Embed Size (px)
DESCRIPTION
SafeNet様主催イベント「Data Security Forum 2013」におけるネットアップセッション資料
Citation preview
1NetApp Confidential - Internal Use Only
ネットアップ株式会社
パートナSE部
杉本 直之
クラウド時代のスト
レージ機能の利活用と
データセキュリティを
実現するアプローチ
トピックトピックトピックトピック
�ネットアップ社と製品のご紹介
�クラウドを支えるネットアップ製品
�ストレージにおけるセキュリティアプローチ
�まとめ
2NetApp Confidential - Internal Use Only
ネットアップ株式会社について� ネットアップ株式会社(日本法人)
1998年設⽴� 東京、大阪、名古屋、福岡の4拠点� 従業員数は、国内でも20%の新規雇用� 主要パートナー:
リセラー� 伊藤忠テクノソリューションズ株式会社,
兼松エレクトロニクス株式会社,株式会社⽇⽴製作所, 丸紅情報システムズ株式会社,他
ディストリビューター� ダイワボウ情報システム株式会社,
株式会社ネットワールドOEM� 日本アイ・ビーエム株式会社, 富士通株式
会社
3
ワールドワイドでのハイライト� 150の国と地域に製品を出荷� 約13,000名の従業員� 5年間の年平均成⻑率は20%� 世界中で180,000台以上のNetAppストレージが稼働中
ネットアップ の ストレージラインアップ
4
オール フラッシュアレイ
EF540 Flash Arrayユニファイドストレージ
FAS/VシリーズFAS/V6200FAS/V3200FAS/V2200
NetApp Confidential For Internal and NDA Partner Use Only
フラッシュの導入実績は35PB以上
Data ONTAPはData ONTAPはオープンネットワークストレージOSとして
インストール数、世界一
ブロックベースストレージブロックベースストレージ
EシリーズE2600E5400
企業向け汎用ストレージアレイ個別ソリューション向け
ストレージアレイ
5NetApp Confidential - Internal Use Only
NetApp FAS シリーズ
の特徴と機能
FAS アジャイル “データインフラ”を実現する⾼度な設計
�ユニバーサル プロトコル�統合管理�統合データ プロテクション�容量とパフォーマンスを同時に拡張�同⼀のツールとプロセス:⼀度操作⽅法を習得すれば、
あらゆる環境で運用可能
広範なシステム ポートフォリオプロトコル
Flash Cache™
Flash Pool™
Flash Accel™
FCFCoEiSCSI
NFS / pNFSCIFS / SMB
Data ONTAP®を搭載したNetApp® FAS/Vシリーズ システム
ストレージリソースのプール化・統合管理
パフォーマンス
FAS2240FAS2220
FAS/V3250FAS/V3220
FAS/V6290FAS/V6250FAS/V6220
5,760TB1,440ドライブ
16TB VSTフラッシュ180TB
60ドライブ400GB VSTフラッシュ
6
アジャイル データインフラの条件
統合データ プロテクション
システムの無停止運用
組み込みのデータ セキュリティ
バーチャル ストレージ ティア セキュア マルチテナンシー
ユニファイド アーキテクチャ
サービスの自動化と分析
Storage Efficiency
シームレスな拡張
7
8NetApp Confidential - Internal Use Only
クラウドを支える
NetApp製品
Cisco/NetApp アライアンスソリューションアライアンスソリューションアライアンスソリューションアライアンスソリューション
クラウド向けに柔軟な仮想統合基盤のアーキテクチャを提供クラウド向けに柔軟な仮想統合基盤のアーキテクチャを提供クラウド向けに柔軟な仮想統合基盤のアーキテクチャを提供クラウド向けに柔軟な仮想統合基盤のアーキテクチャを提供
9Cisco and NetApp Confidential. For Internal Use Only. Do Not Distribute.
Storage
Servers
Apps
アプリごとのサイロ
Network
パブリック・クラウドとの連携
サブシステムレベルの仮想化 リソース共有の進んだ
プライベート・クラウド
本ソリューションの適用範囲
仮想化統合化
標準化自動化
セルフサービス中央集中
クラウドインフラを段階導入する為にスモールスタートを可能とし、柔軟かつシンプルに拡張する事を可能とするシステムが必要
ハイブリッド
初期導入から拡張まで各フェーズに対応したアーキテクチャ
容易なスケールアップとスケールダウンが可能
⼀貫した運⽤管理体系による投資保護
FlexPod® ラインナップ拡充ラインナップ拡充ラインナップ拡充ラインナップ拡充
10Cisco and NetApp Confidential. For Internal Use Only. Do Not Distribute.
