この記事は、Cisco副社長であり、コラボレーションとセキュリティ事業統括である Jeetu Patel
によるブログ「 Cisco Hypershield: Security reimagined — hyper-distributed security for the AI-scale data center
本日発表したのは、シスコの歴史上最も重要なセキュリティ製品である Cisco Hypershield です。AI スケールのデータセンター向け高分散型セキュリティに対する AI を活用したクラウドネイティブのアプローチであり、ネットワークのファブリックにセキュリティが組み込まれています。
私のキャリアで関わった中で、これまでとは根本的に異なるセキュリティイノベーションと言える Cisco Hypershield は、Cisco Security Cloud の一部です。ネットワーク セキュリティ モデルの概念を文字通り根底から覆すものであり、ハイパースケーラーの強力なセキュリティと接続性を企業にもたらします。
AI 時代のセキュリティ
AI は本格的なデジタル時代の到来を告げています。すべての人があらゆる仕事で AI アシスタントを利用し、マシンのような規模で組織が機能していれば、80 億人の人類が、まるで 800 億人の能力を持っているように感じることでしょう。
必要とされるデジタル能力の向上に対応するために、パブリックおよびプライベートのデータセンターの再定義が進められています。シスコは、データセンターを再定義する方法について主導的な役割を担っています。再定義するのは、データセンターを接続、保護、運用、拡張する方法です。
データセンターは主に 2 つの点で変化しています。まず、インフラストラクチャが変化しています。AI のワークロード処理や I/O 操作などの機能に特化した GPU と DPU で CPU が補完されており、AI スケールの最新のデータセンターが必要とするスループットレベルを達成しています。そして、アプリケーションも変化しており、非常に多くのマイクロサービスに分割されています。マイクロサービスは、異なるコンテナやクラウドに高度に分散されて実行され、すべてのサービスが相互に通信します。
この新しい世界では、AI スケールでセキュリティを再定義する必要があります。しかも、この再定義をすぐに行う必要があります。というのは、データセンターやアプリケーションの進化は私たちを待ってはくれないからです。
どうすればセキュリティを再定義できるのか
これまで、サイバーセキュリティに莫大な投資を行ってきましたが、多くの面でいまだに後れを取っています。
現実的には、すべてを保護することは困難です。かつてない規模の最新アプリケーション、AI ワークロード、デバイスが、とにかくあらゆることを困難にしています。最近訪れたインドを例に挙げると、2 億 5,000 万個のスマートメーターの導入が進められており、どれもが悪用される可能性があります。これは、規模が大きくなると、すべてを保護することが戦術的に困難になるというほんの一例にすぎません。次の課題を考えてみてください。
- セグメンテーションが困難。アプリケーションが超分散型になり、絶えず変化し続けている場合、セグメンテーションは困難になります。
- パッチ適用が困難。脆弱性を取り除くためにパッチのテストを行い、スケジュールを組んで展開するには長い時間がかかります。また、攻撃者が脆弱性の存在を知ると、これまで以上の速さで悪用を始めるようになっているので、対応が遅れないようにすることがますます困難になっています。悪用されるまでの日数は、わずか数日、あるいはそれより短い場合もあります。
- アップグレードが困難。パッチと同じように手動のテストや展開が必要です。アップグレードが特に困難なのは、石油掘削装置や医療用ロボットなど、中断が許されない重要インフラが関係している場合です。中にはアップグレードできないものさえあります。
ではここで、アプリケーションが実行していることをすべて理解できるソリューションがあると想像してみてください。AI を活用してきめ細かいセグメンテーションルールを定義し、状況の変化に合わせてルールを更新し続けることができます。
また、脆弱性を発見し、悪用されないようにその脆弱性を自動的に保護する手段があると想像してみてください。パッチの適用前であっても保護されます。
さらに、セキュリティ インフラストラクチャが自動的にアップグレードされる状況を想像してみてください。膨大な時間を節約でき、アップグレードのテストや展開のために発生していた調整業務やダウンタイムがなくなります。
