[HyTrust事例] McKessonに安全なプライベートクラウドを構築

投稿日: 2017年10月13日 作成者: climb
このエントリーをはてなブックマークに追加
LINEで送る

McKessonについて

McKessonは、世界最大の製薬企業の1つであり、2014年Fortune 500で14位にランクされています。1993年創立、売上高122憶ドルをサポートし、世界中で43,500人の従業員を抱えています。

McKessonは、企業の成長に伴い、変化するIT需要に対応する必要性を認識しました。顧客やビジネス部門は、これらに先駆けてサポートするために必要なサポートをするために必要な物理サーバの調達と構成によって遅延なく、迅速かつ新しいビジネスモデルに追及する必要がありました。

その結果、McKessonは革新的なプライベートクラウドであるOneCloudのビジョンを開発し、複数のデータセンターを安全に統合し、ビジネスに貴重な機敏性を付加しました。しかし、仮想化は新たなセキュリティ上の懸念を招き、強力なデータセキュリティを確保するとともに、HIPAA(Health Information Privacy and Portability Act)、PCI DSS、SOXなどの規制への準拠を維持することの重要性を認識しました。同社は、データ侵害が発生した場合の影響を十分に認識しており、適切な防衛策を講じたいと考えていました。

セキュリティドライバ

Troy Casey氏は、McKessonの情報セキュリティアーキテクトであり、セキュリティイニシアチブを推進し、仮想化とクラウドセキュリティを専門としています。Casey氏は、「数年前、私が最初に仮想化の広範な展開を見始めたときに、これらの集中環境のセキュリティに関する新たな考慮事項についてもっと考える必要があることがありらかになりました。」と述べました。

OneCloudインフラストラクチャを構築する準備が整ったので、McKessonはセキュリティ監査を実施し、3つの主なコンプライアンスとセキュリティ上の懸念事項を取り上げました。

  • 共有ローカル管理者アカウント:McKessonのVMwareベースの仮想インフラストラクチャは、HIPAAやPCI DSSへの準拠に不可欠な特定のアクションを実行したか、実行しようとした管理者を報告するための詳細を提供しませんでした。
  • 広範な管理者アクセス:McKessonは、ほとんどの組織と同様、仮想ディレクトリを必要としなくても、すべてのドメイン管理者が仮想インフラストラクチャにアクセスできる仮想管理者にActive Directory管理グループを適用していました。これにより、プライバシーやコンプライアンスに関する懸念や、偶発的な誤認設定の可能性に関する懸念が生じました。
  • ESXiのセキュリティ強化のコンプライアンス:VMwareのハイパーバイザ強化ガイドラインを活用して、McKessonは独自の強化ベストプラクティスを構築するために投資しましたが、相違と修正に必要な情報を追跡または、警告する方法がありませんでした。

Casey氏はHyTrustに精通していました。仮想化されたアプリケーションがHIPAA規制データを処理する特定のビジネスユニットのニーズに対応するためにソフトウェアがすでに導入されていたためです。

McKesson OneCloud:安全なプライベートクラウド

OneCloudはリソースをプロビジョニングするための真のセルフサービスポータルを提供し、敏捷性の恩恵を享受します。たとえばNSXやvCACのようなVMwareツールを活用するMcKessonは、数日か数週間ではなく、わずか1時間で完全なHadoopクラストをプロビジョニングできます。

また、Hy Trustを使用して区画化を確実にし、管理を保護し、コンプライアンスを有効にすることで、OneCloudでプロダクションと規制されたアプリケーションをプロビジョニングできます。

McKessonがHyTrust CloudControlを選んだ理由

Hytrust CloudControlは、透過的なプロキシとして機能する仮想アプライアンスであり、管理者とVMware vSphereの間で管理面に展開されます。CloudControlは、きめ細かな管理者認証を提供しますが、さらに重要なことに、プラットフォームの強化に加えて、ポリシーベースの許可と全ての管理要求の監視を提供します。

HyTrustのメリット

  • 可視性:McKessonは内部監査と外部監査の対象となり、HyTrustは以前は追跡不可能であった管理者アクションの可視性とログを提供します。
  • 職務の分離:この重要なベストプラクティスは、企業が仮想化すると失われることがよくあります。HyTrustは、ロールベースのアクセス制御トラベル付けをきめ細かくサポートしており、管理者の過度のアクセスを防げます。HyTrustの前に、McKessonは単にActive Directory Administrative Groupsを使ってアクセスを管理していました。つまり、すべてのドメイン管理者は必要以上にアクセスが広いため、セキュリティの懸念がありました。
  • 構成の強化:McKessonは、VMwareのベストプライスに基づいて強化ガイドを作成しましたが、コンプライアンスを監査する方法はありませんでした。Hytrust Hardening Templatesにより、McKessonはハイパーバイザの設定が準拠しているという証拠を提供することができ、逸脱した場合、管理者は事前に通知され、迅速に修復できます。
  • 2次承認:HyTrustは、McKessonはにポリシーとワークフローを定義されることで、気密性の高い操作に承認が必要とされる前にこれらのアクションを実行できるようにします。HyTrustは、第2の目を必要とすることにより、偶発的なアプリケーションやシステムダウンタイムを招くミスを防ぎ、セキュリティを強化し、悪意のある行為や盗難を防ぐことができます。
  • トラブルシューティング:HyTrustには、だれが作成した、または試みたのか、変更された属性など、vSphereでは提供されていない詳細なログ情報が提供されます。

Hytrustでは、McKessonにポリシーベースのコントロールが用意されており、OneCloudの成長に合わせてセキュリティを拡張することができます。

 

 

関連トピックス

コメントを残す

メールアドレスが公開されることはありません。

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください