クラウド VMware Cloud on AWS セキュリティ

VMware Cloud on AWS の責任共有モデル

VMware Cloud on AWS を使った場合、データやインフラに対するセキュリティ対策は、どこまで VMware が責任を追うのか?」こんな質問をお客様から受けます。今回はそのような質問にお答えすべく、VMware Cloud on AWS におけるクラウドサービスの基本概念でもある「責任共有モデル」について解説します。

 

責任共有モデルとは?

企業が自社所有のデータセンターの中で IT システムを構築・運用している環境において、堅牢なセキュリティを維持するには、その企業がすべて自身の責任で対策を講じます。では、もしクラウドサービスを使うことになった場合はどうなるのでしょう?

そこで重要になるのが責任の所在です。一般的な商習慣や企業間の契約において、サービス利用者と提供者の間で責任の所在を曖昧にせず、予め明確にしておくことは決して特別なことではありません。クラウドサービスの「責任共有モデル」とは、クラウドサービス事業者と利用者の間で責任の所在を明確にするものです。互いに協力関係者として責任を共有することで、堅牢かつ高度なセキュリティを維持できるようになります。

 

責任共有モデルの中身とは?

VMware Cloud on AWS は、独自の「責任共有モデル」を採用しています。VMware Cloud on AWS の場合、お客様とVMware、アマゾン ウェブ サービス (AWS) の間でそれぞれ協力関係者として責任を共有します。その概要を示したものが 図1です。

図1 VMware Cloud on AWS の責任共有モデル

 

VMware Cloud on AWS は、VMware が SDDC のリソースを含むサービスをお客様に提供し、セキュリティの責任を共有します。そのサービスを構成する物理インフラは AWS が提供し、セキュリティの責任を共有します。一方、サービスを利用するお客様は、利用者としての立場でセキュリティの責任を共有します。それぞれの責任についてもう少し分解してみましょう。

 

お客様の責任「クラウド内のセキュリティ」

お客様の責任には、お客様のデータやアプリケーション、アカウント管理、仮想マシン、ネットワーク保護、アクセス制御などが含まれます。アプリケーションや OS の脆弱性に対処するためのパッチ適用や、データの暗号化対策などはお客様の責任に含まれることに注意してください。

 

VMware の責任「クラウドのセキュリティ」

VMware は、サービスインフラ全体のセキュリティに責任を持ちます。SDDC を構成する管理系ソフトウエアコンポーネントのライフサイクル管理(アップグレードやパッチ適用)は、VMware がサービスの一貫で実施します。尚、サービスの一部として NSX の Firewall 機能なども提供していますが、それ自体が自動的にお客様のデータを保護するわけではありません。お客様側にそれらの機能を活用してアクセスを制御してデータを保護する責任がありますのでご注意ください。サービスインフラを構成するソフトウエアコンポーネントについては、ブログ「VMware Cloud on AWS のソフトウエア構成とリソース管理」でも紹介しています。

 

AWS の責任「インフラストラクチャのセキュリティ」

AWS は、Availability Zone や Edge Location などデータセンター設備、およびネットワークやホストを含める物理インフラに対してセキュリティの責任を持ちます。AWS と VMware は、互いに責任を共有すると共に、協力および連携することで安定したサービス提供に努めます。

     

尚、お客様と VMware の責任については「VMware Cloud on AWS のサービス約款」にも明記されています。また、ホワイトペーパー「Shared Responsibility Model Overview – VMware Cloud on AWS」には、これらの責任に伴う具体的な管理項目について列挙されていますので、そちらも併せてご確認ください。

 

お客様のメリットは?

お客様は、この責任共有モデルで大きなメリットが得られます。冒頭で触れたように、データセンター設備や物理インフラ層に対するセキュリティは、VMware  と AWS が責任を持つので、お客様はそれより上位層のセキュリティ対策に注力すれば良いことになります。

また、VMware はクラウドサービス事業者として業界標準の各種コンプライアンス認定を取得しています。もし、お客様が何らかのコンプライアンス認定を取得する場合、統制対象からデータセンターなどの物理的な設備やインフラを除外することができます。その結果、お客様は初期投資の削減だけではなく運用の負担を軽減にも役立ちます。

 

まとめ

クラウドサービスを利用する上でこの責任共有モデルを理解しておくことはとても重要です。VMware Cloud on AWS に関するその他のセキュリティおよびコンプライアンス対応ついては、下記リンクに示すホワイトペーパーや専用サイトでも紹介していますので、併せてご覧ください。

 

関連情報リンク