技術・機能解説、ノウハウ|仮想化基盤クラウド
クラウドとオンプレミスのNetwork&Securityソリューション | VMware NSX Datacenter
令和元年発行の情報通信白書によると、日本の企業ではクラウドサービスを一部でも利用している割合は58.7%に至り、今後も伸びる傾向にあります。
また、グローバル企業においては、「1,000人以上の大企業では81%がすでにマルチクラウドを採用している」という結果が出ています。
(出典:「RightScale State of the Cloud Report 2019 from Flexera」)
日本もこの流れにのってマルチクラウドが進んでいくことは容易に想像できます。
企業は今まで構築してきたオンプレミスを維持しつつ、あるいは新規に構築・運用しながら、ビジネスモデルやビジネストレンドに適したプライベートクラウドやパブリッククラウドも含めて、これらを柔軟に使い分けながら、ビジネスの成長を実現していかなければなりません。
マルチクラウドとは、今まで以上にネットワークへの配慮が求められる環境であり、ネットワークの最適化がビジネスの優位性にインパクトを与えるものになってきます。
また、日本では、クラウド黎明期から普及期に入った今でも、セキュリティに対する懸念は非常に高く、マルチクラウド化が本格化する前に、丁寧に対策を打っていく必要があります。
オンプレミスとクラウドのそれぞれにネットワーク最適化とセキュリティ強化の手当てをしていくことは、リソースの観点からも非常に非効率なことであり、横断的な解決策が望まれます。
今回は、適切な解決策の1つとして「VMware NSX® Data Center」を取り上げるとともに、まずはオンプレミスからのアプローチに焦点をあてて解説していきます。
▼ 目次
1. 深刻さが増す「ネットワーク」と「セキュリティ」に関する課題
2. 主要課題すべてを解決する「VMware NSX Data Center」
3. VMware NSX Data Centerとは
4. 最新の脅威もブロックできるセキュリティプラットフォーム「VMware NSX Data Center」
5. VMware NSX Data Centerのユースケース
1. 深刻さを増す「ネットワーク」と「セキュリティ」に関する課題
現在のみならず近い未来においても企業のIT環境というのは、ネットワークやセキュリティに関していくつもの課題に直面しています。
その課題とはどのようなものなのでしょうか。
1-1. ネットワーク
企業ネットワークやデータセンターネットワークなどの従来型ネットワークを運用する上で生じる代表的な課題としては、下記が挙げられます。
- 配線の複雑化
- サーバ間接続の通信遅延
- ネットワークアーキテクチャが古いため、柔軟性に乏しく非効率な構成となってしまう
この他にも、まだまだ課題は存在しますが、いずれにせよ、ほとんどのネットワークに関連する課題は下記に大別できるといえます。
- 非効率なネットワークアーキテクチャ、トラフィック
- 非効率な設定作業による管理性の低下
図 1. 非効率なネットワークアーキテクチャ、トラフィック
図 2. 非効率な設定作業による管理性の低下
そして、サーバ仮想化が進んでいるにも関わらず、多くの場合では、物理サーバを想定した、従来のネットワークアーキテクチャが稼働しているのが現実といえます。
サーバは仮想化により柔軟性が増したものの、柔軟性が乏しいネットワークによって仮想化のメリットが最大限に生かし切れていないのが現状です。さらに、多くのネットワーク機器が存在するなかで、バラバラのインターフェースが使われていることから、全体での整合性のとれた設定が必要となってきます。これらによって管理性の低下を招いているといえます。
1-2. セキュリティ
セキュリティ市場は拡大しており対策も進んでいるものの、インシデント件数は減る傾向にはなく、むしろ増えているのが現実です。情報セキュリティにおける脅威は増大し続けていることから、企業は常にセキュリティに関する懸念を抱えているといえます。
図 3. 企業における情報通信ネットワーク利用の際のセキュリティ被害(複数回答)
(出典)総務省「通信利用動向調査」
http://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html
