SaaS 型 IT 運用基盤サービス Vistara 2015 年 9 月株式会社富士通ソーシアルサイエンスラボラトリ
クラウド時代のセキュリティ運用課題 従来 主流であったオンサイト作業は 少なくなり インターネット経由 VPN 経由によるリモート運用が中心となってきています オンプレミス プライベートクラウド パブリッククラウド A 社システム部門運用代行業者システム開発ベンダ 作業立会いができない 無断作業 DB の情報にアクセス可能 システムへのリモートアクセスに対して システム管理者による統制が効かない 1
Vistara による課題解決 Vistara でハイブリッドクラウドのサーバを管理することにより セキュリティを担保しながら リモート運用の利便性を確保できます オンプレミス プライベートクラウド パブリッククラウド GW GW A A A リモート管理用のゲートウェイまたはエージェントを配置 監査証跡 ID 貸出 アクセス制御 パッチ管理 A 社システム部門運用代行業者システム開発ベンダ 作業の証跡が取れるので 作業内容を把握できる 不正の抑止効果もある 作業申請で払い出される貸出 ID で作業 画面操作のみ許可し データの持ち出しを禁止 Vistara は VistaNet 株式会社が運営するクラウドサービスです 2
Vistara の特長 ハイブリッドクラウドのサーバを一元管理できる運用基盤を SaaS で提供 契約すればすぐにリモート運用開始 管理サーバ数に応じた月額課金 証跡や作業申請機能を標準装備 セキュアリモートアクセス ( アクセス制御 画面録画 ) OS パッチ管理 (Windows, Linux) 作業申請ベースによる時間制限での ID 貸し出し レポーティング ( 随時 週次 月次等 ) 今後 システム運用全体をカバーできる基盤として モニタやジョブなどの機能を提供予定です 3
機能説明 ( リモート接続 ) システムにゲートウェイまたはエージェントを導入するだけでブラウザからリモート接続可能 (RDP/VNC/SSH/TELNET) HTTPS サービスポータル HTTPS SSH 内部セグメントのエージェントはゲートウェイ経由で接続 ( パッチ管理機能を使用しない場合は エージェントレスも可能 ) AP SO GW A HTTPS AP AP A SO AP A SO A インターネット 外部セグメント SO 内部セグメント インターネットにアクセスできれば どこからでも接続可能 ゲートウェイとエージェントは Vistara サービスポータルへコネクションを接続 ( 常時接続 ) それぞれのクラウドや拠点に VPN などの回線は不要 4
共用 ID の利用者特定 Before 特権 ID を複数人で共用している After 特権 ID を共用しているサーバでも個人を特定 作業者 Administrator 作業者 yamada yamada Administrator Administrator suzuki suzuki Administrator Administrator サーバ tanaka tanaka Administrator サーバ Administrator sasaki sasaki Administrator 全員が Administrator でログインするので 区別がつかない Vistara に個人 ID でログインするため 特権 ID の利用者を特定可能 5
機能説明 ( 操作画面記録 ) すべてのセッション (RDP/VNC/SSH/TELNET) の録画が可能 オペレーションの適正さや エラーメッセージの確認に利用可能 障害発生時の追跡用の情報として活用可能 担当変更による引き継ぎに活用可能 作業エビデンスの自動取得によりコスト削減可能 操作画面を再現 何にいつ誰が何をした 6
アプリケーション操作の記録 ブラウザや各種アプリケーションクライアントの操作など Vistara で対応していないプロトコルを使って操作する場合は Windows ターミナルサーバのアプリケーション操作を録画することで証跡を取得可能です Before アプリケーションクライアント Vistara 対応プロトコル (RDP/VNC/SSH/TELNET) 以外のアプリケーション通信 VPN 運用者 PC サーバ After ターミナルサーバの画面 RDP アプリケーションクライアント アプリケーション通信 録画 運用者 PC Windows ターミナルサーバ 従来 PC で動かしていたアプリケーションをターミナルサーバ上で動かしてその操作画面を録画 サーバ 7
クラウドでのログ保存 A 社ログ B 社ログ C 社ログ D 社ログ各社のログは 1 年間分保存され それ以前のログは 自動的に削除されます ログへのアクセスは認証したユーザにより制御されているため 他社のログにはアクセスできません クラウド上でのログの保存期間を拡張するサービスの提供を予定しております A 社ユーザ クラウド上のログの暗号化して保存する機能を実装する予定です 8
