�V�X�R �Z�L���A �f�[�^�Z���^�[ �\�����[�V����

At-A-Glance
シスコ セキュア データセンター ソリューション
データセンターのセキュリティ、効率性、即応性、拡張性
データセンターの変革を安全に進めるために
データセンターへの要求が増大するにつれて、企業は資本投資の削
減、ビジネスの効率化、IT リソースの最適化、即応性と拡張性の
実現、収益拡大につながる新しいビジネス モデルの構築といった課
題への対応を迫られることになります。 これらのビジネス目標を実
現するために、企業はデータセンターのアーキテクチャを発展させ、
従来のデータセンターから仮想化環境へ、そして最終的にクラウド
へと移行します。
このような新しいビジネス コンピューティング モデルへの移行に伴
い、技術面とプロセス面の両方でセキュリティの課題が発生してお
り、このことが、仮想化データセンターからクラウドに移行するうえ
での最大の障壁になっています。 そのため、セキュリティ対策を見
直し、情報のやり取りを保護する新しいツールを開発することが必
要になっています。
新しいデータセンターでの最適なセキュリティの
提供
シスコ セキュア データセンター ソリューションは、仮想マシンとユー
ザに対してネットワークおよびポリシーを安全にセグメント化します。
シスコ セキュア データセンター ソリューションでは、すでに用意さ
れているポリシーを基に、データセンターのエッジとゾーン、および
アプリケーション内で、内部および外部からの脅威を遮断します。
このソリューションのセキュリティ コンテキスト機能は、ネットワー
クのエンティティとフローに対する可視性を提供し、導入モデルを
問わない一貫したポリシー適用を可能にします。
シスコ セキュア データセンターソリューションのコア コンポーネン
トは次のとおりです。
• セキュアなセグメンテーション
• 脅威に対する防御
• 可視性
セキュアなセグメンテーション
大規模企業では、データセンター内のデータを管理および整理する
ためにセグメンテーションを使用します。 ただし、セグメント化され
たフレームワークを構築する場合には、セキュリティをどこで、誰の
ために、どのように実装するかという点が問題になります。 組織が
セグメント化を行い、仮想化して、アプリケーションをクラウドに移
動する場合、
ネットワークはいっそう複雑になります。このようなネッ
トワーク ファブリックにセキュリティを組み込み、ネットワークと連
携させて、ネットワークを流れる機密情報に対する一貫したポリシー
と可視性を保証する必要があります。
• Cisco® ASA 5585-X 適応型セキュリティ アプライアンスは、
ミッション クリティカルなデータセンターのパフォーマンス ニー
ズを満たすように調整されています。 このアプライアンスは、世
界有数の評価を受けているファイアウォールと、業界トップレベ
ルの導入実績を誇るコンテキスト認識型 IPS を組み合わせたも
のであり、ビジネス リスクの大幅な軽減と法令順守への対応を
コンパクトな 2 RU のサイズで実現する、非常に効果的なセキュ
リティ ソリューションです。
• Cisco ASA Software Release 9.0 は、エンタープライズ ク
ラスのセキュリティ機能をさまざまなフォーム ファクタ(幅広い
種類のスタンドアロン アプライアンス、企業の既存のネットワー
ク インフラストラクチャに統合可能なハードウェア ブレード、パ
ブリック クラウドとプライベート クラウドを保護するソフトウェア
など)に提供します。 Release 9.0 の主な新機能としては、ク
ラスタリングの他に、Cisco クラウド Web セキュリティ(以前
の ScanSafe)との統合、Cisco TrustSec® セキュリティ グ
ループ タグ(SGT)のサポートなどがあります。Cisco クラウド
Web セキュリティとの統合により、よりきめ細かく Web アクセ
ス および Web アプリケーション ポリシーを適用し、ウイルスと
マルウェアからの保護を実現できるようになります。また、Cisco
TrustSec SGT により、ポリシー体系を ASA プラットフォーム
の上にも拡張し、ネットワーク ファブリックにセキュリティを統合
できます。
• Cisco TrustSec セキュリティ グループ アクセス(SGA)は、
システムまたはユーザが接続した際のコンテキストに基づいて分
類します。これは、組織が、データセンター インフラストラク
チャのセキュリティ ポリシーを実装する方法を変革する革新的な
ソリューションです。 このコンテキストに基づく分類は SGT を
使用して伝達され、データセンター内ではポリシーに基づいてイ
