コンテンツに移動
インフラ モダナイゼーション

Google Cloud VMware Engine により、Synack の信頼できるセキュリティ プラットフォームを実現

2022年2月4日
https://storage.googleapis.com/gweb-cloudblog-publish/images/18_-_Infrastructure_urFj7Af.max-2600x2600.jpg
Google Cloud Japan Team

※この投稿は米国時間 2022 年 1 月 27 日に、Google Cloud blog に投稿されたものの抄訳です。

仮想デスクトップ技術は、数十年前からさまざまな形式で提供されてきましたが、今日、企業は最新の仮想デスクトップ インフラストラクチャ(VDI)で新しい可能性を探っています。Google Cloud VMware Engine を活用することにより、興味深く時に困難な、さまざまなユースケースに対応しているのです。Google のネイティブ サービスである Google Cloud VMware Engine を使えば、組織はアプリケーション、ツール、プロセスを変更することなく、Google Cloud 内で VMware ベースのアプリケーションをシームレスに移行、実行して、オンデマンドのキャパシティ、アジリティ、コスト削減を活用できます。クラウドソースのセキュリティ テストを専門とするサイバーセキュリティ企業である Synack は、最新 VDI ソリューションと既存の Google Cloud のインフラストラクチャ、マネージドサービス、アプリケーション開発ソリューションを統合することで、どのような可能性がもたらされるかを証明しています。

Synack は、Google Cloud VMware Engine 上で VMware Horizon を使用して、ペネトレーション テスト プロジェクトとセキュリティ サービスのプラットフォームを実装しています。こうしたプロジェクトではしばしば、数百人、ときに数千人のホワイト ハッカーが、クライアント特有の厳しい基本ルールのもと、慎重に管理、モニタリングされた仮想ワークスペースで、個々の貢献者として働いています。Synack は、クラウドソーシングによるペネトレーション テスト サービスのプロバイダとしての役割を果たしています。これは、ハッカーが公開システムの脆弱性を発見し、報告することで企業から賞金を得る「バグ報奨金」コンテストを彷彿とさせます。Synack はこのバグ報奨金のさらに上を行き、精査されたホワイト ハッカー(Synack Red Team)のコミュニティへのオンデマンド アクセスを提供しています。主な違いは、セキュリティ サービスのオンデマンド性、規模、厳密に管理されたコミュニティやテスト環境などです。Synack の CTO である Mark Kuhr 氏によると、現在、コミュニティには 1,500 人以上の、企業や公共団体のクライアントと契約しているホワイト ハッカーがいるといいます。管理されたペネトレーション テスト、強力な SaaS プラットフォーム、そして Synack Red Team のもと、Synack は精査された熟練ハッカーを大量に投入し、ターゲット アセットを集積して脆弱性を迅速に発見し、問題の優先順位と修正すべき課題を包括的にクライアントに示します。

また、何百人ものハッカーがクライアントのシステムの脆弱性を徹底的に調査している中においても、絶対的なセキュリティ、可視性、管理能力を維持できるという Synack の機能も重要なポイントです。ここが、Synack が他のクラウドソース セキュリティ会社と一線を画す分野です。多くのクラウドソースの企業は、研究者に自身のプラットフォームで作業させており、通常はなんらかの VPN を利用しています。これはつまり、ペネトレーション テストを行う際に生成されるデータも、研究者の管理下に置かれることを意味します。

Synack のインフラストラクチャおよびセキュリティ オペレーション担当ディレクターである Todd Humes 氏は、VDI の活用により、研究者の管理と活動の可視化が可能になると述べています。これは、他の方法ではなかなか実現が難しいことです。「Synack 所有のリソースとして完全に信頼がおけるものだけを提供しています」と、Humes 氏は述べます。「研究者に VDI ワークスペースを提供することで、データ流出のリスクなどを最小限に抑えることができます。こうしたことにより、私たちがポリシーを定義し、一貫して実施しているという信頼をクライアントに与えられるのです。」