そうしたなか、従来より行われているセキュリティ対策では、もはや企業を取り巻く様々な脅威から100%守り切ることは不可能となっています。とりわけ、ウイルス対策をはじめとする従来型のセキュリティをすり抜けた脅威による内部拡散は、深刻な事態を招くことになります。
そこで重要となってくるのが、一般的なセキュリティ製品では対策が困難であるネットワーク内部の対応になります。
図 4. セキュリティを取り巻く現状
2. 主要課題すべてを解決する「VMware NSX Data Center」
ネットワークやセキュリティに関する主要な課題は、下記の3つに大別できます。
- 非効率なネットワークアーキテクチャ/トラフィック
- 管理性低下
- (脅威の)内部拡散の懸念
これらの課題を解決する上で、有効なアプローチを次に示します。
- 非効率なネットワークアーキテクチャ/トラフィック
- サーバ仮想化によるネットワーク最適化
- 管理性低下
- ネットワーク管理の一元化による運用効率化
- (脅威の)内部拡散の懸念
- 仮想マシン単位で分散ファイアウォールを適用することで、同じネットワークであってもセキュリティ対象を論理的に分割
図 5. ネットワークやセキュリティ関する主要な課題
では、これら3つの課題を同時に解決できるソリューションは何でしょうか?
それは、「VMware NSX Data Center」で提供されるネットワーク仮想化ソリューションになります。
3. VMware NSX Data Centerとは
VMware NSX Data Centerは下記のネットワークコンポーネントを、ソフトウェアで提供するネットワーク仮想化のプラットフォームとなっています。
- 分散 Layer 2 スイッチ
- 分散ルータ
- 分散ファイアウォール
- ロードバランサ
- NAT
- VPN (IPsecVPN、L2VPN)
ネットワークリソースは物理ハードウェアから分離されるため、柔軟かつ迅速にネットワークを構成することが可能になります。
このため、これまでネットワーク管理者を悩ませていた物理機器による様々な制限や設定の煩雑さから解放されることになり、運用工数を劇的に削減することもできるようになります。
図 6. VMware NSX Data Centerによる仮想ネットワーク
下記に VMware NSX Data Center の主な用途を挙げます。
- サーバ仮想化環境内におけるセキュリティ強化
- VM用ネットワークの作成を迅速化
- 物理ネットワーク機器の削減(ロードバランサ、ファイアウォール...etc)
- L2延伸(DR切替の迅速化、DR用リソースの活用)
4. 最新の脅威もブロックできるセキュリティプラットフォーム「VMware NSX Data Center」
VMware NSX Data Centerは、高度化する標的型攻撃に対し仮想環境のセキュリティを強化できます。
具体的には、業務やアプリケーションにあわせてセキュリティグループを定義し、アクセス制御を実施するといったマイクロセグメンテーションが行えることです。
仮想デスクトップ用のセキュリティグループを作成することで、強固なセキュリティを容易に提供することが可能になります。
セキュリティグループを利用すれば、全ての経路でセキュリティ機能を有効にできることから、組織内部関係者の不正行為に対しても有効といえるでしょう。
図 7. マイクロセグメンテーション
その他にも VMware NSX Data Centerはセキュリティプラットフォームとしての導入効果も期待できます。
- セキュリティグループの自動化
- セキュリティグループに基づいてVMware NSX Data Centerが、トラフィックを分析し、ワークロードが実際に使用している通信ポートを自動で分析して、必要な通信だけを自動的に許可できる
図 8. セキュリティグループの自動化により、通信するべきサーバ、ポートを自動判別
- DMZを仮想化基盤上で構成
- VMware NSX Data Centerはハイパーバイザレベルのファイアウォール機能と仮想マシンのグルーピングによって、DMZ (非武装地帯 : DeMilitarized Zone) を仮想化基盤上で構成できる
図 9. DMZ 仮想化
