日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
ホームページ2023 年のネットワーク ゾーニング: AI と自動化がどのように変化するか
クラウス・ハラー | 2023 年 6 月 7 日
ネットワーク ゾーニングは、企業の攻撃対象領域を減らし、水平方向の動きを妨げる基本的な予防的セキュリティ制御です。 攻撃者はインターネットからすべての仮想マシン (VM) に直接アクセスできないため、攻撃者の生活はさらに困難になります。 また、企業ネットワークに侵入したとしても、ファイアウォールやゾーンによって内部ネットワークの接続とトラフィックが制限されている場合、ある VM から次の VM に素早く移動することはできません。 しかし、AI と IT 自動化の台頭により、基本的なゾーニング原則の 1 つである段階に課題が生じています。 実稼働ゾーン、実稼働前ゾーンと統合ゾーン、テストゾーン、開発ゾーンの区別はまだ適切ですか? 2020年代はどのような適応をもたらすでしょうか?
開発ゾーン、テスト ゾーン、実稼働前ゾーン、および実稼働ゾーン -- アジャイル エンジニアリング手法が古き良きウォーターフォール モデルに取って代わりましたが、各段階は生き残りました (図 1)。 一部の IT 部門には 3 つ (または 2 つだけ) のステージがあり、統合テストや単体テストのステージについて話しているところもあります。 目的は同じです:
関連: AI の最大の問題? 嘘つきチャットボット
ISO 27001 認証を取得した組織は、いずれにしても ISO 準拠のために開発、テスト、および運用システムを分離する必要があります (ISO 27001:2022 Annex A 8.31)。
図 1: 洗練された古典的なネットワーク ゾーニングの概念
関連記事:バイデンの元技術顧問、AIに関してワシントンに欠けているものについて語る
実際には、大規模なネットワーク設計では、内部ゾーンと外部 (つまり、インターネットに到達可能な) ゾーンを区別し、Web アプリケーション ファイアウォールとアプリケーション インターフェイス (API) 管理ソリューションをインターネットと外部ゾーンの間に配置します。 国または事業単位は、その他の広範なゾーニングの次元です。 同じまたはより単純なゾーニング概念が非実稼働段階でも導入される場合があります。
それが伝統的なセットアップでした。 ここ数年、AI と IT 自動化が注目を集め、変化をもたらしてきました。
高可用性と迅速なコーディングから導入までのサイクルの両方を実現するには、データセンターでの自動化が必要です。 さらに、自動化により管理者の効率が大幅に向上します。 ソフトウェアのインストールとセットアップは、管理者が 20 枚のフロッピー ディスクを操作していた数年前のフルタイムの仕事と比較して、現在ではワンクリックのタスクです。 現在の監視サーバーには自動アラーム機能が備わっています。 手動による介入が必要な場合は、管理者に積極的に通知します。 さらに、CI/CD パイプラインが標準です。 ただし、これらの効率を向上させるには、ネットワーク ゾーニングの概念を変更する必要があります (図 2)。
監視および展開コンポーネントと CI/CD パイプラインがネットワーク ゾーニングに及ぼす影響
監視ソリューションは、VM とネットワーク コンポーネントの可用性をチェックし、セキュリティ インシデントを示唆する可能性のあるイベントを探します。 英国には、データセンター全体に対する監視ソリューションが 1 つありますが、実稼働ゾーンに対する監視ソリューションはありません。 スペインには開発用が 1 つあり、インドにはテスト用が 1 つあります。 モニタリング アプリケーションには、クロスステージ アクセスの必要性が含まれます。 監視コンポーネントは、運用ゾーン内の専用ゾーンに配置することも、完全に個別に配置することもできます。 これらのアプリケーションがゾーニングごとに分離されていれば、操作ミスが発生する可能性は明らかに低くなります。 また、ファイアウォールはすべてのファイアウォールを開くのではなく、選択的に開く必要があります。
監視ソリューションは一例です。 他のソリューション (パッチ管理や脆弱性スキャンなど) も同じカテゴリに分類されます。 ただし、このようなソリューションのクロスステージ アクセスを回避することは可能かもしれません (ただし、常に賢明であるとは限りません) が、CI/CD パイプラインは定義上、クロスステージです。 まず、コードをローカルのラップトップにデプロイし、次にテスト サーバー、統合環境にデプロイし、最後に実稼働環境にデプロイします。 したがって、CI/CD パイプラインの純粋な性質には、クロスステージ アクセスが必要です。 繰り返しになりますが、1 つのツールがすべての段階で VM を展開して変更する必要がある場合は、ゾーン間のファイアウォールを完全に破壊するのではなく、このツールに対してのみ選択的に開く必要があります。
AI は、実稼働データを開発活動から分離するという考えを爆発させます。 AI モデルのトレーニングとは、手動で検出するのが不可能な、数千の変数と数百万のデータセットから依存関係を検出するアルゴリズムを実行することを意味します。 このトレーニングには実際のデータが必要です (ただし、顧客の名前、住所、社会保障番号などのすべての機密データが必要なわけではありません)。 モデル トレーニングの開発に似たタスクは、運用データ上で実行する必要があるため、運用ゾーンで実行する必要があります。 ただし、AI と分析の生産 (サブ) ゾーンを分離することは理にかなっています。 AI は通常、安全に保管し、通常のワークフローから分離したい大量のデータを意味します。 図 3 は、この新しい (サブ) ゾーンを示しています。
AI とデータ サイエンティストがネットワーク ゾーニングの適応をどのように必要とするか
IT 自動化コンポーネントと AI トレーニング環境は、「通常の」アプリケーションのワークロードとは異なります。 どちらも、従来のゾーニング概念をクロスステージ接続に適応させる必要があります。 ただし、本番インスタンスとそのエンジニアリングを区別することが重要です。
AI プラットフォームのエンジニアリングと自動化ツールの監視は、同社の通常のエンジニアリング手法に従います。 エンジニアは、テスト前実稼働環境および実稼働環境への変更を推進する前に、まず開発ゾーンで作業します。 特別な要件がなければ、エンジニアリングでは古典的なルールが適用されます。つまり、接続は現在の段階にのみ行われ、開発や初期のテストには実稼働データは適用されません。 図 3 は、実稼働環境で AI プラットフォームに追加のボックスを提供することでこれを示しています。 ここでは、データ サイエンティストが実験を行うことができます。 対照的に、AI プラットフォームは、標準的な開発、テスト、および試作ゾーンにあり、すべての一般的な制限があります。
結論として: 従来のゾーニングとステージングの概念は 2020 年代もそのまま残りますが、IT 自動化関連ツールと AI モデルのトレーニングについてはわずかな例外があります。 ゾーンとステージの世界はぼやけていません。 ますますカラフルで洗練されています。
テキスト形式の詳細