企業のITインフラに革命をハイブリッドクラウドの課題を解決する「HPE Aruba Networking CX10000」

オンプレミスとクラウドが融合した「ハイブリッドクラウド」の時代へ

金井氏もはや、オンプレミスかクラウドかという二者択一の時代ではなくなりました。私たち双日テックイノベーションは長年オンプレミス一本で事業を展開してきましたが、最近はクラウドへの接続を前提とする設計が圧倒的に増えています。

双日テックイノベーション
ネットワークインテグレーション事業本部
第三技術部三課
ITスペシャリスト
金井貴浩氏

江草氏その変化は、さくらインターネットも強く感じています。お客様のオンプレミス環境と当社のクラウドを閉域網でつなぐ「プライベートリンク」や、グループ企業であるBBSakura Networksが提供する「OCX」のニーズは非常に高まっており、これは多くの企業がオンプレミスとクラウドを併用したいと考えていることの表れだと感じています。

さくらインターネット
技術推進統括担当執行役員
兼最高情報セキュリティ責任者（CISO）
兼最高情報責任者（CIO）
江草陽太氏

金井氏クラウドは使いたいときにすぐに拡張でき、ビジネスのスピード感に合わせて柔軟に利用するのには最適なものです。ただし従量課金制はランニングのコストが膨らみやすいというデメリットもあります。そのため、ビジネスが落ち着いたら、安定稼働が求められる部分はオンプレミス、一方で、予測が難しく、急激なトラフィック変動がある部分や、一時的な利用が想定される部分はクラウドというハイブリッドに組み合わせた使い方が増えているのではないでしょうか。

江草氏おっしゃる通りです。全てのシステムをいきなりクラウドに移すのは難しいですし、機密性の高い基幹システムはオンプレミスに残し、外向けのサービスはスピード重視でクラウド、といった使い分けをする企業が増えていますね。

当社のデータセンターは大阪・東京・北海道の石狩の3カ所にあり、コロケーションやハウジングサービスを展開しています。なかでも自社所有の広大な土地を利用した石狩データセンターは年々サーバールームを増設しており、その時点での最新の設計や設備仕様を導入しています。GPUや大容量ストレージなど、高負荷なハードウェアリソースを必要とするサービスの提供にも強みがあります。これらのコロケーションやさくらのクラウドのハイブリッド利用や、専用線、インターネットVPN、プライベートリンクやOCXで物理拠点と相互接続するニーズは多くあります。

ネットワークの入口でゼロトラストに対処すべき

金井氏素晴らしいですね。一方、ハイブリッドクラウドの課題として“セキュリティ対策が困難である”ことが指摘されています。クラウドとオンプレミスではセキュリティの管理手法が異なることから、一元的なポリシー適用が非常に難しいというジレンマが発生します。クラウドではVM（仮想マシン）やコンテナごとに細かくセキュリティを設定できます。ところが、オンプレミスは「ネットワーク単位」で守る発想になりがちで、結果として内部の守りが手薄になりやすいという点もありますね。

江草氏確かに管理が分断されがちなハイブリッド環境では、セキュリティポリシーの一貫性を保つことが難しく、どちらか一方に抜け道が残っていると全体が侵害されるリスクがあります。

理想的な対策は、ゼロトラストアーキテクチャの考え方を徹底して適用することです。社内のネットワークでも安全とは限らないため、インターネットのセキュリティ対策と同じように、アプリケーションごとに認証・認可をかけたりトラフィックを制御したりして対応します。

ただ、既存システムすべてをゼロトラストに対応させるのは簡単ではありません。クラウド側だけで対応しようとしても限界がありますし、システムを全面的に改修することも容易ではないでしょう。クラウドとつなぐネットワークの入口に何かを挟むことでゼロトラストを実現するソリューションを検討し、段階的に実現するアプローチが現実的です。

