ジュニパー、インテントに基づくマイクロセグメンテーションが可能な「Juniper Contrail Security」を発表：サードパーティ製品も制御

　ジュニパーネットワークスは2017年9月14日、「Juniper Contrail Security」を国内発表した。これは同社のSDNコントローラー「Juniper Contrail」により、マイクロセグメンテーション、ファイアウォーリング、NFV連携、暗号化を制御し、きめ細かなネットワークセキュリティを実現するソリューション。大規模環境を想定している他、多様な環境に対応している点が1つの特徴。

　Contrailでは、基本的には仮想ルーター（vRouter）をMP-BGP/XMPPといったプロトコルで制御する。vRouterはKVMでは物理ホストのシステムプロセスとして動作し、VMware vSphereやパブリッククラウドでは仮想マシン上で動作、レイヤー4までのファイアウォール機能を提供する。また、ジュニパーのvSRXや他社の次世代ファイアウォール製品と連携、一部製品についてはトラフィックをリダイレクトするだけでなく、コントローラーのプラグインを通じ、ポリシーを適用できる。

　Contrail Securityでは、「インテント（意図）」に基づいてセキュリティポリシーを作成、マイクロセグメンテーションが行える。インテントは、各種のタグ、あるいは属性情報で表現できる。例えばテナント／部署名、プロジェクト名、開発／本番、Webサーバ／アプリケーションサーバ／データベースなどの識別情報を使用できる。特定の日時、時間帯にのみ適用する「インテント」も作成できる。

　こうした情報に基づいて、ポリシーを階層的に構成できる。また、複数の仮想化環境、コンテナ環境、パブリッククラウドの仮想ネットワークセグメントにまたがって、単一のポリシーを適用することも可能。

　ジュニパーネットワークスの技術統括本部テクニカルビジネス推進部部長である上田昌広氏は、「通信事業者では、8〜10万のセキュリティルールを運用しているケースもある。Contrail Securityを使えば、管理しなければならないポリシーの数を減らすことができる。ヒューマンエラーの防止にも役立つ」と話す。通信事業者の他、大企業、IaaS/SaaS事業者、そしてエッジコンピューティングへの適用を想定しているという。

　Contrail Securityは、トラフィックフローを可視化する機能およびトラフィックフローのベースラインを自動的に見いだし、これからの逸脱を検知してアラートを送るなどの機能も備えている。

　上田氏は、vRouterのパフォーマンスも重要な特徴と述べている。KVM環境では、仮想マシン単位でエージェントを入れるのではなく、物理ホストのプロセスとして動く。このvRouterは、DPDKに加え、FPGAを搭載したSmart NICに対応しているという。この種の製品で、Smart NICに対応していると言い切れるのは、現時点ではContrailのみだとしている。