物理PCからのアクセスもNSXで制御したい

VMware NSX Portal | 物理PCからのアクセスもNSXで制御したい

物理PCにも“マイクロセグメンテーション”!?

VMware NSXは仮想環境において、VM単位で「分散ファイアウォール」を設定することで、内部セキュリティを強化することが可能です。
(→NSXを使った理想のセキュリティ実現)

NSXの管理対象外となる物理PCが混在する環境でも、認証セキュリティソリューションである「ARCACLAVIS Ways(アルカクラヴィス ウェイズ)」を活用し、物理PCに対しても “マイクロセグメンテーションの理念と同様のセキュリティ環境” を構築することができます。

認証強化の必要性

「認証」とは、ネットワークやサーバーに接続する際に本人であるかどうかを確認する、もっとも基本的なITセキュリティです。多くの企業は「認証」をIDとパスワードで行っていますが、果たしてそれは安全と言えるのでしょうか。昨今では、ID/パスワード認証をかいくぐる“なりすまし”などの不正アクセスが増加しています。そして仮想環境であっても、その不正アクセスのリスクは大きく変わることはありません。
ID/パスワードに加えて、さらに認証を強化する必要性が高まっています。

パスワードの安全性は決して高くない

ここで、ID/パスワード認証のデメリットを考えてみましょう。
実装や展開が容易なため広く普及していますが、以下のようなデメリットがあります。

  • 漏えいしたことに気付きにくい
  • 個人の記憶に頼らなければならない
  • 数字の羅列や、意味のある簡単な単語に設定されたパスワードは、他人からも簡単に類推できてしまう(パスワードを解読する攻撃方法やツールが多数存在する)

パスワードの桁数を増やすことで強度を向上することも出来ますが、ユーザーが長く複雑なパスワードを覚えきれずに、パスワードの使いまわしやメモや付箋に残すといった行為が増え、逆にセキュリティが低下するなど本末転倒な事態に陥ることもありがちなことです。また、パスワード忘れの問い合わせが増え、情報システム部門の業務を圧迫することさえあります。

ICカードで二要素認証を

多くの情報漏えい事件が世間を騒がせる中、セキュリティ強化として「本人認証の強化」と、重要なデータを取扱う「業務システムの不正利用対策」の二つが、とても重要です。ARCACLAVIS Waysは、これらの対策を強化することができます。

端末利用時の認証を「ICカード+パスワード」の二要素認証で行い、本人認証を強化し、ICカードの操作時のログを記録します。共有アカウントでもICカードに紐付いたユーザーのログが出力されるので、不正利用対策として効果を発揮します。

ICカード+パスワードを利用した二要素認証ならば、パスワードが流失し悪用されても、ICカードを所持していないと認証されないので、システムの不正利用や情報漏えいを防止できます。

ARCACLAVIS Waysの二要素認証

ICカード認証とファイアウォールが連動した「動的アクセス制御」

一般的なファイアウォールによるアクセス制御は、通信を許可したポートは、常に通信が可能な状態になります。このため、マルウェアなどが侵入した場合に拡散を防ぐことができず、また、不正なユーザーによる重要情報の持出しを許してしまう結果となります。
ARCACLAVIS Ways のICカード認証なら、NSXと連携することで、ユーザーの属性や権限に合わせた認可ベースの動的なファイアウォール制御が可能になります。

基幹システムなど、重要な情報へアクセスする通信経路を通常時は遮断しておき、正しい権限をもつユーザーがICカードをカードリーダーに置いた時だけ、ファイアウォールが通信経路を解放し、基幹システムを利用できるようにします。ユーザーがICカードの取り外すと、動的にファイアウォールを閉鎖し不要なアクセスを排除します。つまり、「正しく本人認証されたユーザーだけ」、「利用している時間だけ」、「対象サーバーのみ」にアクセスを可能にします。

このように重要情報へのアクセスをきめ細やかにコントロールすることで、ネットワークセキュリティをさらに強化し、不正アクセスや情報漏えいを防ぐ高度なセキュリティ環境を実現します。

認証情報や解放した通信経路の情報もログとして、ARCACLAVIS Waysの認証サーバに保存されるので、証跡管理も可能です。

ICカード認証とファイアウォールが連動した「動的アクセス制御」

仮想化できないPC端末も、NSXのポリシーを適用できる

組織において全てのPCを仮想化することが不可能な場合、残された物理PCはNSXの管理対象外になるため、セキュリティのウィークポイントとなってしまいます。 ARCACLAVIS Waysなら、認証に伴う物理ファイアウォールの動的制御が可能となり、仮想環境と物理PCが混在する環境でも、NSXのマイクロセグメンテーションの理念と同様のセキュリティ環境を構築できます。

NSXとARCACLAVIS Waysの認証連携による仮想ファイアウォールの動的制御


NSXによるネットワーク仮想化でマルウェアなど脅威の拡散を防止し、ARCACLAVIS WaysはActive Directoryと連携して、ユーザーの属性や権限に応じた動的なネットワークアクセス制御を行います。
これまで不可能だった「正しく本人認証されたユーザーだけ」、「利用している時間だけ」、「対象サーバーのみ」にアクセスを可能にするきめ細やかな制御を提供します。

NSXとARCACLAVIS Waysの連携ソリューションは仮想/物理を含めたネットワークでつながる環境における次世代のアクセスコントロール環境を提供します。

  • NSXとARCACLAVIS Waysの認証連携による動的なネットワークのアクセス制御
  • NSXで制御される仮想デスクトップ環境だけでなく、物理PCも統合的に管理
  • Active Directory、NSX、ARCACLAVIS Waysの連携で次世代のアクセスコントロール環境を提供