ンテリジェントにフォワードまたはブロックの決定が行われます。
さらに、Cisco TrustSec SGA はファイアウォール ルールを自
動化し、アクセス コントロールの管理の複雑さを解消します。
• Cisco ASA 1000V クラウド ファイアウォールは、データセン
ター内部のテナント エッジにセキュリティを提供し、計算機リ
ソースを仮想的に分離します。 これは ASA インフラストラクチャ
を基に構築されており、ファイアウォールで、サイト間 VPN、
ネットワーク アドレス変換(NAT)、動的ホスト制御プロトコル
(DHCP)、ネットワークベースの攻撃のインスペクションなどの
エッジ機能を提供します。 マルチテナントのデータセンターまた
はプライベート クラウドでは、必然的に、適用されているポリシー
に基づいて、異なるテナント間、アプリケーション間、ユーザ グ
ループ間でアプリケーション トラフィックを完全に分離する必要
があります。 この機能は Nexus 1000V スイッチと統合されて
おり、いっそう柔軟な導入が可能です。
• Cisco Virtual Security Gateway(VSG)は、Cisco
Nexus® 1000V シリーズ スイッチに統合され、テナント内の
仮想マシン間のきめ細かいセキュリティを実現します。 Cisco
VSG は、ゲートウェイ サービスおよび仮想マシンに対して、コ
ンテキスト認識型かつゾーンベースのセキュリティ機能を提供し
ます。 Cisco VSG は、Cisco Nexus 1000V シリーズの仮想
イーサネット モジュールに組み込まれた仮想ネットワーク サービ
ス データ パス(vPath)テクノロジーを利用します。
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco および Cisco のロゴは、米国およびその他の国における Cisco およびその関連会社の 商標または登録商標です。シスコの商標の一覧は、www.cisco.com/go/trademarks でご覧いただくことができます。
掲載されている第三者の商標はそれぞれの権利者の財産です。
「パートナー」
または
「partner」
という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。
(1110R)
At-A-Glance
• Cisco vPath テクノロジーは、ASA 1000V クラウド ファイア
ウォールを経由したトラフィックを、インバウンドか仮想マシン間
の移動かにかかわらず、Cisco Virtual Security Gateway に送
ります。 これにより(VSG とクラウド ファイアウォールが含まれ
た)ソリューションがパーツとして実装された統合的な仮想サー
ビスの間を繋ぐ能力を提供します。また、拡張性の向上のために、
Virtual Extensible LAN(VXLAN)機能も提供します。
• Cisco Nexus 1000V シリーズ スイッチは、データセンター ネッ
トワークに仮想化インテリジェンスを追加することによって、高度
にセキュアなマルチテナント サービスを提供します。 これらのソ
フト スイッチは、ネットワーク エッジをハイパーバイザや仮想マ
シンまで拡張し、スケーラブルなクラウド ネットワークを構築しま
す。 Nexus 1000V シリーズ スイッチは、VMware vSphere
や Microsoft Windows 2012 Server Hyper-V など、広範
なハイパーバイザ環境をサポートします。 また、Nexus 1000V
シリーズ スイッチは、SDN(Software Defined Network)の
中核となる仮想オーバーレイ ネットワークの基盤も形成します。
脅威に対する防御
2011 Verizon Data Breach Investigation レポートによると、ネッ
トワークの脅威の 92 % は外部のものです。ハッカー、組織化され
た犯罪グループ、政府機関などの外部ソースを起源とし、通常は特
定の組織がターゲットになります。 シスコのソリューションは、脅威
の識別能力、パッシブ OS フィンガープリント、およびレピュテーショ
ンとコンテキストの分析を使用して、APT(Advanced Persistent
Threat)や他の高度な外部攻撃からインフラストラクチャとアプリ
ケーションを保護します。
• Cisco IPS 4500 シリーズは、将来的な拡張と投資保護に備え
て拡張可能に設計されたシャーシ上で、ハードウェア アクセラ
レーションに対応したインスペクションと、実用的なパフォーマン
ス、高いポート密度、エネルギー効率を提供します。 この製品は、
