Blog Brocade Japan

インターネット分離(VDI)を支えるネットワーク:物理と仮想の関係

by Shigeyuki Nakamoto ‎07-13-2016 08:31 PM - edited ‎07-20-2016 12:35 AM (3,560 Views)

マイナンバーの取り扱いを契機にセキュリティへの意識が高まり、特に標的型攻撃への対策としてインターネット分離の検討が自治体を中心に進められています。最近では、企業においてもセキュリティ対策の一環として導入が検討されるようになりました。

 

インターネット分離には様々な方法がありますが、まず思い浮かぶのがネットワークを物理的に分けてしまう方式ではないでしょうか。インターネット接続用の端末を業務端末とは別に用意する方法です。しかし、単純に物理的に分離する方式では、利用者も業務ごとに利用する端末を使い分けることになります。これは利用者視点の環境ではななく、働く側の利便性が大きく損なわれてしまいます。また、それだけではなく、設備をシステムの数だけ物理的に用意することになり、導入までの時間とコスト面で不利です。

 

そこで物理的に分離するのではなく、仮想的に分離するデスクトップ仮想化技術(VDI)が注目されています。これはインターネットアクセス専用の端末環境を他のシステムとは分離して構築して、その画面だけを転送して利用する方式です。これにより利用者は現在使用している端末はそのまま利用でき、同じ端末で両方の画面を表示します。業務ごとに複数の端末間を物理的に移動する必要ないため、利便性も損なわず、安全なインターネット接続が可能となります。

 

さらに、標的型攻撃で忘れてならないのが、仮に攻撃を受けた場合の対策です。標的型攻撃は、人間の心理の隙を突いた巧妙な手口であるため、100% 防ぐことは不可能といっても過言ではありません。よって、攻撃を受ける前提で対策を検討する必要があります。そこで、マルウェアが蔓延した場合を考え、あらかじめネットワークを細かく分割しておき、実際にマルウェアが進入して場合でも、通信を遮断し他への影響を回避することが望まれます。

 

これらのソリューションとして、ブロケードでは、VMware Horizon View によるデスクトップ仮想化。さらには、VMware NSX のネットワーク仮想化で実現するマイクロセグメンテーションの実装を推進しています。VMware Horizon View と VMware NSX を活用したインターネット分離システムで、きめ細やかなネットワーク分割と、仮想化による高い柔軟性を実現できるからです。導入も迅速かつ容易に行うことができます。インターネット分離の方式として、とても完成度が高くお勧めできるソリューションです。

 

さて、ココからが本題です(笑)。

 

VMware Horizon View と VMware NSX によるインターネット分離ソリューションを考える場合、忘れてはならないのが物理インフラです。仮想化環境というと物理インフラを忘れがちですが、仮想環境は実際には物理インフラの上で構成されているため、とても重要な役割を果たします。しかし、利用者側からはほとんど意識されないため、物理機器を提供しているネットワークベンダーとしては残念なのですが、注目されることも多くありません。利用者側からはほとんど意識されないと言いましたが、意識しないということは、実はとても重要なポイントです。仮想化環境の物理ネットワークは、利用者側が意識しないくらい何ごともなく安定して動いていることが求められます。逆に、意識して運用しなければならない物理ネットワークでは、仮想化環境のよさを台無しにしてしまうのです。

 

では、仮想環境の良さを生かすネットワークとはどういうものなのでしょうか。

 

仮想化環境を生かすネットワークは、回復性、シンプル、効率性の3つの要素が求められます。

 

  1. 回復性
    • 物理ネットワークが止まると、仮想ネットワークは動きません。物理ネットワークのどこかに障害が発生してもすぐに回復するネットワークが求められます。物理ネットワークの回復性が悪いと生産性が低下してしまいます。

  2. シンプル 
    • 仮想ネットワークを導入してもアンダーレイネットワークとして、依然、物理ネットワークを運用しなければなりません。仮想ネットワークを導入した場合、仮想ネットワーク側での変更が主となり、物理ネットワークは、一度稼動すればほとんど人の手を介さないのが理想です。さらに、ネットワークの拡張、あるいは(あまり考えたくはありませんが)縮小も最小限の作業で実施できることが求められます。

  3. 効率性
    • 仮想ネットワークの通信は、物理サーバ間の通信が主となります。よって、効率よくサーバ間の通信が実施できるよう、構成したネットワークのリンクがすべて有効に使えるようなネットワークが必要です。従来のスパニングツリーを使用したネットワークでは、複数のリンクがあっても、ひとつのリンクしか有効にできないため、非常に効率の悪いネットワークになってしまいます。

これらを満たすネットワークが VDI をはじめとする仮想化環境の、特に VMware NSX などの仮想ネットワークを導入した時のアンダーレイを構成する物理ネットワークに求められます。

 

しかし、この点で考えた場合、実は従来型の物理ネットワークではこれらを満たすことができません。そこで力を発揮するのがファブリックという新しいネットワークです。ファブリックは、仮想化環境で使用することが予め想定されたネットワークです。ファブリックはいろんなネットワークベンダーが提供していますが、ブロケードは市場でもっとも早期に提供が開始され、すでに多くの企業が採用しています。ブロケードのファブリックを詳しく知りたい方は、こちらをご覧ください。

 

さらに、物理ネットワークに求めらられる要件は、先日開催されたインターロップでのミニシアターでの約 15 分のビデオがありますので、併せてご紹介させていただきます。

 

 

このように、インターネット分離を実現しようとする際、物理ネットワークも併せて最適なものを選択することが導入後の安定稼働や運用負荷軽減、効率性の観点から重要となります。ブロケードが推奨するVMware Horizon View と VMware NSX +ブロケードのファブリック技術を組み合わせたインターネット分離ソリューションは、すでに多くの自治体や企業において導入されています。インターネット分離のためのネットワークをはじめ、仮想化環境のネットワークには、ぜひともブロケードのファブリックをご選択ください。

 

■ブロケードWeb「マイナンバー制度対策とネットワーク・セキュリティ」

http://www.brocade.com/ja/possibilities/solutions/mynumber.html