2015年9月
株式会社富士通ソーシアルサイエンスラボラトリ
SaaS型IT運用基盤サービス
「Vistara」
クラウド時代のセキュリティ運用課題
A社 システム部門 運用代行業者 システム開発ベンダ 無断作業 作業立会いが できない アクセス可能 DBの情報に パブリッククラウド プライベートクラウド オンプレミスシステムへのリモートアクセスに対して、
システム管理者による
統制が効かない
従来、主流であったオンサイト作業は、少なくなり、
インターネット経由、VPN経由による
リモート運用が中心
となってきています
Vistaraによる課題解決
Copyright 2015 Fujitsu Social Science Laboratory Limited
A社 システム部門 運用代行業者 システム開発ベンダ パブリッククラウド プライベートクラウド オンプレミス 作業の証跡が取れるので、 作業内容を把握できる 画面操作のみ許可し、 データの持ち出しを禁止 作業申請で払い出される 貸出IDで作業 不正の抑止効果もある GW ゲートウェイリモート管理用の または エージェントを配置 GW A A A
Vistaraでハイブリッドクラウドのサーバを管理することにより、
セキュリティを担保
しながら、
リモート運用の利便性を確保
できます
※VistaraはVistaNet株式会社が運営するクラウドサービスです 監査証跡 アクセス制御 ID貸出 パッチ管理 2Vistaraの特長
ハイブリッドクラウドのサーバを一元管理できる
運用基盤をSaaSで提供
契約すればすぐにリモート運用開始
管理サーバ数に応じた月額課金
証跡や作業申請機能を標準装備
作業申請ベースによる
時間制限でのID貸し出し
セキュアリモートアクセス
(アクセス制御 – 画面録画)
OSパッチ管理
(Windows, Linux)
レポーティング
(随時、週次、月次等)
今後、システム運用全体をカバーできる基盤として、
モニタやジョブなどの機能を提供予定です。
内部セグメント
機能説明(リモート接続)
Copyright 2015 Fujitsu Social Science Laboratory Limited
AP SO AP SO AP SO
サービス
ポータル
HTTPS SSHゲートウェイとエージェントは
Vistaraサービスポータルへ
コネクションを接続(常時接続)
インターネットにアクセスできれば、
どこからでも接続可能
インターネット
システムにゲートウェイまたはエージェントを導入するだけで
ブラウザから
リモート接続可能(RDP/VNC/SSH/TELNET)
A
GW
A
A
HTTPS AP SOA
HTTPS 外部セグメント 内部セグメントのエージェントは ゲートウェイ経由で接続 (パッチ管理機能を使用しない場合は、 エージェントレスも可能)それぞれのクラウドや拠点にVPNなどの回線は不要
4After
Before
共用IDの利用者特定
Administrator Administrator Administrator Administrator サーバ yamada suzuki tanaka sasaki yamada suzuki tanaka sasaki サーバ特権IDを複数人で共用している
特権IDを共用しているサーバでも個人を特定
全員がAdministratorで
ログインするので、
区別がつかない
Vistaraに個人IDでログインするため、
特権IDの利用者を特定可能
Administrator Administrator Administrator Administrator 作業者 作業者
機能説明(操作画面記録)
すべてのセッション (RDP/VNC/SSH/TELNET)の録画が可能
オペレーションの適正さや、エラーメッセージの確認に利用可能
障害発生時の追跡用の情報として活用可能
担当変更による引き継ぎに活用可能
作業エビデンスの自動取得によりコスト削減可能
Copyright 2015 Fujitsu Social Science Laboratory Limited
誰が
何に
いつ
何をした
操作画面を再現
VPN
アプリケーション操作の記録
Before
従来、PCで動かしていたアプリケーションを ターミナルサーバ上で動かしてその操作画面を録画 運用者PC サーバ サーバ 運用者PC ターミナルサーバ Windows Vistara対応プロトコル (RDP/VNC/SSH/TELNET) 以外のアプリケーション通信ブラウザや各種アプリケーションクライアントの操作など、Vistaraで対応していない
プロトコルを使って操作する場合は、Windowsターミナルサーバのアプリケーション
操作を録画することで証跡を取得可能です。
RDP アプリケーション通信 ターミナルサーバの画面After
録画
アプリケーション クライアント アプリケーション クライアントクラウドでのログ保存
Copyright 2015 Fujitsu Social Science Laboratory Limited
A社ログ B社ログ C社ログ
各社のログは、 1年間分保存され、 それ以前のログは、 自動的に削除されます クラウド上でのログの保存期間を拡張する サービスの提供を予定しております クラウド上のログの暗号化して保存する 機能を実装する予定ですD社ログ