フォーム ファクタが小さく消費電力が少ないため、スペース的な
制限のあるデータセンター環境に最適です。
• Cisco ASA CX は、データセンター内の部門エッジのアプリケー
可視性
お客様は、仮想世界でも物理的な世界と同様のコントロールができ
ることを望みます。 シスコのソリューションは、運用とコンプライア
ンス レポートを簡単にし、ネットワーク内のセキュリティ要素の可視
性を提供し、ネットワーク アクティビティにビジネス コンテキストを
適用します。
• Cisco Security Manager 4.3 は、ポリシーの一貫した適用、
セキュリティ イベントの迅速なトラブルシューティング、セキュリ
ティ環境全体についての要約レポートを可能にする包括的な管
理ソリューションです。 シスコのセキュリティ環境を管理し、導
入環境全体の可視性を提供し、他の重要なネットワーク サービ
スとの情報共有を可能にします。 さらに、一連の強力な自動化
能力によって、最適な運用効率を実現します。 Cisco Security
Manager は、Cisco ASA 5500 シリーズ適応型セキュリティ
アプライアンス、Cisco IPS 4500 シリーズ センサー アプライ
アンス、Cisco AnyConnect® セキュア モビリティ クライアン
ト、および Cisco セキュア ルータのセキュリティ環境を管理し
ます。
• Cisco Virtual Network Management Center(VNMC)は、
Cisco ASA 1000V クラウド ファイアウォールと Cisco VSG
のセキュリティ ポリシーを一元的に管理できる仮想セキュリティ
管理コンソールです。 Cisco VNMC は、透過的、スケーラブル、
マルチテナント対応、ポリシーなどの特徴を持つ管理ソリューショ
ンであり、仮想環境とクラウド環境にエンドツーエンドのセキュリ
ティを提供します。
セキュリティ プロファイルに基づく、テンプレートを利用した動
的なポリシー管理によって、迅速かつスケーラブルな導入が可能
になります。 XML API を通じてサードパーティの管理ツールや
オーケストレーション ツールをプログラム的に統合できるため、
柔軟な管理が可能です。 VNMC により、セキュリティ管理者
はコンプライアンスを目的として、セキュリティ ポリシーをアプリ
ケーション、サーバ、ネットワークとは切り離して制御することが
できます。
効率的でシームレスなセキュリティ
Cisco SecureX アーキテクチャは、ネットワークを中心としたコン
テキスト認識型のセキュリティ アプローチであり、組織全体にわた
る一貫したセキュリティの適用、ビジネス ニーズに合ったセキュリ
ティ ポリシーの提供、グローバル インテリジェンスの統合、サービ
スおよびコンテンツ提供の簡素化を実現します。 ただのセキュアな
データセンターではなく、最適化され管理されたエクスペリエンスを
実現するというビジネス目標をサポートすることが、このアプローチ
の中核となります。 この結果、エンド ユーザにとっては透過的で、
IT 部門にとってはより効率的な、エンドツーエンドの自動的なセキュ
リティの適用が可能になります。
シスコのソリューションの差別化要因:
• ビジネス クリティカルなサービスに影響を与えることなく、実績
のあるセキュリティ機能をフル セットで提供
• データセンターの新たな需要に合わせて拡張可能な高密度の高
速ファイアウォール
• 複雑なマルチサイト ネットワークとの統合を可能にする柔軟性
• 仮想マシン間およびマルチテナント アーキテクチャを保護する柔
軟性(ゾーンおよびエッジでの導入)
• 物理、仮想、クラウドという多様な導入環境において一貫した運
用(ポリシーおよび管理)を実現し、ネットワーク統合プラット
フォームやオーバーレイ プラットフォームなどのフォーム ファクタ
に依存しないセキュリティ ソリューションを提供
• VM-Fex、OTV、LISP、vPath などの革新的な設計により、ネッ
トワーク ファブリックへのポリシー移動を透過的に統合
• 仮想環境の拡張を可能にするマルチコンテキスト設計とクラスタ
リング
• 製品を組み込み徹底的にテストされたシスコ ユニファイド データ
センターの検証済みデザイン
ション ファイアウォールとして導入できます。 これにより、部門
ネットワーク内での不正(未承認)サーバの利用を識別して記録
したり、遮断したりできます。
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco および Cisco のロゴは、米国およびその他の国における Cisco およびその関連会社の 商標または登録商標です。シスコの商標の一覧は、www.cisco.com/go/trademarks でご覧いただくことができます。
