仮想化されたセキュリティ機能をテストする:クラウドセキュリティを「見える化」する(最終回)(1/2 ページ)
仮想化はクラウドへの移行を後押しする大きな理由になりますが、それに伴って生じるセキュリティやパフォーマンスへの影響を、慎重に考慮しなければなりません。この記事では、そのリスクを可視化し、うまく制御していく方法を紹介していきます。(編集部)
テストプロセスに必要な機器
前回は、仮想データセンターを構成するセキュリティ要素について紹介するとともに、それらに対するテストの必要性について述べました。引き続き、データセンターのインフラを保護するセキュリティデバイスをテストするプロセスを説明していきましょう。
セキュリティテストには、特殊な試験装置やソフトウェアが必要です(イクシアも提供しています)。各セキュリティコンポーネントのテストは、図1のように行われます。
試験装置は、特殊なテストポートを多数備えています。図中の緑色のポートは、マルチプレイトラフィックに加えて、マルウェアやDDoS攻撃のトラフィック生成に当てられます。その他の青色のポートは、攻撃が成功したかどうかの検知や、マルチプレイサーバのシミュレートに使用します。追加のテストポートを加えれば、より大規模なサブシステムも同様の方法でテストできます。
仮想化されたセキュリティ機能に対するテスト
次に、仮想化セキュリティメカニズムに対するテストについて説明します。
過去の回で説明した通り、仮想化されたアプリケーションのコンポーネントやレイヤ間のインターフェイスを保護する手段としては、ファイアウォール、侵入防止システム(IPS)、および他のセキュリティメカニズムの仮想バージョンがあります。図2は、VM11で動作しているファイアウォールが、VM12で実行されているデータベースバックエンドを保護している様子を示したものです。
仮想ファイアウォールも、物理的なUTMアプライアンスとほとんど同じ方法でテストできます。つまり、VM上で動作する仮想ファイアウォールにネットワークを介して接続し、専用のテストポートからテストトラフィックを送り込むというものです。
しかしながら、これは仮想化されたインフラに新たなネットワークとコンピューティングコンポーネントを導入することになり、測定の妨げとなります。データセンタースイッチおよびルータ、ハイパーバイザ、およびVMリソースが競合する可能性があるからです。
この問題に対処するために生まれた技術が「仮想テストポート」です。仮想テストポートは、ハードウェアテストポートのソフトウェア版です。専用ハードウェアほど強力ではありませんが、仮想セキュリティアプライアンスに直接接続する形で配置できます。
図2では、仮想テストポートはVM10上で動作しており、他のネットワークコンポーネントに乱されることなくセキュリティテストを実行できます。
仮想セキュリティ機能に関しても、テストすべきタイミングは複数あります。
●仮想セキュリティソフトの選択時
インフラのセキュリティコンポーネントの場合と同様、仮想セキュリティコンポーネントも、選択時にそれぞれ単独でテストする必要があります。
●導入前のテスト
サービスの提供開始前に、アプリケーションまたはアプリケーションサブシステムのセキュリティをテストする必要があります。
●アップデート時のテスト
新しいソフトウェアやデータベースのアップデートなどがリリースされるたびに、セキュリティを再確認する必要があります。
仮想化を活用することで、更新/アップデート時のテストについては、事前検証ラボや稼働中のネットワークの一部でも実現できます。後者の場合は、小さなアプリケーションインスタンスを作成すれば、簡単にテストを実行できるでしょう。
パフォーマンスに関するテスト
クラウド事業者は、そのインフラを構成するコンポーネントの理論能力値に基づいて最適なパフォーマンス数値を提供することはできます。しかし現実には、仮想ホスト内やクラウドデータセンターを横断してさまざまなアプリケーションが混在し、実行されているので、その数値は一定とはいきません。
そこで、実稼働に入る前に、仮想化されたアプリケーションのパフォーマンスと品質を測定することが重要です。表1に示すように、KPIはアプリケーションによって異なります。
| トラフィックタイプ | アプリケーション | KPI |
|---|---|---|
| データサービス | ・HTTP ・FTP ・電子メール ・ストリーミング・ビデオ、VoIP |
・ユーザー数、CPS、TPS、CC ・スループット ・エンドユーザーQoE ・サーバ使用率 |
| データベースサービス | ・Oracle ・SQL ・MAPI |
・QPS、TPS ・トランザクション遅延 ・スループット ・サーバ使用率 |
| ストレージサービス | ・CIFS、NFS ・iSCSI ・SCSI、FCoE |
・読み取り/書き込みレート、I/Oレート ・トランザクション遅延 ・スループット ・サーバ使用率 |
中でも、以下のKPIは、高いパフォーマンスと品質を確保するために最も重要な数値となります。
●エンドユーザーの体感品質
体感品質(Quality of Experience:QoE)を確保するためのKPIには、遅延(レイテンシ)および遅延変動(ジッター)があります。表1で説明したように、許容可能なレベルはアプリケーションによって異なります。
●キャパシティ
この測定では、以下の5つのKPIについて計測し、各サービスが何人のユーザーまで許容できるかを決定します。
- 1秒当たりの接続数(CPS)
- 1秒当たりのトランザクション数(TPS)
- 最大同時接続数(CC)
- データスループット
- サーバ使用率
こうしたパフォーマンステストは、ユーザーをエミュレーションすることによって実現できます。テストハードウェア上で複数のユーザーの集合がエミュレートされ、または仮想テストポートを介して仮想化されたアプリケーションに適用され、性能が測定されます(図2参照)。
例えば、Webサーバのパフォーマンス測定ならば、サーバにアクセスする複数のWebユーザーの集合がエミュレートされるでしょう。このトランザクション数を増加させることで、サーバのパフォーマンスと品質を測定できます。
これは、同一の仮想ホスト上で実行されている他のアプリケーションの影響をシミュレートする際にも有用です。1つの仮想ホスト上にWeb、電子メール、FTP、その他複数のサーバを動作させ、測定することができます。このテストには、これら複数のアプリケーションのユーザーサイドのエミュレーションも含まれます。
Copyright © ITmedia, Inc. All Rights Reserved.