インターネット分離では、SBC(RDSH)環境にNSXは必要か否か

vforum-21

久しぶりの投稿になります。vForumのセッション資料を元に説明した内容の反応を様々なところから頂くようになり、大変ありがたいことです。

反応をいただいた中で、今回のタイトルの件についてはブログで記録しておこうと思います。「インターネット分離では、SBC(RDSH)環境にNSXは必要か否か」についてです。

私は『「マルウェア・標的型攻撃への対策に、本当に必要なインターネット分離」最終回』で、以下のスライドを利用して、セキュリティ粒度の細かさとリフレッシュ頻度の2点において、SBC(RDSH)よりもVDIのほうが優れていると申し上げました。

vforum-21

そこで、様々な理由でVDIではなく、SBC(RDSH)方式を採用した場合に、NSXが必要ないと思われることがあるようで、それについてコメントしたいと思います。

SBC(RDSH)方式でもNSXは必要

結論から言うと、SBC(RDSH)方式でもNSXは必要です。セキュリティ粒度の細かさとリフレッシュ頻度のそれぞれで理由をお話します。

セキュティ粒度の細かさ

確かにVDIのほうが、1ユーザー1VDIのため、マルウェアを発見したときの紐付きを理解するのが容易です。SBC(RDSH)方式ですと、他のソリューションと合わせて、ユーザーを特定しなければなりません。だからといって、NSXが必要ないでしょうか?

そもそも、NSXの価値とは、100%防げないマルウェアを見つけるために、1つ1つの仮想マシンに対してファイアウォールを掛け、不審な通信をファイアウォールでドロップさせ、それによりマルウェアを検知するというものだったはずです。これはセキュリティ粒度の細かさに全く関係なく必要になるものです。

リフレッシュ頻度

こちらも、VDIのほうがリフレッシュ頻度が高いという内容を書いていました。つまり、SBC(RDSH)のほうが長くマルウェアが滞在してしまう可能性があるということです。しかしながら、長く滞在してしまうということは、もしマルウェアが見つけられなかった場合に、大きな問題となります。もうおわかりと思いますが、NSXがないほうが、逆にSBC(RDSH)方式のリスクが高まるということになります。

 

やはり、NSXが必要という結論に。

以上、簡単ではありますが、どの方式を選ぼうとも、NSXがなければ結局マルウェアに気づけないということになり、さらにSBC(RDSH)の場合、リフレッシュ頻度が低くなってしまうせいで、よりリスクが高まってしまうことになります。

実際の導入検討時にも、この話は何度となく議論された点になりますが、実際にSBC(RDSH)環境でもNSXを導入しているお客様は多いです。

ABOUTこの記事をかいた人

Junnosuke Nakajima

2010年にVMwareに入社し、お客様担当エンジニアとして活動中。肩書はLead Systems Engineer。「VMwareの基本」「改訂新版VMwareの基本」という2冊の著書がある。2016年からは、CTO Ambassadorとして、現場と開発のギャップを埋める役割も担っている。