ハイパーコンバージドインフラ(HCI)とネットワークセキュリティとは?
近年、日本でも普及が進んでいる仮想化テクノロジーである「ハイパーコンバージドインフラ(HCI)」ですが、ハイパーコンバージドインフラを導入したけれどセキュリティは従来のまま…ということが多々あります。
本記事では、ハイパーコンバージドインフラについて軽くおさらいした後に、仮想化テクノロジーにおけるインフラセキュリティの新しい考え方についてご紹介します。
目次
1. そもそもハイパーコンバージドインフラって
近年、猛烈な勢いで普及しているハイパーコンバージドインフラですが、ごく単純に言ってしまえば「サーバー、ストレージ、ネットワーク、仮想化ソフトウェア、管理ツールを一つのハードウェアに詰め合わせたもの」になります。では何故そのようなものが生まれたのでしょうか?
仮想化はしてみたけれど…
汎用機の世界と同じく、x86サーバーの世界でも効率化(ハードウェア資源を有効に使う、運用負荷を下げる)を目的として仮想化の導入が積極的に進められました。その結果、多くのデータセンターにサーバー仮想化の仕組みが導入されました。しかし、下記のような課題点は残ったままでした。
管理・運用負荷が高い
仮想化することで、サーバー台数の絶対数は減ったものの、仮想化機能を提供するハードウェア(サーバー、スイッチ、ストレージ、管理ソフト)は依然残ったままで、運用については従来のサーバー・ストレージ・スイッチからなる3階層モデルと変わりませんでした。そのため、運用局面において例えばファームウェアをひとつアップグレードするにしても、各機器の相互互換性を調べ、場合によっては検証を要するなど、作業負荷の高い状況はかわりませんでした。また各機器の運用管理もばらばらのツールを使って行うことが前提となっていたため、高度な管理スキルが要求されてきました。
リソースの将来予測が難しい
仮想化基盤は5年後の将来予測を行ったうえで調達されるケースが多いものの、当初の予測よりも早くリソースを使い切ってしまう、あるいはその逆で、5年経っても当初予測の半分しか使っていないなど、最適なリソース調達が課題となる場合がありました。
2. コンバージドを経てハイパーコンバージドへ
こうした課題を解決するために、コンバージドインフラ(Converged Infrastructure)という概念が生まれました。日本語で「垂直型・統合型のインフラ」という意味があり、簡単にいえば、ひとつの管理画面のもと、サーバー、ストレージ、ネットワーク、仮想化ソフトウェアが操作・管理できるといったものです。
この概念では、ひとつの管理画面のもとにサーバーやストレージを操作できるので、「管理・運用負荷が高い」という課題は解決できます。しかし、機器そのものは従来のサーバー、ストレージをそのまま使っているため、障害時の原因切り分け時には各機器の操作が必要となり統合は不完全なものでした。その課題を克服するために生まれたのが、ハイパーコンバージドインフラです。
ハイパーコンバージドインフラはコンバージドインフラよりも小型化され、小さいスペースの中に複数のサーバーやストレージが内蔵され、かつソフトウェアによってストレージ機能を提供している点が大きな特徴です。シンプルなシステムであるため、ハイパーコンバージドインフラはITインフラ整備・運用にかかる負担を大幅に軽減することが可能となりました。
3. でもネットワーク機器はそのまま?
こうして、サーバーとストレージ、ネットワークは統合されました。しかし、まだ運用負荷の軽減とタイムリーなリソース追加ができるようになったというわけではありません。統合されたネットワークはあくまでサーバーとストレージをつなぐ内部的なネットワークであり、サーバーから上のネットワーク環境は、従来通り物理アプライアンス(ファイアウォール・UTM)を入れているケースが大半なのです。これでは、せっかくサーバーとストレージを統合しても、ネットワークは一部しか統合されていない、ということが起きてしまいます。
4.ネットワーク仮想化とセキュリティ
まずネットワークを構成する際の物理機器を考えてみると、サーバーはスイッチングハブ(L2スイッチ)につながり、L2スイッチ同士はL3スイッチでつながります。さらにファイアウォールやルーターを経て外部のインターネットにつながります。
これらの機器はサーバーと同じく、OS,電源やファン、メモリー等の機器が搭載されており、ハード・ソフト共にメンテナンスが欠かせません。特にアップデートはセキュリティ面からも重要な作業です。
また、企業の組織変更のたびに、ネットワーク構成の変更が必要になりますが、従来のネットワークではそれぞれのハードウェア機器に対して都度、すべての設定変更を行う必要がありました。
しかし、ネットワークを仮想化する、すなわち、これらの機器をソフトウェアで置き換えることによって、セキュリティを担保しつつもネットワークの保守・運用・管理の手間とコストを大きく削減することが可能になります。