掲載されている第三者の商標はそれぞれの権利者の財産です。
「パートナー」
または
「partner」
という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。
(1110R)
At-A-Glance
セキュリティが統合されたユニファイド データセ
ンター
シスコでは、データセンター、仮想データセンター、クラウドを保
護するために、設計の信頼性と安定性の要件に関する徹底的なテ
ストが行われています。 Cisco Virtualized Multi-Services Data
Center(VMDC)は、シスコ ユニファイド データセンターにセキュ
リティを組み込んだ検証済みのデザインです。ユニファイド データセ
ンターは、運用効率の向上、IT 運用の簡素化、ビジネスの即応性
の提供を目的として設計された単一のファブリック ベースの プラット
フォームに、コンピューティング、ストレージ、ネットワーク、仮想化、
管理の機能を統合することによって、データセンターの経済性を変
革します。
ユニファイド データセンターには、市場トップクラスのファイアウォー
ルによるセキュリティ制御と、VPN、ハードウェア アクセラレーショ
ン対応 IPS、および仮想環境向けのアプライアンスとアプリケーショ
ンが、緊密に統合されています。 このセキュアな検証済み設計は、
物理ネットワークから仮想ネットワークへのシームレスなネットワー
ク フローを可能とし、速やかな運用とシンプルな管理を実現します。
これにより、仮想ネットワーク内でテナント リソースを論理的に切り
離した複数のセキュリティ ゾーンを作成し、フォールト トレラントな
仮想マシンの動作を可能にできます。 エッジ セキュリティはデータ
センターを外部の脅威から保護し、データセンター リソースへのセ
キュアなコンテキスト アクセスを提供します。 この VMDC 環境は、
わかりやすく、強力で、セキュアであり、グローバル コリレーション
機能を備えた革新的な IPS、ファイアウォールと Web アプリケー
ション ファイアウォール、および VPN テクノロジーを使用して、重
要な情報アセットに対して優れたリアルタイムの保護を提供します。
図 1 に、Cisco VMDC ソリューションのフレームワークに含まれる製品を示します。
図 1 Cisco VMDC ソリューションのフレームワーク
= コンピューティング
インターネット
エッジ
= ネットワーク
= セキュリティ
コア
ディストリビュー
ション
SAN
Cisco
Nexus 7018 VDC
Cisco
Nexus 7018
ASA 5585-X
VPC
VPC
Cisco Nexus
7000 シリーズ
VPC
ASA 5585-X
VPC
VPC
Cisco Nexus
5000シリーズ
ユニファイド
コンピュー
ティング
システム
Cisco Nexus
2100シリーズ
ゾーン
10 ギガ サーバ ラック
10 ギガ サーバ ラック
VPC
Cisco Nexus
1000 V
Cisco
Catalyst
6500
VPC
VPC
VSS
サービス
ファイア
ウォール
ACE
NAM
IPS
VSG
マルチゾーン
ユニファイド
コンピューティング
ユニファイド アクセス
シスコが選ばれる理由
シスコはセキュア ネットワークのリーダーであり、革新的なネットワーク セキュリティにおいて優れた実績を持っています。 Cisco SecureX
アーキテクチャは、コンテキスト情報を提供して常にセキュリティ ポリシーを適用するネットワーク、世界中の脅威を検知、利用するインテリ
ジェンス、業界屈指の幅広いセキュリティ ポートフォリオの独創的な 3 つの主要素を持っています。
関連情報
http://www.cisco.com/en/US/netsol/ns340/ns394/ns224/ns376/index.html [ 英語 ]
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco および Cisco のロゴは、米国およびその他の国における Cisco およびその関連会社の 商標または登録商標です。シスコの商標の一覧は、www.cisco.com/go/trademarks でご覧いただくことができます。
掲載されている第三者の商標はそれぞれの権利者の財産です。
「パートナー」
または
「partner」
という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(1110R)
C45-647419-02JA 12.10