出版
Rick Vanover 氏は、重要なシステムを保護および分離し、最高のセキュリティを実現するためにジャンプ ボックスとファイアウォールを使用することの長所と短所について説明します。
重要なシステムを保護する場合、セキュリティゾーンを正しく機能させるために追加の設定が必要になることがあります。一般的に用いられる2つの方法は、内部ファイアウォールの構築とジャンプボックスの設置です。ジャンプボックスとは、2つのネットワークに接続されたシステム(通常は単一のオペレーティングシステム)のことです。1つ目のネットワークは共通ネットワーク、2つ目のネットワークは機密セキュリティゾーンです。
ジャンプボックスは通常、対象となるセキュリティゾーン内のデバイスに直接接続する必要があるシステムツールに使用されます。一般的な例としては、パブリックネットワークとストレージ管理ネットワークに接続されたWindowsシステムがあります。ストレージ管理ネットワークは、ストレージエリアネットワーク(SAN)管理インターフェースにアクセスできる唯一のネットワークです。ストレージシステムは、セキュリティ担当者を不安にさせるようなツールで管理されていることがよくあります。一方、デュアルホーミングシステムも推奨されません。
ジャンプボックスを使用すると、SANシステム用のツールがすべてそのシステム上で維持されるという隠れたメリットがあります。そのため、SAN管理ソフトウェアのアップデートが利用可能になった場合、アップデートが必要となるのは1つのシステムだけです。SAN管理システム以外にも、仮想化の分野ではジャンプボックス構成が時折採用されています。特にVMware vCenter Server Windowsシステムは、ジャンプボックス構成で使用されることがあります。
今日の世界では、ファイアウォールとジャンプボックスのどちらがより良い選択肢でしょうか?アプリケーション側から見ると、SAN管理ソフトウェア(またはvSphere Client)を単一のシステムで実行するという選択肢には、いくつかの理由があります。第一に、これらのツールや、おそらくセキュリティゾーンにアクセスできるシステム(おそらくラップトップ)が存在しないという点です。第二に、アップデートの負荷が小さいという点は、バージョンが重要なアプリケーションにとって魅力的です。
セキュリティ面から見ると、ジャンプボックスは標的となり、理論上は真のファイアウォールよりも侵入されやすくなります。たとえジャンプボックスシステム上でソフトウェアファイアウォールが動作していたとしても、そのアプローチを批判する人は必ずいるでしょう。
跳び箱についてどう思いますか?ぜひ下のコメント欄にご意見をお寄せください。
リック・ヴァノーバー
リック・ヴァノーバーは、オハイオ州コロンバスにあるAlliance Data社のITインフラストラクチャ・マネージャーです。VMware VCP、Microsoft Windows Server 2008 MCITP、Windows Server 2003 MCSAなどのIT認定資格を保有しています。以前は、ミシガン州グランドラピッズのDematic Corp(旧Siemens L&A、Siemens Dematic、Rapistan)で、最新のハードウェアとソフトウェア製品を組み合わせたカスタムソフトウェアソリューションをマテリアルハンドリング業界向けに展開するなど、様々な職務を経験しました。リックへの連絡先は[email protected]です。Twitterでは@RickVanoverをフォローしてください。