NetApp in Cloud :世界中でのプロジェクト実績:世界中でのプロジェクト実績:世界中でのプロジェクト実績:世界中でのプロジェクト実績
Desktopas a Service
Data Protectionas a Service
Infrastructureas a Service
Otheras a Service
Messaging &Collaborationas a Service
SAPas a Service
世界中世界中世界中世界中のクラウドサービスを支えるのクラウドサービスを支えるのクラウドサービスを支えるのクラウドサービスを支える NetAppストレージストレージストレージストレージ
250社以上のパートナーシップ / 500以上のサービス
11
NetApp in Cloud ::::SoftBank 様での事例様での事例様での事例様での事例
http://www.netapp.com/jp/campaigns/builton/#story3
12※各サービスの提供金額、提供条件、付帯するSIサービス等に関しては、各社様にお問い合わせ下さい。
� 国内最大シェアのパブリック・デスクトップ・サービス� 世界初のvCloud Data Centerサービスでのデータ保護サービスの実現
NetApp Private Storage for AWS
13
AmazonDirect
Connect
� 自社保有のネットアップ ストレージをコロケーション施設に設置。ネットアップのレプリケーション機能により、自社のデータセンターとコロケーション施設間の双方向でデータをシームレスに移動� ネットアップのストレージとAWS EC2 /
S3をDirect Connectで直接接続。高いセキュリティと優れたパフォーマンスを実現
NetApp FAS自社運用のデータセンター
NetApp FAS AWS Direct Connect
パートナーEquinix
NetApp Private Storage for AWS
AWS EC2
AWS S3
ネットアップSnapMirrorSnapVault
クラウドで実現する統合インフラ
仮想化オペレーティングシステムサーバ
ネットワーク
ネットアップFAS/Vシリーズ
1つのラック キャビネットに収まる完全なデータセンター
14
ネットアップFAS/Vシリーズ
オペレーティングシステムAmazon EC2Amazon Direct Connect
AWSでの仮想化
プライベートクラウド統合インフラ
パブリッククラウドサービスプラットフォーム
ネットアップのストレージとAWSを柔軟に連携
ハイブリッドクラウドの需要ハイブリッドクラウドの需要ハイブリッドクラウドの需要ハイブリッドクラウドの需要
�高パフォーマンス負荷処理
�ビッグデータ分析
�開発環境とテスト環境
�災害対策
�多層バックアップ
�法令順守を求められるデータ管理
�データセンター移転・統合
…
15NetApp Confidential - Internal Use Only
利用データの転送と管理・保護機能の整備がカギ
Data ONTAP D2D2Cの例
16NetApp Confidential – Internal Use Only
お客様の社内にあるお客様所有のFAS/Vシリーズ
お客様がNetApp製品(ハードウェアとソフトウェア)を購入
お客様がクラウドパートナーからサービスを購入
SnapProtectを使用したバックアップ
ソリューションの管理にはOnCommandなどの管理ツールを使用
暗号化技術の活用について考える
17NetApp Confidential - Internal Use Only
ストレージにおける
セキュリティ
アプローチ
ITのセキュリティ対策は縦深防御のセキュリティ対策は縦深防御のセキュリティ対策は縦深防御のセキュリティ対策は縦深防御
18NetApp Confidential - Internal Use Only
IPsec
顧客 / 企業A-本社
顧客 / 企業A-支社
SyncMirror
顧客 / 企業Aデータ
(FlexVol)
顧客 / 企業Bデータ)
(FlexVol)
DR複製複製複製複製
D2Dバックアップバックアップバックアップバックアップ
リモートサイトリモートサイトリモートサイトリモートサイト
• 認証• セキュリティパッチ
• ウィルススキャン
• フィルタリング• ファイル暗号化
• ユーザー認証• アクセス管理• 権限管理• バックアップ• ログ管理• セキュリティパッチ• 改竄防止• DOS/DDOS対策• 負荷分散
• Firewall• Filtering• IDS/IPS• ACL• VPN• 認証
• VLAN• ACL• ユーザ認証
• デバイス認証
• ユーザー認証• アクセス管理• デバイス認証• 権限管理• バックアップ• ログ管理• セキュリティパッチ• 改竄防止• メディアメディアメディアメディア/ファイルファイルファイルファイル
暗号化暗号化暗号化暗号化
• 暗号鍵管理暗号鍵管理暗号鍵管理暗号鍵管理
• ユーザー認証• アクセス管理• 権限管理• バックアップ• 遠隔地保管• ログ管理• 改竄防止• 暗号化
脅威からのダメージ・リスク軽減脅威からのダメージ・リスク軽減
ストアデータストアデータストアデータストアデータ
× ×
暗号化レイヤー暗号化レイヤー暗号化レイヤー暗号化レイヤー
19
通信経路
データベース/ アプリケーション
ホスト/サーバ
インライン
アプライアンス
ファブリック ストレージ
� 経路上の盗
聴対策の範
囲は適切で
すか?