金井氏私たち双日テックイノベーションが注目しているのが、日本ヒューレット・パッカード（HPE）が提供するデータセンタースイッチ「HPE Aruba Networking CX 10000」です。このスイッチは、データプロセッシングユニット（DPU）を搭載しており、このDPUを使うことでステートフルファイアウォールやDDoS対策プロテクション、NAT、IPsec VPNといったセキュリティ処理を高速でハードウェア処理をすることができます。これにより、サーバー側のパフォーマンスを低下させることなく、ITインフラを細かくセグメントに分けたセキュリティ対策である「マイクロセグメンテーション」を実現できます。

江草氏クラウドとオンプレミスのセキュリティレベルの差を埋めるに当たり、物理的なスイッチの設置で広範囲に対策ができ、効率的にセキュアな環境を構築できるのは非常に大きなメリットですね。

ハイブリッドクラウドを選択する企業は今後も増え続けるでしょう。クラウド側だけではカバーできない、物理的な接続やオンプレミス側のネットワーク設計といった部分を、双日テックイノベーションのように豊富な知見を持つIT企業から提案していただくことで、お客様は最適なハイブリッドクラウド環境を安心して利用できると思います。

運用負荷を低減しながらきめ細かいセキュリティで
ハイブリッドクラウドを守る「HPE Aruba Networking CX 10000」

クラウドの柔軟性とオンプレミスの堅牢性のいいとこ取りが可能なハイブリッドクラウド。しかしハイブリッドクラウドは、セキュリティ対策が複雑かつ困難になるという課題がある。セキュリティ知識を備えたネットワークエンジニアは減少傾向であるため、データセンターのネットワークそのものを「防御基盤」とするソリューションが必要となる。それに応えるのが「HPE Aruba Networking CX 10000」である。

1. Pensando DPUによる分散型セキュリティの実現

HPE Aruba Networking CX 10000はデータプロセッシングユニット（DPU）を搭載しており、ステートフルファイアウォール、IPsec、NAT、DDoS防御テレメトリなどのネットワークセキュリティ制御をハードウェアで処理する。これにより、サーバーのパフォーマンスを低下させずにL4のセキュリティ対策を実現する。

2. マイクロセグメンテーションによるきめ細やかなセキュリティ

同一のネットワークセグメント内でもアプリケーション単位で通信を可視化・制御することで、マルウェアの侵入や情報漏えいなどのセキュリティインシデントを防止する。DPUでセキュリティ制御処理を行うため、スイッチのCPU・メモリに負荷はかからない。

HPE Aruba Networking CX 10000によるマイクロセグメンテーション

3. 高度な暗号化技術でボトルネックなく安全にデータを送受信

オンプレミスとクラウド間で安全に高速な通信を実現するため、IPsecを使ったVPNでデータを暗号化・復号化しながら、200Gbps超の通信速度でデータを送受信する高度な暗号化技術を搭載している。これにより通信のボトルネックなく、安全かつスムーズにデータをやり取りできる。

4. 高性能なGUI管理ツールで複数のスイッチを一元管理

データセンターのネットワーク管理において、各IPアドレスやアプリケーションの通信量を可視化することは大きな課題だった。HPE Aruba Networking CX 10000では、GUI管理ツール（Pensando Policy and Services Manager）を使うことで通過するすべてのトラフィックを詳細に可視化し、管理ツールのGUIで確認しながら特定のトラフィックの許可・ブロックを容易に実行できる。また、このGUIは複数のスイッチを統合して管理できるため、複雑な分散管理の手間をなくし、運用担当者の負担を大幅に軽減する。ネットワーク全体のセキュリティポリシーを統一的に設定し、すべてのスイッチに自動で反映させることが可能になり、設定変更時の作業負荷軽減や設定漏れなどの運用改善につながる。

双日テックイノベーションでは、ベンダーと密に連携しながらあらゆる製品を自社検証ルームで実機検証しており、公開資料にない仕様についても熟知している。もちろんHPE Aruba Networking CX 10000についても様々なパターンで検証を重ねており、その知見を最大限活用して顧客それぞれに最適なITインフラを提案し続けている。