このためDMZ、内部の非公開のサーバを混在させた構成が実現可能です。ネットワークの構成をシンプルにすることによって運用が柔軟となり、サービス展開の時間を短縮できるようになります。
5. VMware NSX Data Centerのユースケース
VMware NSX Data Centerのユースケースから、ネットワークとセキュリティについての課題解決例を解説してみます。
5-1. ネットワークの最適化と管理の一元化
VMware NSX Data Centerはネットワークの最適化と管理を一元化できます。
VMware NSX Data Centerは、物理機器に依存せず仮想ネットワークを構築することから、トラフィックの平準化が容易になり、同時にネットワーク管理も一元的に行えるようになります。
図 10. ネットワークの最適化 (ヘアピントラフィックの最適化)
サーバ上のネットワークサービスを利用することで最短経路で通信を行うことが可能となり、必要な時に必要なネットワーク機能が利用可能となります。
図 11. ネットワークの最適化 (ネットワーク機能のオフロード)
また、これまで専用のネットワーク機器で実現していたネットワーク機能をサーバ上のネットワークサービスを利用することで、コスト最適化の実現につながります。
さらに、マルチサイトデータセンターやパブリッククラウド連携といったロケーションに依存しないネットワークを展開することで、アプリケーション、仮想マシンの継続稼動・障害からの迅速な復旧を支援する環境を整えることができるようになります。
図 12. ネットワーク最適化 (マルチデータセンター / DR サイト①)
VMware NSX Data Centerのユーザー事例を紹介します。
国内2か所にデータセンターを構えるこのユーザーは、VMware NSX Data Centerによってネットワークを最適化しました。
図 13. 【ユーザー事例】ネットワーク最適化 (マルチデータセンター / DR サイト②)
5-2. 既存システムでは実現困難なウイルス・不正プログラム対策の自動化
既存システムでは実現困難な、ウイルス・不正プログラム対策の自動化を実現したある企業の取り組みを紹介します。
この企業では、ウイルス・不正プログラムに感染した際の対応が、利用者のスキルによってバラバラのため対応を終えるまでに時間がかかってしまう、という課題を抱えていました。そして、システム利用者に対するセキュリティ対策の教育・育成が行き届きづらかった結果、ウイルス・不正プログラム感染拡大の恐れもありました。
そこで同企業ではVMware NSX Data Centerを導入し、ウイルス・不正プログラム検知のタイミングで自動的にネットワークから遮断することで、ウイルス・不正プログラム感染拡大を抑制することに成功しました。
それと同時に、システム利用者が手動で行うセキュリティ対応が最低限になることから、システム利用者への教育・育成の簡略化も達成することが出来ました。
図14. ウィルス・不正プログラム対策の自動化事例
さいごに
今回は、現状に留まらず近い将来のマルチクラウド環境下でより一層顕在化すると思われる、ネットワークの最適化とセキュリティ強化の解決策として、オンプレミスからのアプローチに焦点をあてて、VMware NSX Data Centerの有用性を説いてまいりました。
本解説では触れていませんが、VMware vSphere環境だけでなく、OpenStackやKubernatesなどのオープンソースの環境上にもネットワークを展開し管理することが可能です。
さらに、「VMware NSX® Cloud」と連携することで、オンプレミスに加えてパブリッククラウド上のワークロードに対しても同様の最適化・強化が可能になります。
機会があれば、クラウドからのアプローチも解説してまいります。
2018年に世界で最も成長率が高かったクラウド(出典:「RightScale State of the Cloud Report 2019 from Flexera」)であるVMware Cloud on AWSにも、VMware NSX Data Centerが利用されています。
クラウド&オンプレミスのマルチクラウドが進む企業ITにとっては、VMware Cloud on AWSは非常に魅力的な解決策といえます。
「VMware Cloud on AWS」については、こちらをご参考にしてください。
