米ヴイエムウェアの「Cross-Cloud Services」は、企業のクラウド利用をさらに促進するか複数クラウドの利用を側面から制御(2/2 ページ)

» 2016年09月06日 05時00分 公開
[三木泉@IT]
前のページへ 1|2       

最大の目玉は、複数クラウドにまたがるセキュリティ

 前述の通り、Cross-Cloud Servicesの機能は「管理」「ネットワーク&セキュリティ」「データ&アプリケーションの可搬性」に分類される。もっともユニークなのはセキュリティ関連機能だ。

 オンプレミスとパブリッククラウドにまたがってNSXを構築すれば、オンプレミスのNSXと同じ機能を、オンプレミスと同一のポリシーに基づいて適用できる。これにより、セキュリティを積極的に強化できるようになる。

 NSXの重要な機能にマイクロセグメンテーションがある。マイクロセグメンテーションでは、例えば3階層アプリケーションの場合、Web、アプリケーションサーバ、データベースの各階層でネットワークを分割、ファイアウォールを適用することで、特定の相手との通信のみ明示的に許可するといったことができ、いわゆる「ゼロ・トラスト・ネットワーク」を構築できる。

 ちなみに、NSXでは「分散ネットワーク暗号化(Distributed Network Encryption)」という機能が開発されてきた。仮想ネットワークインタフェース単位で通信暗号化ができる機能で、Cross-Cloud Servicesでも提供されるという(暗号鍵はNSXコントローラが管理する)。すると、パブリッククラウド上の通信保護を、さらに強化できる。例えばパブリッククラウドの自社仮想ネットワークセグメントに不正侵入があったとしても、マイクロセグメントのファイアウォールおよび分散ネットワーク暗号化で、多層防御ができる。

 NSXのマイクロセグメンテーションのメリットをさらに高める機能として興味深いのは、「vRealize Network Insight」だ。これは、ヴイエムウェアがArkinという企業を買収して獲得し、改称したソフトウェアツール。

 この製品は、ネットワーク製品からSNMPやSSHで構成情報を取得する一方、NetFlow対応ネットワーク製品からトラフィックフロー情報をキャプチャ(NetFlowではサンプリングでなく、全パケットのヘッダ情報を取得できる)して蓄積。これをグラフィカルに視覚化するとともに、過去にさかのぼって分析できる機能を提供。データセンター内における物理・仮想のネットワーク通信を対象としたトラブルシューティングなどが行える。Cross-Cloud Servicesでは、この製品の機能もサービスとして提供する。

 パブリッククラウド上では物理ネットワークの情報を取得できないが、Open vSwitchはNetFlowに対応しているため、仮想マシンが行う通信は全て取得できる。その上で視覚化すると、例えば「本来は特定のアプリケーションサーバとのみ通信すべきデータベースサーバが、それ以外のノードと通信している」などの状況が、グラフィカルに確認できる。そこでこれを受けて、適切なマイクロセグメンテーションのポリシーを適用するといったことができる。

各仮想インスタンスの通信状況をグラフィカルに示す。ここではデータベースとインターネットとの直接通信が発生していることが示されている(クリックで拡大)
マイクロセグメンテーションのポリシー作成もグラフィカルに行える(クリックで拡大)

 また、常時キャプチャしているフロー情報は、パブリッククラウド利用の監査証跡として使える。ネットワーク侵入の試みなど、不審な動きが見られた際には、それ以前にさかのぼって、セキュリティ侵害が発生していないかを確認するなどができる。「パブリッククラウドにおける目に見えない部分を、見えるようにしてくれる」と表現することができる。

アプリケーション移行やクラウドの統合的な利用管理も

 もう1つのユニークな機能として、アプリケーションやデータの可用性向上および移行を挙げることができる。Cross-Cloud Servicesでは、仮想インスタンスに導入するエージェントが、データレプリケーション(複製)の機能を備える。これはCDP(Continuous Data Replication)のようなもの。データの差分を逐一、他のクラウドのストレージに複製していくことができる。これを使ってアプリケーションデータのレプリカ(複製)を取得できる。単一クラウド内だけでなく、複数のクラウドにまたがって実行できる点に特色がある。データを複製しておき、これを使って仮想インスタンスを起動すれば、あとは切り替えだけでアプリケーションの移行もできることになる。これらの機能は、情報システム部だけでなく、ユーザーあるいはアプリケーション運用担当者が必要に応じて利用できる。

 Cross-Cloud Servicesでは、各社内ユーザーについて、それぞれがどのクラウドサービスに対してどのような権限を持つかを制御し、また各種のクラウドサービスをどれだけ使っているか、各クラウドサービスの利用料金はどれくらいになっているかを確認するなどができる。権限管理では、各クラウドサービスにおける認証情報をCross-Cloud Servicesに登録、AWSではIAM(Identity and Access Management)と連動して行う。

各ユーザーのクラウドリソース利用状況とコストをリアルタイムで把握できる(クリックで拡大)

 コスト管理については、初期リリースでどこまでの機能が実装できるかは明らかでないものの、最終的には、「特定構成のアプリケーションをどのクラウドサービスで動かすと最も料金が安くなるか」といった、コストシミュレーションの機能を搭載したいという。

[取材協力:ヴイエムウェア]

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。