セキュリティゾーンをVM単位に最小化
VDI(仮想デスクトップ)により物理PCを仮想化することで、VMごとにセキュリティゾーンを構築することができます。マルウェア検知などのセキュリティ機能は、セキュリティゾーンの外側に置いて動的な監視を行います。
有効な解決策は、セキィリティゾーンを可能な限り小さくすること
セキュリティゾーンにいったん侵入されると、その内部にあるすべてのPCが脅威にさらされると述べました。裏を返せば、セキュリティゾーンを小さくすれば小さくするほど、侵入範囲を狭められることになります。 さらに、各セキュリティゾーンの振る舞いを監視し、不審なアクセスが発生しているセキュリティゾーンを他から切り離す、すなわち「検疫」を行うことで、全社ネットワークをセキィリティ脅威から保護することができます。
最小化されたセキュリティゾーンの利点
- 侵入拡大を防止し、不正アクセスの検知が可能
- アンチウィルスソフトと連動し、セキュリティポリシーを動的に変更可能
仮想デスクトップごとにセキュリティゾーンを構築
具体的にセキュリティゾーンをどこまで小さくするのかというと、PCごとに設定するのが理想的です。また、通常は端末間でPeer to Peerの通信は不必要ですので、セキュリティゾーン間(PC間)の通信をブロックしてしまうことも、運用上問題になること無いかと思います。ただし、物理PCのままでは不十分です。さまざまなセキュリティ機能をOS上で動作させることになるため、いったんマルウェアに感染してしまうと、その機能自体が意味をなさなくなってしまうからです。 そこでお勧めするのが、VDI(仮想デスクトップ)の導入です。PCを仮想化し、仮想デスクトップ(VM)ごとにセキュリティゾーンを構築するのです。マルウェア検知などのセキュリティ機能は、セキュリティゾーンの外側に置いて動的な監視を行います。
仮想デスクトップごとのセキュリティ対策
- 仮想デスクトップごとのファイアウォールサービスを仮想ネットワーク上に実装することにより、最小化されたセキュリティゾーンの実現
- 必要ない経路をすべて遮断することが可能
- 仮想マシンレベルでのセキュリティ違反を追跡することが可能
- アンチウィルスとの連動などによる動的なセキュリティ管理を実現