A社ユーザ
ログへのアクセスは 認証したユーザにより 制御されているため、 他社のログには アクセスできません 8機能説明(アクセス制御)
サーバへのリモート接続やログ参照、ユーザ管理、デバイス管理など、
各操作へ対して、参照のみ、編集可能など、きめ細かく設定が可能です。
各操作に対して 利用シーンに合わせた きめ細かい定義が可能です。定義したパーミッションセットを利用して、どのユーザが、どのデバイスに
アクセスできるのかという紐付けをロールによって管理できます。
管理者用パーミッション システムA管理者ロール 運用者用パーミッション システムA運用者ロール 管理者用パーミッション システムB管理者ロール 運用者用パーミッション システムB運用者ロール システムAサーバ システムA管理者 システムAサーバ システムA運用者 システムBサーバ システムB管理者 システムBサーバ システムB運用者機能説明(作業申請によるID貸出)
Copyright 2015 Fujitsu Social Science Laboratory Limited
運用代行業者 作業者 A社 システム管理者 申請内容に基づいて Vistaraへ期限付き 作業リクエストを作成 作業申請書 作業内容: … 作業時間:… 作業者: … 作業対象: …
2
作業はシステム管理者へ 作業申請を送付 作業リクエストを使用して 許可されたサーバへ接続3
作業対象サーバ1
システム部門の責任者などが承認するための ワークフローの実装は2015年10月以降の予定です 作業 リクエスト 申請した作業時間を過ぎると 作業リクエストは無効化され、 サーバへ接続できなくなる4
サーバへのリモート接続を作業申請をベースに管理することで、
リモートからの
サーバアクセスを統制
することが可能です。
ID PW 管理者が設定したサーバの IDとパスワードを使い 自動ログインが可能 (作業者へのPW通知は不要) 10機能説明(パッチ管理)
パッチ管理機能を利用するためには、
エージェントの導入が必須です
サーバ(Windows, Linux)へのOSパッチの適用をVistaraから
管理することが可能です。
システム管理者 外部公開システム 基幹システム外部公開システムは
パッチ公開後に
すぐに自動適用
基幹システムは
パッチの影響を検証後に
承認してから適用
システムのリスクに合わせた
パッチ管理ができる
パッチ適用ポリシーの設定 パッチ適用の承認機能説明(ハイブリッドクラウド管理)
Copyright 2015 Fujitsu Social Science Laboratory Limited
▼本社内設備 ├ 4階 │ ├ サーバルーム │ └ クライアントPC │ ├ 5階 └ 6階 ▼プライベートクラウド ├ Aシステム ├ Bシステム │ └ ESXi 01 │ ├ Win_VM01 │ └ Win_VM02 └ Cシステム ▼パブリッククラウド ├ キャンペーンWeb ├ BシステムWeb └ Cシステム開発環境 A社 システム部門 運用代行業者 システム開発ベンダ パブリッククラウド プライベートクラウド オンプレミス
ハイブリッドクラウド環境のシステムを
共通の画面で管理
し、
同じレベルのセキュリティ管理
を適用できます。
監査証跡
アクセス制御
作業申請
パッチ管理
12Vistara利用時のアクセス制御
ハイブリッドクラウド環境をVisataで管理して、セキュリティの
統制を取るためには、
Vistaraを利用しないサーバへのアクセス
を制限
する必要があります。
パブリッククラウド クラウドの 管理ポータル クラウドの管理ポータルから 仮想マシンの操作やコンソールへの アクセスを禁止するため、 管理ポータルへのログインを許可しない 同じ拠点のサーバへ直接アクセスできないように ネットワーク機器で通信を遮断する 必ずVistaraを経由するように制御システム要件
Copyright 2015 Fujitsu Social Science Laboratory Limited
リモートアクセス用ゲートウェイ システム要件
OSパッチ管理用エージェント システム要件
管理対象数 25台以下 100台以下 500台以下 CPU 2.3GHz×2コア 2.3GHz×4コア 2.3GHz×8コア メモリ 2GB 4GB 8GB HDD 40GB 40GB 100GBHyperVisor VMware ESXi, Citrix XenServer,
Microsoft Hyper-V and KVM
OS バージョン
Windows Windows Server 2003/2003 R2 Windows Server 2008/2008 R2 Windows Server 2012/2012 R2
Linux
Red Hat Enterprise Linux 5.x/6.x/7.x Oracle Enterprise Linux 5.x/6.x/7.x CentOS 5.x/6.x/7.x
Debian GNU/Linux Ubuntu 10.x以上 Fedora 17.x以上
SuSE Linux Enterprise Server 11.x Amazon Linux AMI 2012.03~2014.09
記載の内容は、2015年9月現在のものです。