� アクセスプロ
セスの強制
と連携できま
すか?
� パフォーマン
スは十分で
すか?
� 気密性の高いデータは1つもしくは2つのカラムに収まっ
ていますか?
� アプリケーションのパフォー
マンスインパ
クトは有りま
せんか?
� 全ての環境とOSを越えて使用でき
るものです
か?
� パフォーマンスインパク
トは無いも
のですか?
� データの増大とともにス
ケールする
ことが可能
ですか?
� ポートの接続性、冗長
性、ラックス
ペースなど
の問題は有
りませんか
?
� SANの接続性に問題は
ありません
か?
� 幾つのストレージとサ
ーバーを接
続する環境
ですか?
� 全てのストレージベン
ダーを通じ
て暗号化で
きる仕様で
すか?
� 鍵管理はどのように行
いますか?
どのレイヤーで暗号化ソリューションを実装しても
強固な鍵管理とアクセス権設定は全てにおいて必要です
ホストサーバー側の暗号化と位置付けホストサーバー側の暗号化と位置付けホストサーバー側の暗号化と位置付けホストサーバー側の暗号化と位置付け
20
Trend Micro SecureCloud™
SafeNet ProtectV
株式会社アイティフォー株式会社アイティフォー株式会社アイティフォー株式会社アイティフォー
沖電気工業株式会社
EXaaSプラットフォームサービス
ホストの要塞化実現
課題:
共有インフラ・
リソースプールの活用
ストアデータのセキュリティストアデータのセキュリティストアデータのセキュリティストアデータのセキュリティ要素要素要素要素
データ保護データ保護データ保護データ保護 データ保証データ保証データ保証データ保証 アクセス管理アクセス管理アクセス管理アクセス管理 秘匿性秘匿性秘匿性秘匿性 透過性透過性透過性透過性 管理管理管理管理の分離の分離の分離の分離
防御 抑止 抑止 予防 抑止 抑止・防御
• バックアップ • データ改竄検知 • デバイス認証 • 暗号化暗号化暗号化暗号化 • フィルタリング • 暗号鍵管理
• 災害対策 • データ改竄抑止 • ユーザ認証 • 復号保障復号保障復号保障復号保障 • デバイス認証 • ログ管理
• 遠隔地保管 • RBAC • 共有制限共有制限共有制限共有制限 • データ共有 • 構成管理
21NetApp Confidential - Internal Use Only
• 6つの要素を組み合わせセキュリティ脅威の軽減を図る• 個々の要素が阻害要因にならないようバランスを考慮する• 問題発生後の防御まで対策として考慮する• 暗号化技術を利用する際はアクセス管理、秘匿性、透過性、管理の分離を考慮する
NetAppストアデータストアデータストアデータストアデータのためのためのためのための暗号化実装イメージの暗号化実装イメージの暗号化実装イメージの暗号化実装イメージ
22
Safenet KeySecure暗号化鍵管理暗号化鍵管理暗号化鍵管理暗号化鍵管理
アプライアンスアプライアンスアプライアンスアプライアンス
Hosts
Virtual & Standalone
Servers
災害災害災害災害対策対策対策対策
サイトサイトサイトサイト
Branch
メインデータメインデータメインデータメインデータ
センタセンタセンタセンタ
テープテープテープテープ
バックアッバックアッバックアッバックアッ
ププププ
Safenet KeySecure暗号化鍵管理暗号化鍵管理暗号化鍵管理暗号化鍵管理
アプライアンスアプライアンスアプライアンスアプライアンス
FCスイッチスイッチスイッチスイッチ (Tape, Array) 暗号化暗号化暗号化暗号化
SafenetStorageSecure
NAS/iSCSI暗号化暗号化暗号化暗号化
リモートリモートリモートリモート
レプリケーショレプリケーショレプリケーショレプリケーショ
ンンンン
FCスイッチスイッチスイッチスイッチ (Tape, Array) 暗号化暗号化暗号化暗号化
NetApp StorageEncryption
リモートリモートリモートリモート
レプリケーションレプリケーションレプリケーションレプリケーション
Safenet KeySecure暗号化鍵管理暗号化鍵管理暗号化鍵管理暗号化鍵管理
アプライアンスアプライアンスアプライアンスアプライアンス
