Novell Home

SUSE Linux Enterprise Server 11

優れたアプリケーションセキュリティ

攻撃者は、インターネット経由で露呈されるアプリケーションのソフトウェア不具合を悪用して、重要データが存在するシステムを脆弱化させることができます。境界セキュリティは、この問題の一部を解決するに過ぎません。また、ファイアウォールは、増加を続ける企業のファイアウォール内から発生する脅威については無力です。

結果として、IT組織は、サーバに定期的にパッチを適用し、最新の脅威から企業を保護しています。しかし、こうした対処的なセキュリティ戦略では、依然としてビジネスが危険な脅威にさらされ続けることになります。これまでも数々のハッキングを行ってきたハッカーたちがより迅速にセキュリティの脆弱性を悪用するようになりつつある中で、IT組織はセキュリティパッチをダウンロードし、テストし、システムに適用する時間がほとんど取れない状況にあります。

AppArmorによるアプリケーションセキュリティ

内外両方の脅威から保護する最も効果的なソリューションは、セキュリティ面の他のベストプラクティスに加えて、アプリケーションセキュリティを使用することです。システム管理者は、SUSE Linux Enterprise 11と統合されたAppArmor®テクノロジが提供するようなアプリケーションセキュリティを使用すると、プログラムがアクセス可能なファイルや、プログラムがファイルで実行できる作業を指定できます。指定されていない動作は拒否され、ログに記録されます。

AppArmorは、現在入手可能な中で最も効果的で使いやすいLinuxアプリケーション用のアプリケーションセキュリティフレームワークです。正常なプログラム動作を強制し、不明なソフトウェア不具合の悪用も防ぐことで、OSやアプリケーションをゼロデイアタックなどの内外の脅威から積極的に保護します。セキュリティプロファイルでは、個々のプログラムがアクセスできるシステムリソースとその権限を完全に定義します。多数のデフォルトのポリシーが用意されており、また学習ベースのツールと高度な統計分析機能も備わっているため、非常に複雑なアプリケーションでも、カスタマイズされたポリシーを簡単に開発できます。

真のファイアウォール

SUSE Linux Enterpriseでは、いわゆる「ステートフル」ファイアウォールによって、外部の攻撃からネットワークを保護します。「ファイアウォール」はおそらく、ネットワーク間のリンクを確立し管理しながら、そこでのデータフローも制御するメカニズムを指す、最も一般的な用語です。

ネットワーク環境でLinuxを使用している場合はいつでも、ネットワークパケットの操作を許可するカーネル関数を使用して、内部と外部のネットワーク領域の分離を維持することができます。厳密に言えば、ファイアウォールインフラストラクチャの作成に関与するメカニズムは、パケットフィルタと呼ばれます。パケットフィルタは、プロトコル、ポート、IPアドレスなどの基準に従ってデータフローを規制します。これにより、ネットワークへのアクセスが想定されていないパケットを、アドレスから判断してブロックできます。Webブラウザへのパブリックアクセスを許可するには、たとえば、対応のポートを明示的に開きます。Linux Netfilterフレームワークでは、ネットワークを個々に分離しておく効果的なファイアウォールを確立できます。iptable(ルールセットの定義用の汎用テーブル構造)の機能により、ネットワークインタフェースの通過を許可されたパケットを正確に制御できます。このようなパケットフィルタは、SuSEfirewall2と、対応するYaST管理モジュールを使用して簡単にセットアップできます。

社内外のどこから攻撃を受けても、SUSE Linux Enterprise Server 11を使用すれば、企業は確実にデータの整合性を維持し、システム管理コストを削減し、ダウンタイムを防ぐことができます。

クラス最高のソリューション

SUSE Linux Enterprise Server 11は、次のような特長を備えています。

  • 追加コストなしで、導入と同時にアプリケーションセキュリティを確保できます。
  • 自動化されたアプリケーションプロファイルツールとポリシー作成ツールを備えているため、アプリケーションのセキュリティを簡単に管理および設定できます。セキュリティポリシーはわずか数分で作成および導入できます。
  • 最高のパフォーマンスを備えたアプリケーションセキュリティソリューションを提供できます (AppArmorのパフォーマンスオーバーヘッドは、SELinuxよりも大幅に低く、7~16%の範囲となっています)。
  • サービスを中断せずに、ポリシーを動的にアップデートできます。SELinuxセキュリティポリシーの変更では、システムのシャットダウンと再起動が必要です。AppArmorの場合、ポリシーを変更しても再起動は不要です。
  • 全社的なポリシー導入を支援する補完的なソリューションを使用できます。Novell ZENworks® Linux Management(ZLM)を使用してAppArmorセキュリティポリシーを管理する方法の詳細についてご確認ください。

Novell® Making IT Work As One

© 2009 Novell, Inc. All Rights Reserved.