Horizon を使った VDI と Google Cloud で高速化、管理の簡易化、セキュリティ向上を実現

Synack のペネトレーション テスト プラットフォームである LaunchPoint は、VMware Horizon を利用して、ペネトレーション テストのエンゲージメント時に研究者が使用する仮想デスクトップ環境を管理、配信しています。Horizon により、一貫した低レイテンシのパフォーマンスの配信が確保され、研究者はより良いユーザー エクスペリエンスを得ることができます。これにより、ビジネス クリティカルな環境で VDI を使用する際の最も一般的な障害の一つを解消できます。さらに、Google Cloud VMware Engine 上で Horizon を使うことで、より大きなエンゲージメントにおいて VDI シートを迅速に追加プロビジョニングするための十分なスケーラビリティが得られます。

Humes 氏は、LaunchPoint プラットフォームのセキュリティと制御に関する要件を満たすため、Synack は、Horizon に依存するのと同程度、他の VMware アプリケーションにも依存していることを指摘しています。「Google Cloud VMware Engine の大きな利点は、VMware ESXi ハイパーバイザを利用できるだけでなく、VMware vCenter によるサーバーの一元管理も可能な点です。ハイパーコンバージド スタックに VMware vSAN の機能を搭載したことも、大きな特徴といえます。ソフトウェア定義だからといって、ストレージの心配をしなくてもいいのです。これはスタックの一部であり、非常に高速で、大きな復元性を持っています。」

また、Humes 氏は「VMware NSX のネットワーク セキュリティを活用できるようになったことも大きな収穫の一つです。私の知る限り、クラウド上で動作するソフトウェア定義ネットワーキング ソリューションのうち、ネイティブなレイヤ 2 機能を提供するのはこれだけです。」と述べています。クラウドでの運用に必要なレベルでのネットワーキングは、非常に困難だと Humes 氏は説明します。Synack のリサーチチームがペネトレーション テストの対象から別の対象へと転換する際に、多くの追加作業を発生させるからです。「移行には、多くのルーティング操作が必要でしたが、レイヤ 2 レベルで動作する複数のオーバーレイを定義できるため、こうした問題は解決しました。あるレイヤ 2 セグメントから別のレイヤ 2 セグメントへ、文字通りマシンを移動させることができ、その間のデータ集約を心配する必要もありません。」

また、クライアント環境を分離し、冗長性を確保することで、重要なセキュリティ上の利点をもたらします。Humes 氏は続けます。「あるエンゲージメントのために実施したペネトレーション テストが、他の業務に影響を与えるようなことがあってはなりません。NSX 内のマイクロセグメンテーションは、そうした事態を防ぐために重要な手段です。」

さらなる利点: セキュリティ、分析、ネットワーク管理

その他にも、Google Cloud VMware Engine は、Synack の LaunchPoint や自社のその他の研究、分析機能などにおいて、重要な機能を提供しています。

まず何より、Google Cloud VMware Engine を Synack の VDI 環境のプラットフォームとして利用することには大きな価値があります。「Google Cloud VMware Engine を使えば、ネットワークを論理的に分離することができます。これは、これまでクラウド プロバイダの VPC 環境ではできなかったことです」と Humes 氏は述べています。「そのため、従来よりも多くのネットワーク セグメンテーションを行えるというメリットがあります。」

Synack と Google Cloud を結び付けたもう一つの大きな要因は、セキュリティでした。Humes 氏によると、「私たちは、Google の高セキュリティ モデルとベスト プラクティスをさらに活用していきたいと考えています。たとえば、ホスティングに利用するコアサービスにおける VPC セグメンテーションなどです。実際、私たちは世界最高のペネトレーション テスターを自身のプラットフォームでホストしているのです。私たちには、お客様が、確立された境界の中でオペレーションを行えるようにする義務があります。」

イノベーションに向けたプラットフォームとしての VDI

Google Cloud VMware Engine 上での VMware の Horizon VDI と関連機能との連携をもとに、Synack は、最新のクラウドネイティブ アプリケーション環境で動作する VDI 技術を用いた企業のさらなる可能性を、革新的に提案しています。Google Cloud のセキュリティ、ネットワーク パフォーマンス、その他のサポート機能と組み合わせることで、Horizon といった最先端の VDI ツールは、性能、管理の容易さ、インテグレーション、セキュリティの観点で、前世代の VDI ツールとは一線を画しています。より多くの企業がこれらのツールの未知なる可能性に気付き始めています。VDI のユースケースが今後どのように新しく、興味深い進化を遂げるのかを楽しみにしています。


- プロダクト マーケティング担当、Ken Drachnik
投稿先