kimimasaの日記

2011-11-16 LDAPサーバもろもろ

■ LDAP サーバっておもろいね

相当個人的なので、こっちに書こう。

日本広しといえど、LDAP サーバベンダ（３つしかないと思っている。）の2社に所属してかつLDAP サーバ製品担当

をやっているのは、私ぐらいなので、このエントリはきっと価値が有るはず。

結論。

　eDirectoryは割りといい。（でもベンダのエンジニアとか技術的に濃ゆい人はNoっていうとおもうけどね。）

なぜか。

　LDAP サーバっていうけど、企業で運用していくためには、アクセス制御の設定とか、スキーマの定義とか、レプリケーションの設定とかが必要なんです。

　つまり、製品・ソフトウェアとしてのLDAP サーバを選択する際には、「LDAP サーバそのもの」と「管理ツールとか」をまとめて考えなくてはいけないわけです。

　Sun Java Directoryは、LDAP サーバとしては20数年くらいの歴史があるので、LDAP サーバ単体という意味では一番いいと思うね。ただ管理とか運用とかという意味では、結構たいへん。（スキルが必要なんですね。）

　eDirectory は、LDAP サーバとしては10数年の歴史なので十分枯れている。で特筆すべきなのは管理機能。これはNetwareというネットワーク OSを持っていた会社ならではだと思うんだけど、この管理ツールが結構使いやすい。（いい意味でブラックボックスなところもあってあんまり細かいこと意識しなくても設定とかできちゃうってのがすごい）

　Active Directory は、私自身はあまりつかったことないので、わからないけど、Windows クライアントの認証として使うことが重視（当たり前だけど）されているので、LDAP サーバというよりは、LDAPでも問い合わせできるよね。という感じだとおもう。Windows クライアントの認証として使うことが重視するあまり、LDAP サーバとしての柔軟性にかけちゃっているイメージ。

でこれからが一番大事なんだけど。

　今後、「LDAP サーバそのもの」ってことと「管理ツールとか」のどちらの要素が重要になっていくかっていうと、後者の「管理ツールとか」のほうなんだよね。

　特に、アクセス制御の設定とか、セキュリテイ系の設定とかが大事になってくる。残念ながら、オープンソース系とか、Sun Java Directoryとかは、デフォルトのセキュリティ設定が甘いので、使うまでに行わなくちゃいけない設定多すぎだし。アクセス制御の設定は、難しい。（その点、eDirectory は初期設定はいけているし、アクセス制御の設定も簡単。Active Directoryは簡単だろうが、制限多いかな？多分。）

　あと、情報システムの人たちは、どんどん忙しくなってくるので、「管理ツールとか」の使いやすさってホント大事になってくる。

　で、相対的に、「LDAP サーバそのもの」としての機能の重要性が下がってくる。HWのコストがさがってるので、パフォーマンスとかは、速いCPUとたくさんのメモリと速いDISKでかいけつしちゃうんでね。

おまけ：LDAP サーバ毎に機能って結構ちがっていて面白いですわー。あれこんなこともできないの？とかへーこんなことできちゃうんだとか。

おしまい。

Permalink | コメント(0) | トラックバック(0) | 15:05

2011-07-05

■ クラウドでセキュリティ向上

クラウドへの移行こそがセキュリティ確保の近道（中編） - クラウド・コンピューティング - TECHNOLOGY - CIO Online

から、

このことから、セキュリティ面で予想外のメリットが生まれているという。一般的にサーバについては、あらゆる使い方とアクセスする必要があるあらゆる人を考慮しなければならない。しかし、このセットアップでは、サーバはそれぞれ単機能であり、アクセス・プロファイルも1つしかない。

　「各サーバは1つのアプリケーションのようなものだ。このため、操作しなければならない担当者には、必ず管理者レベルのアクセス権限が与えられている。原則として、別のセキュリティ・プロファイルは用意しない」（エミソン氏）
クラウドへの移行こそがセキュリティ確保の近道（中編） - クラウド・コンピューティング - TECHNOLOGY - CIO Online

前にもどっかで読んだ気がするけど、アプリケーション（機能）＝1OSって考え方が新鮮。ソフトウェアベンダとしては、アプリケーション（機能）＝1OS　ってなるように、単機能のアプライアンスとかを提供していくことになるだろうなー。

クラウド・コンピューティングの導入を検討している企業にとって、多くの場合、導入の最大のネックとなっているのはセキュリティだ。IT幹部もビジネス幹部も、機密データの保護や、アクセス制御、アイデンティティ管理、規制対応、マルチテナント方式の複雑さのほか、成熟した業界標準がないなかでベスト・プラクティスをどう見極めるかといったセキュリティ課題に頭を悩ませている。

　しかし、クラウド・プロバイダーは早晩クラウド・サービスにセキュリティ機能を統合し始めるだろうと、米国のリサーチ会社フォレスター・リサーチのアナリスト、ジョナサン・ペン氏は見ている。そうなれば、こうしたセキュリティ課題のとらえ方も変わりそうだ。セキュリティ・ベンダーは、クラウド・プロバイダーがシステムやアプリケーション、データのセキュリティ確保に利用できる製品の開発を進めており、ペン氏は、クラウド・セキュリティ市場が拡大を続けて2015年には15億ドル規模に達すると予想している。同氏は、自身のブログにこう記している。
クラウドへの移行こそがセキュリティ確保の近道（前編） - 海外事例 - CASE FILE - CIO Online

こっちもそうだよね。ただそれぞれのクラウドにセキュリティ機能が付加されるだけではだめで、それを束ねる（統合）するソリューションが必要になる、ID 管理、アクセス管理、ログ管理（モニタリング）の頭に「統合」がついたやつ。もちろん統合の対象になるのは、オンプレミスもクラウドも、仮想化環境も全部ね。うーん。この市場は面白い。

Permalink | コメント(1) | トラックバック(0) | 12:31

2011-07-04

■ 仮想化 セキュリティを考える上で考慮しなきゃいけないこと。

仮想化セキュリティについて押さえておくべき4つの基本ポイント - 仮想化 - TECHNOLOGY - CIO Online

から、

「仮想マシンはロケーションやIPアドレス、MACアドレスで定義するのが難しいうえ、外部のソフトウェアが1台の物理サーバ上にある仮想マシン間の通信を検出／フィルタリングするのも困難なことから、侵入保護などの基本的なセキュリティ・ツールは仮想マシンではうまく機能しない」と、同リポートを共同執筆したガートナーのバイスプレジデント兼フェロー、ニール・マクドナルド氏は指摘する。
仮想化セキュリティについて押さえておくべき4つの基本ポイント - 仮想化 - TECHNOLOGY - CIO Online