テープテープテープテープ疎開疎開疎開疎開
SafenetStorageSecure
NAS/iSCSI暗号化暗号化暗号化暗号化
NetApp StorageEncryption
ストアデータのための暗号化で実現するストアデータのための暗号化で実現するストアデータのための暗号化で実現するストアデータのための暗号化で実現する
セキュリティアプローチセキュリティアプローチセキュリティアプローチセキュリティアプローチ
23NetApp Confidential - Internal Use Only
NAS/IPNAS/IPNAS/IPNAS/IP SAN SAN SAN SAN 暗号化暗号化暗号化暗号化
アプライアンスベースアプライアンスベースアプライアンスベースアプライアンスベース
FCFCFCFC SANSANSANSAN 暗号化暗号化暗号化暗号化
アプライアンスベースアプライアンスベースアプライアンスベースアプライアンスベース
FullFullFullFull----Disk Disk Disk Disk EncryptionEncryptionEncryptionEncryption
コントローラベースコントローラベースコントローラベースコントローラベース
アクセスアクセスアクセスアクセス
プロトコルプロトコルプロトコルプロトコル
CIFS、NFS、iSCSI (Disk) FC (Disk, Tape)
CIFS, NFS, iSCSI, FC,
FCOE
データ保護データ保護データ保護データ保護
• レプリケーション(経路保護)
• スナップショット
• レプリケーション(経路保護)
• スナップショット
• レプリケーション(経路保護・リ
モート先保護なし)
• スナップショット
データ保証データ保証データ保証データ保証
• アクセスログ
• アンチウィルス
• オペレーションログ
• アクセスログ・監査ログ・アンチ
ウィルス
アクセス管理アクセス管理アクセス管理アクセス管理
• IPベースホストフィルタリング
• ユーザー認証(認証サーバ連
携)
• アクセスタイプ管理
• デバイスフィルター
• Zoning(アクセスパスコントロール)
• NAS/SANのストレージコント
ローラのアクセス管理機能全般
可(左記参照)
秘匿性秘匿性秘匿性秘匿性
• 暗号化・復号化(メディア・ファイ
ルシステム・コントローラ直接ア
クセス)
• 暗号化・復号化(メディア・コント
ローラ直接アクセス)
• 暗号化・復号化(メディア)
透過性透過性透過性透過性
• データ共有
• アクセスコントロールに基づき透
過的
• 暗号鍵共有
• データ共有
• アクセスコントロールに基づき透過
的
• 暗号鍵共有
• データ共有
• アクセスコントロールに基づき
透過的
管理の分離管理の分離管理の分離管理の分離
• 暗号鍵管理の外部化
• 暗号化エンジンとストレージの分
離
• セキュアマルチ手ナンシー
• ネットワーク分離
• 暗号鍵管理の外部化
• 暗号化エンジンとストレージの分離
• 暗号鍵管理の外部化
• 暗号化エンジンとストレージの
分離
その他その他その他その他 • Tapeのみテープ圧縮機能対応 • 重複排除・圧縮機能可
クラウド環境における暗号化の活用クラウド環境における暗号化の活用クラウド環境における暗号化の活用クラウド環境における暗号化の活用
�暗号化の活用例– ストレージ機器盗難・メディア不正コピー対策
– マルチテナント間でのデータ漏洩防止
– バックアップ・アーカイブデータのセキュリティ
向上
– リストア先の制限
– データ移送時の安全性向上
– データ廃棄の安全性向上
� クラウド環境の懸念点– 第三者と環境の共有
– 委任管理
– データ移送時の安全性
– データ廃棄/メディア管理/機器管理
24NetApp Confidential - Internal Use Only
データ疎開・災害対策データ疎開・災害対策データ疎開・災害対策データ疎開・災害対策
(安全な外部環境での対策の実現)(安全な外部環境での対策の実現)(安全な外部環境での対策の実現)(安全な外部環境での対策の実現)
25NetApp Confidential - Internal Use Only
IP Network
FCスイッチスイッチスイッチスイッチ (Tape, Array) 暗号化暗号化暗号化暗号化