5. HCIとネットワーク仮想化を組み合わせると?
ここで具体例として、弊社取扱いのHCIアプライアンスであるNutanix NXと同社のSDN製品であるFlow(フロー)、およびJuniper Networks社の仮想化ファイアウォールであるvSRXを前提に考えてみます。
5-1 Flowって?
FlowはNutanix社が開発したSDN(ソフトウェア定義型ネットワーク)で、Nutanixの特徴であるシンプルな操作感はそのままにネットワークの可視化、マイクロセグメンテーション、サービスチェイニングとネットワーク自動化の3つの機能を提供します。
中でもマイクロセグメンテーションはセグメントの分離に加え、アプリケーションを中心とした保護(ポリシーベースのきめ細やかなコントロール&ガバナンス)機能を提供できるなど、Nutanix社のAcropolisソフトウェアとの統合ならではの特徴を持っています。
セキュリティ面からみたシナリオは①本番環境と開発環境の分離といったゾーニング、②アプリケーションごとの分離(リングフェンシング)③VDI利用時の隔離(完全隔離と、決められた通信のみを通過させる監査モード)がありますが、いずれも簡単な設定で実行が可能です。③のVDI利用時の隔離については、トレンドマイクロ社のDeepSecurityといった実績のある製品をトリガーにAPI経由で自動的に行うことも可能です。
5-2 vSRXって?
vSRXは、Juniper Networks社のファイアウォール製品であるSRXシリーズの機能をそのままに、VMwareやKVMといったハイパーバイザー上で動作する仮想アプライアンスです。Juniper社の実績あるJUNOS OSをベースとしているため、特にVPNのコネクティビティやルーティング機能において高い性能を実現します。また少ない仮想リソースで高パフォーマンスを実現できるほか、ライセンスの追加によりUTM機能を追加することができ、アンチウイルス、アンチスパム、ウェブフィルタリング、IPS、サンドボックスなどをカバーします。
5-3 組み合わせて、より強力なメリットを実現
Nutanixのハイパーバイザー上で機能するこの組み合わせは、下記のメリットを提供します。
全方位なセキュリティの実現
Flowはマイクロセグメンテーション機能によって、仮想サーバー間、データセンター内部での通信(いわゆるEast-West型トラフィック)への保護を提供します。そこにファイアウォールであるvSRXを加えることで、Aclopolis hypervisor(AHV)に内蔵されているOVSと連携しアプリケーション制御や脅威対策等の高度なセキュリティを提供します。この2つを組み合わせることでより堅牢なセキュリティ基盤を提供します。
6. まとめ
いかがでしたでしょうか?本記事ではハイパーコンバージドインフラと合わせてネットワーク、ファイアウォールを仮想化することのメリット、組み合わせによるメリットを解説しました。
これから仮想化基盤を更改するときに、合わせて周りのネットワーク機器にも目を向けていただければと思います。
7. より詳細な資料
各メーカー様の資料になります。
Application Security and Microsegmentation with Flow
Nutanix社のカンファレンスである.next Londonでのセッション資料です(英語)
https://next.nutanix.com/next-conference-2018-54/application-security-and-microsegmentation-with-flow-london-31340
Flow
Nutanix社の製品紹介ページです。
https://www.nutanix.jp/products/flow/
vSRX
日商エレクトロニクスによるJuniper製品紹介サイト「Junipedia」のページです。
https://www.juniper-ne.jp/product/juniper_srx/vsrx.html