Splunk Cloud Platformへの移行には、柔軟性、俊敏性、拡張性の向上など、数多くのメリットがあります。とはいえ、クラウドへの移行は簡単な作業ではなく、特にデータがインターネット経由でやり取りされるためセキュリティに対する不安もあるでしょう。
その不安を解消するため、Splunk Cloud Platformではデフォルトで、データの取り込み時にはTLS 1.2+を、検索時にはHTTPSを使用して転送中のデータが暗号化されます。業界でも屈指の高さを誇るSplunkのセキュリティ基準は大半のお客様の要件に適合しますが、規制の厳しい環境下にある組織では、コンプライアンスとセキュリティ要件を確実に満たすためにさらなるセキュリティコントロールが求められます。金融業界、ヘルスケア業界、行政・公共機関のお客様の中には、ミッションクリティカルなデータを公共のインターネット(公開IPアドレス)経由でやり取りする点が課題となってクラウド移行に踏み切れない組織もあります。
しかし、その課題がついに取り除かれるときがきました!
Splunkは、Splunk Cloud PlatformでのAWS PrivateLinkを介したプライベート接続のサポートを発表しました。アマゾン ウェブ サービス(AWS)環境でプライベート接続を使えば、規制の厳しい業界のお客様でも、公共のインターネット接続を一切使わずに、プライベートエンドポイントを介してデータ(フォワーダーまたはHECトラフィック)をSplunk Cloudスタックに送信できます。PCI/HIPAA/IRAP/FedRAMP Moderateサブスクリプションでは、追加料金なしで*、プライベート接続オプションを今日からでも利用できます。
Splunkは真のSaaSプロバイダーとして、拡張性が高く、幅広くアクセス可能で、オンボーディングが容易であることはもちろん、お客様のニーズを確実に満たすソリューションを提供したいと考えています。AWS PrivateLinkサポートとSplunk Cloudのセルフサービス機能(Admin Config Service API)を通じて、プライベート接続を必要とするお客様にもオンボーディングをシームレスに行っていただけるようになりました。
プライベート接続経由でのデータ送信にはさまざまなメリットがあります。
セキュリティ
- 単方向のネットワーク通信:接続は常にAWS VPC (サービス利用側)から開始され、Splunk Cloudスタック専用に設定されたサービスエンドポイントを介してSplunk Cloud Platformにつながります。Splunk側のVPCエンドポイントサービスは、指定したAWSアカウントIDからの接続のみを許可するように設定されます。
- セキュリティ境界の明確な定義:1つ以上のセキュリティグループを設定し、サービスエンドポイントとSplunkのコントロールに適用するエンドポイントポリシーを作成できます。セキュリティグループを設定することで、サービスエンドポイントのネットワーク接続をプライベート接続のみに制限できます。
運用の簡素化
- 重複するCIDRブロックに対応する設計:AWS PrivateLinkを使えばIPアドレス空間の調整やネゴシエーションが不要であるため、ニーズが拡大しても管理性を維持できます。
- プライベートIPアドレスのDNS登録の負荷軽減:IPアドレス空間やルーティングの調整が不要なため、Splunk側のエンドポイントサービスのアドレス解決に必要なDNSレコードのプロビジョニングと管理を完全にコントロールできます。
コンプライアンス体制の強化
- プライベート接続では、データのやり取りが常にセキュリティの境界とコンプライアンスの範囲内で行われます。ミッションクリティカルなデータがインターネットを流れないようにすることで、脅威にさらされるリスクを減らしながらSplunk Cloud Platformを拡張できます。
プレビュープログラムに参加したお客様はすでにプライベート接続のメリットを実感しています。皆様もぜひご検討ください。機能の詳細と組織のニーズへの適合性を確認するには、プライベート接続の概要と導入ガイドをご覧ください。
このブログはこちらの英語ブログの翻訳、甲斐 逸郎によるレビューです。
*AWS側のVPCによるデータ通信費はお客様のご負担になります。詳しくは、AWS PrivateLinkの料金ページをご覧ください。
AWSは、Amazon.com, Inc.またはその関連会社の商標です。
