データセンターを離れることのないトラフィックの暗号化はどの程度重要ですか?
私にとって、それは重要であり、(IPsecのおかげで)簡単に達成できるように思えます。ただし、ほとんど行われないようです。たとえば、Googleはそれを行いません。
データセンター内の暗号化トラフィックはどれほど重要ですか。必要なインフラストラクチャがすでに設置されている場合でも、暗号化トラフィックがめったに行われないのはなぜですか。
データセンターに複数の信頼ゾーンがある場合、内部データの暗号化は重要です。
最も一般的なトラストゾーンは、複数の企業がデータセンターを共有することから生じます。ネットワーク暗号化を使用すると、1つのマシンに送信されるパケットが最終的に間違ったマシンに到着した場合でも、異なる信頼ゾーンのテナントからは読み取れない形式になります。
ただし、単一の企業がデータセンター全体を所有している場合でも、通常、大企業は複数の部門で構成されており、セキュリティを重視する企業が内部境界を強制する必要があることがよくあります。たとえば、会計システムは、監視可能ないくつかの事前定義された交換ポイントを介する場合を除いて、HRシステムから分離できます。
内部暗号化が必要なもう1つの一般的な理由は、物理的な攻撃から、マシン間のケーブルの傍受から保護することです。大規模なデータセンターでは、さまざまな方向からケーブルが通っています。クリーニングサービススタッフがロックされたサーバーラックにアクセスできないようにしたい場合がありますが、ラックを横切る必要があるケーブルがある場合があります。データセンターが十分に複雑になると、どこにケーブルを移動する必要があるか、どれを暗号化する必要があるかを追跡することが困難になる可能性があるため、グローバルな必須暗号化ポリシーを使用すると、意思決定プロセスの負荷を実際に減らすことができます。別のシナリオでは、2人のルールを適用して、マシンだけに物理的にアクセスできないようにすることができます。ローカルトラフィックを暗号化すると、2人のゾーンと見なされるゾーンの数を減らすことができます。
それはあなたの会社のセキュリティ目標とリスク評価に依存すると思います。リスクを負ってよろしいですか?データが盗まれたり盗まれたりする最悪のシナリオでは、ビジネスにどのような影響がありますか?データはどのくらい重要ですか?
計画時には、これらの要因を考慮してください。
ネットワークを暗号化する理由(または暗号化で対処する脅威は何か)について考えてみてください。答えは、途中の誰かがデータをキャプチャ/変更することを避けることです。暗号化により、パケットがキャプチャされたとしても、攻撃者がそれらを使用することはできません。
データセンターネットワーク(信頼できるゾーン)を信頼していて、誰もデータセンターネットワーク内を盗聴しないことが保証されている場合は、トラフィックを暗号化する必要がない場合があります。
データセンターからのトラフィックは非信頼ゾーンに入るので、IPSECなどを使用して暗号化しています。