シスコは、このすべてと、さらなる機能を実現できるように Cisco Hypershield を設計しました。AI 時代とクラウド向けに、ソフトウェアを用いて分散アーキテクチャで構築されています。つまり、クラウド、データセンター、工場フロア、病院の画像処理室など、必要なあらゆる場所でセキュリティを適用できるということです。
Cisco Hypershield は、eBPF、ハードウェア アクセラレーション、AI など、最新の構成要素で構築されています。
- 完全な可視性。新たにシスコの一員となった Isovalent チーム、そして Meta 社と共同で開発した eBPF は、軽量なエージェント機能を実現し、オペレーティングシステムの中心を監視します。ただし、このエージェントは実はそこには存在しません。エージェントが存在するのはユーザー領域ですが、カーネルレベルの効果があります。これにより、Cisco Hypershield は、分散アプリケーションがどの Kubernetes コンテナや仮想マシンで実行されたとしても、あらゆるソフトウェアプロセスとあらゆる I/O 操作への完全な可視性を実現します。eBPF は、ハイパースケーラーがクラウドネイティブ ワークロードを接続し保護するために使用するデフォルトのメカニズムです。
- ハードウェア アクセラレーション。Cisco Hypershield は、サーバーなどのネットワーク インフラストラクチャに搭載されたハードウェアアクセラレータ(DPU など)を活用します。つまり、高性能なセキュリティ管理ポイントを、分散されたコンテナや仮想マシンだけでなく、保護対象のワークロードの近くにあるハードウェアにも配置できます。
- AI 向けに最適化。Cisco Hypershield は AI の力を徹底活用できるように設計されており、他のセキュリティソリューションよりもはるかに自律的です。このような AI 重視が念頭にあるので、NVIDIA 社とのパートナーシップに期待を寄せています。セキュリティに特化した AI モデルの共同開発に取り組んでおり、NVIDIA 社のテクノロジーを対象に Cisco Security 製品の最適化を進めています。
ワークロードに適用するセキュリティ
パブリッククラウドとプライベートクラウドの環境では、数千ものセキュリティ適用ポイントがあらゆるところに分散しています。Cisco Hypershield アーキテクチャは、それらがすべて調整されたファブリックを実現します。ワークロードにセキュリティがもたらされるのであって、セキュリティを適用することでワークロードが増えることはありません。
このアーキテクチャによって、これまでは不可能であった、以下のような本当に素晴らしいユースケースを実現できるようになります。
- Autonomous segmentation(自律型セグメンテーション)。これは、ネットワークフロー、プロセスの動作、アプリケーションの変更を継続的に可視化してきめ細かいセグメンテーションルールを定義し、ラテラルムーブメントを防止できるようにするものです。また、状況は時間の経過とともに変化するので、定義したルールを動的に改善し更新します。
- Distributed exploit protection(分散型脆弱性対策)。これは、環境に高リスクの脆弱性があるかどうかを判断し、存在する場合は、攻撃者による脆弱性の悪用を阻止できる補完コントロールを展開するものです。パッチを適用する前、場合によっては脆弱性の存在に気づかないうちに対策が講じられていることもあります。
- Self-qualifying upgrades(自己検証型アップグレード)。これは、シャドウデータパスを使用し、ミラーリングしたライブトラフィックに対してアップグレードとポリシー変更をテストし、AI を利用して結果を比較、確認してから、すべてのフローを最新バージョンに移行するものです。すべて、ダウンタイムを発生させずに実施できます。
Cisco Hypershield を発表できてとてもうれしく思います。この世界をより安全な場所にすることに役立つ、この信じられないほどのイノベーションを実現したチームをたいへん誇りに思います。
テクノロジーの詳細については Tom Gillis のブログをご覧ください。シスコが解決しようとしているお客様の主なユースケースを紹介しています。皆様のフィードバックをぜひお寄せください。
関連情報
- Tom Gillis のブログ:Cisco Hypershield:AI ネイティブの分散型セキュリティの新時代
- Craig Connors のブログ:Cisco Hypershield:セキュリティの再定義
- プレスリリース:シスコ、AI 時代におけるデータセンターとクラウドのセキュリティを再定義
- Cisco Security 製品のページ:AI ネイティブの Cisco Hypershield。あらゆる場所を常に認識
Authors