Safenet KeySecure暗号化鍵管理暗号化鍵管理暗号化鍵管理暗号化鍵管理
アプライアンスアプライアンスアプライアンスアプライアンス
SafenetStorageSecure
NAS/iSCSI暗号化暗号化暗号化暗号化
FCスイッチスイッチスイッチスイッチ (Tape, Array) 暗号化暗号化暗号化暗号化
SafenetStorageSecure
NAS/iSCSI暗号化暗号化暗号化暗号化
データ
疎開
Safenet KeySecure暗号化鍵管理暗号化鍵管理暗号化鍵管理暗号化鍵管理
アプライアンスアプライアンスアプライアンスアプライアンス
暗号化鍵の暗号化鍵の暗号化鍵の暗号化鍵の
同期同期同期同期
パブリック
クラウド
SnapMirror
バックアップ
NAS SAN
暗号化データ
のミラー
プライベートクラウド
大規模データ解析大規模データ解析大規模データ解析大規模データ解析
(安全なメディア管理)(安全なメディア管理)(安全なメディア管理)(安全なメディア管理)
26NetApp Confidential - Internal Use Only
IP Network
FCスイッチスイッチスイッチスイッチ (Tape, Array) 暗号化暗号化暗号化暗号化
Safenet KeySecure暗号化鍵管理暗号化鍵管理暗号化鍵管理暗号化鍵管理
アプライアンスアプライアンスアプライアンスアプライアンス
FCスイッチスイッチスイッチスイッチ (Tape, Array) 暗号化暗号化暗号化暗号化
NetApp StorageEncryption
IP Networkマネージメント
SnapMirror
データ
外部保管
解析データ
のミラー
解析結果の利活用
重複排除
圧縮機能
パブリック
クラウド
プライベートクラウド
外部外部外部外部向け向け向け向けデータ共有データ共有データ共有データ共有
(データ共有と管理の分離)(データ共有と管理の分離)(データ共有と管理の分離)(データ共有と管理の分離)
27NetApp Confidential - Internal Use Only
IP Network
FCスイッチスイッチスイッチスイッチ (Tape, Array) 暗号化暗号化暗号化暗号化
Safenet KeySecure暗号化鍵管理暗号化鍵管理暗号化鍵管理暗号化鍵管理
アプライアンスアプライアンスアプライアンスアプライアンス
SafenetStorageSecure
NAS/iSCSI暗号化暗号化暗号化暗号化
FCスイッチスイッチスイッチスイッチ (Tape, Array) 暗号化暗号化暗号化暗号化
SafenetStorageSecure
NAS/iSCSI暗号化暗号化暗号化暗号化
Virus Scan
SnapMirror暗号化データ
のミラー
ウェブ、SNS、ビジネスアプリ
NAS SAN
IP Networkマネージメント
パブリック
クラウド
プライベートクラウド
データライフサイクルデータライフサイクルデータライフサイクルデータライフサイクル
28NetApp Confidential - Internal Use Only
�暗号化を活用することで安全・効率的な運用が実現(暗号鍵の廃棄で復号化不能にする)
データ
利用
レプリケーション
スナップショット
テスト
データ解析
バックアップ
アーカイブ
疎開
障害交換
廃棄
システム
更新
廃棄廃棄廃棄廃棄
29NetApp Confidential - Internal Use Only
まとめ
ハイブリッドクラウドの活用にあたってハイブリッドクラウドの活用にあたってハイブリッドクラウドの活用にあたってハイブリッドクラウドの活用にあたって
�企業向けデータセンターモデルとパブリッククラウドの組み合わせをシームレスに実現
�従来のセキュリティ対策に新たな技術要素の組み合わせが必要 -暗号化を組み合わせることは効果的
�暗号化の利用にあたって管理を分離することが重要
�データの共有、利活用とライフサイクルを設計することでセキュリティの強化ポイントを
明確にする
30NetApp Confidential - Internal Use Only
31NetApp Confidential - Internal Use Only