機能説明 ( アクセス制御 ) サーバへのリモート接続やログ参照 ユーザ管理 デバイス管理など 各操作へ対して 参照のみ 編集可能など きめ細かく設定が可能です 各操作に対して利用シーンに合わせたきめ細かい定義が可能です 定義したパーミッションセットを利用して どのユーザが どのデバイスにアクセスできるのかという紐付けをロールによって管理できます システム A 管理者ロール システム A 運用者ロール システム B 管理者ロール システム B 運用者ロール システム A 管理者 システム A 運用者 システム B 管理者 システム B 運用者 管理者用パーミッション 運用者用パーミッション 管理者用パーミッション 運用者用パーミッション システム A サーバ システム A サーバ システム B サーバ システム B サーバ 9
機能説明 ( 作業申請による ID 貸出 ) サーバへのリモート接続を作業申請をベースに管理することで リモートからのサーバアクセスを統制することが可能です 作業リクエスト 4 申請した作業時間を過ぎると作業リクエストは無効化され サーバへ接続できなくなる 3 作業リクエストを使用して許可されたサーバへ接続 作業申請書 作業内容 : 作業時間 : 作業者 : 作業対象 : 2 ID PW 申請内容に基づいて Vistara へ期限付き作業リクエストを作成 管理者が設定したサーバの ID とパスワードを使い自動ログインが可能 ( 作業者への PW 通知は不要 ) 運用代行業者作業者 A 社システム管理者 作業対象サーバ 1 作業はシステム管理者へシステム部門の責任者などが承認するための作業申請を送付ワークフローの実装は2015 年 10 月以降の予定です 10
機能説明 ( パッチ管理 ) サーバ (Windows, Linux) への OS パッチの適用を Vistara から管理することが可能です 外部公開システムはパッチ公開後にすぐに自動適用 パッチ適用ポリシーの設定パッチ適用の承認 外部公開システム システム管理者 基幹システムはパッチの影響を検証後に承認してから適用 システムのリスクに合わせたパッチ管理ができる 基幹システム パッチ管理機能を利用するためには エージェントの導入が必須です 11
機能説明 ( ハイブリッドクラウド管理 ) ハイブリッドクラウド環境のシステムを共通の画面で管理し 同じレベルのセキュリティ管理を適用できます 本社内設備 4 階 サーバルーム クライアントPC 5 階 6 階 オンプレミス プライベートクラウド パブリッククラウド プライベートクラウド Aシステム Bシステム ESXi 01 Win_VM01 Win_VM02 Cシステム パブリッククラウド キャンペーン Web B システム Web C システム開発環境 監査証跡 アクセス制御 作業申請 パッチ管理 A 社システム部門運用代行業者システム開発ベンダ 12
Vistara 利用時のアクセス制御 ハイブリッドクラウド環境を Visata で管理して セキュリティの統制を取るためには Vistara を利用しないサーバへのアクセスを制限する必要があります パブリッククラウド 必ず Vistara を経由するように制御 クラウドの管理ポータル クラウドの管理ポータルから仮想マシンの操作やコンソールへのアクセスを禁止するため 管理ポータルへのログインを許可しない 同じ拠点のサーバへ直接アクセスできないようにネットワーク機器で通信を遮断する 13
システム要件 リモートアクセス用ゲートウェイシステム要件 管理対象数 25 台以下 100 台以下 500 台以下 CPU 2.3GHz 2 コア 2.3GHz 4 コア 2.3GHz 8 コア メモリ 2GB 4GB 8GB HDD 40GB 40GB 100GB HyperVisor VMware ESXi, Citrix XenServer, Microsoft Hyper-V and KVM OS パッチ管理用エージェントシステム要件 OS Windows Linux バージョン Windows Server 2003/2003 R2 Windows Server 2008/2008 R2 Windows Server 2012/2012 R2 Red Hat Enterprise Linux 5.x/6.x/7.x Oracle Enterprise Linux 5.x/6.x/7.x CentOS 5.x/6.x/7.x Debian GNU/Linux Ubuntu 10.x 以上 Fedora 17.x 以上 SuSE Linux Enterprise Server 11.x Amazon Linux AMI 2012.03~2014.09 14
お問い合わせ 株式会社富士通ソーシアルサイエンスラボラトリ ( 富士通 SSL) http://www.ssl.fujitsu.com E-mail:ssl-info@cs.jp.fujitsu.com 記載の内容は 2015 年 9 月現在のものです 15 Copyright 2015 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
Copyright 2010 FUJITSU LIMITED