスキャンし、OKならば通すといった形だ。このセキュリティゲートウエイはエンドポイントの防御とも連携する必要があるだろう。
逆に言えばSDNによって、このようにポリシーベースでレイヤー2からレイヤー7までを統合的にセキュリティチェックすることがやりやすくなる。実はこのようなコンセプトに基づき、トレンドマイクロのセキュリティ製品「Trend Micro Deep Security」を米ヴイエムウェアのSDNソリューション「VMware NSX」と連携できるようしている。