HEARTBEATS

Interop Tokyo 2014 訪問記 - VXLANの接続検証進む など

   

斎藤です。こんにちは。

最新のサーバ・ネットワーク製品が一堂に会するInterop Tokyo 2014。今年も、同僚とともに足を運んできました。

私が、今回注目したキーワードは3つ、"ファイアウォール", "VXLAN", そして "アプライアンス vs 仮想化"です。

3段階のファイアウォール

日々、外部からの攻撃手法が多様化・進化している事は、みなさま日々感じていらっしゃる事と思います。また、攻撃ばかりでなく、情報漏洩などの内部から発生するリスクも無視できない今日この頃です。

その現状を鑑み、現状のファイアウォールのプラクティスは次の三段階で防ぐとよいと、ShowNet Stageの中で唱えられていました。

  • (旧来の)ファイアウォール
  • (新世代)ファイアウォール
  • サンドボックス

まず、「(旧来の)ファイアウォール」とは、ルータのACLから発展した、5タプル(送信元アドレス, 宛先アドレス, 送信元ポート, 宛先ポート, プロトコル)を基にした防御をさします。これだけでも、ワーム等による外部からの既知のアタックはずいぶんと防げる(8割程度という話がありました)そうです。

次に、「(新世代)ファイアウォール」とは、先の「(旧来の)ファイアウォール」では防げないアプリケーションベースの防御をさします。これは、外部ばかりではなく、内部からのリスクを防ぐことができます。具体的には、通信自体を監視し、ポリシー・シグネチャに該当した通信を遮断するなど、より深く通信の内容に踏み込んだ防御を実施します。例えば、Webメールからメールを送信できないようにする事で、情報漏洩リスクを抑える効果が期待できます。

最後に、サンドボックスとは、実際の通信内容をもとにサンドボックス上で再現する事により、リスクがあるかどうかをヒューリスティックに判断し、遮断するものです。例えば、ウィルスつきメールを開封した事で発生するコールバック(データ送信)の影響を最小限に留め、リスクを抑える効果があります。

これらに対応する製品の中で、私が気になったのは次の2つです。

1つ目は、「(新世代)ファイアウォール」に対応する、paloalto networksさんの製品です。一つ一つの端末を、リアルタイムに、かつ操作の内容を詳細にチェックする事ができます。また、Web APIが充実しており、開発次第でホスティングプロバイダの顧客向け管理ページや、自社の統合管理ツールを経由したコントロールも可能です。

IMG_2093.JPG

2つ目は、「サンドボックス」に対応する、FortinetさんのFortiSandboxです。FortiGateを導入している人であれば、連携して対策をとる事ができます。

IMG_2140.JPG

現状を鑑み、セキュリティ対策を強化するためには、様々なアプライアンスの力を借りる大切さを実感した内容となりました。

VXLAN

ShowNetで私が注目したのは、VXLANのベンダー間相互接続検証です。VXLANとは、VLANに代わる次世代の仮想ネットワークの規格です。1つのLAN上に、最大2^24(1677万余)の論理ネットワークを構築する事ができます。そのため、IaaS事業者など、これまでのVLAN(4096)では到底足りそうにない多量の仮想ネットワークを構築する際に有力となる技術です。

vxlan.jpg

現状、IETFの標準規格"VXLAN: A Framework for Overlaying Virtualized Layer 2 Networks over Layer 3 Networks"に則ったものもあれば、ベンダー独自で拡張された実装を基に動作しているものもあるとのことでした。その中で、ちゃんと通信できるのか?とベンダー間の相互接続性の確認が進んでおり、かつ実際に稼働しています。製品が続々登場している証ですね。また、異なるメーカー間での相互接続の検証自体が、ShowNetならではだなと思いました。

また、NFV (Network Functions Virtualization)も相互接続検証が進んでいました。NFVとは、ルーティングやファイアウォールなどのネットワークサービスの機能をソフトウェアとして実装・仮想化する技術の事です。

アプライアンス vs 仮想化

アプライアンスの良さとは、一つにその業務に最適化した専用のハードウェアを適用できる点にあります。例えば、SSLアクセラレータであれば、暗号化のパフォーマンスを向上させるためにASICを導入します。

一方、計算機の性能が向上し、汎用的な機材上に仮想化で同様の業務をこなそうという考えもあります。極端な話、CPU・RAM・Diskがあれば動きます。これなら、ハードウェア構成もシンプルになり、物理的な面の管理が容易になるメリットがあります。

例えば、VMwareさんのブースでは、"Software Defined Datacenter"をキーワードに、汎用的な機材を利用し、様々な業務を仮想基盤上に展開するソリューションを展示していました。私が注目したのは、"Virtual SAN"です。3台以上のx86サーバを利用する事で、ストレージサーバとして利用できるようにする製品です。類似の製品は他にもありますが、ストレージとは切っても切れない関係のある仮想基盤と同じファミリーなのは興味深いです。

IMG_2128.JPG

もちろん、性能面でのアプライアンスのアドバンテージは無視できません。よく情報を集め、選択・判断できる力をより求められていると言えそうです。

その他

ネットワーク速度の向上が目覚ましいです。バックボーンでの100GbEの採用が普及期に入ってきたようです。同時に、各枝への40GbEネットワークの普及も進んでいます。末端では10GbEが普及期に入ったと言っていいでしょう。データセンター内のネットワーク速度の向上に、自分の頭を追いつかせなければと考えております。通信速度の向上は、レイテンシの向上にもつながりますので、アプリケーション開発者にも関係がある話です。詳細は、ShowNetのネットワーク図「ShowNetインフォメーション | Interop Tokyo 2014」をぜひご覧ください。

IMG_2090.JPG

YAMAHAさんのブースのRTX1210も見てきました。これは、製品そのものよりも、スイッチと同時に使う事による社内ネットワークの管理コストの低減を売りにしていました。社内LANにつながっている端末の管理やトラブルシューティングは意外に面倒ですから、こういうのは便利でいいですね。

IMG_2105.JPG

おわりに

ここまで、Interop Tokyo 2014で私が注目した"ファイアウォール", "VXLAN", そして "アプライアンス vs 仮想化"について取り上げてきました。その中で、ファイアウォールの構築は現状を踏まえた細分化が進み、VXLANはそろそろ普及が始まりそうであり、そしてアプライアンスか仮想化を用いたソフトウェア処理の比較を深くして行く大切さを感じた点をお話ししました。

これまでは、1つの会社で物理層からアプリケーションまで、という時代もありました。しかし、仮想化をはじめとしたより複雑化するシステムの前に、業務の細分化が進んでいるのが現状です。そうなると、自分が今過ごしているレイヤーとは違う所の状況がわかりづらくなってきます。私もソフトウェア開発者ですので例に漏れず、ネットワーク等の足元の知識や経験はそれほど強い訳ではありません。そんな中で、展示会を通じた製品と情報が一堂に会する場所で、現状を知り自分のレイヤーにフィードバックする事の大切さを感じずにはられませんでした。コンピュータは、全てのレイヤーがリンクして、初めて動くものですからね。

また、先ほど紹介したVMware, YAMAHAさんに限りませんが、売れ筋・コアな商品を基に、横展開していくメーカーさんが増えたなという印象を持っています。メーカーを絞り込んでしまうとそのメーカーにあわせた動きをする必要性が出てしまう一方、便利な形で統合できるメリットも見逃せません。ここでも、知識の蓄積・現状分析、そして方針を持つ重要性を感じます。

それでは皆様、ごきげんよう。