2024年6月12〜14日に開催された「Interop Tokyo 2024」の会場内セッションに、日本ヒューレット・パッカード(HPE) Aruba事業統括本部 安藤 基朗氏と、双日テックイノベーション(旧・日商エレクトロニクス) ネットワークインテグレーション事業本部 尾﨑 規広氏が登壇。両氏は、データセンターネットワークにおいて従来の境界型セキュリティや集中型セキュリティが限界を迎えつつあり、それに変わる次世代アーキテクチャが求められていることを訴えた。カギになるのは「Security First, AI Powered Networking」というコンセプトに基づいて展開される、新たなカテゴリー製品となる分散サービススイッチ「CX10000シリーズ」だ。その講演内容をダイジェストでお届けする。

Security Firstとゼロトラスト――ネットワーキングとセキュリティに対する新たなアプローチ

大多数の企業がクラウドやモバイル端末の業務利用を進める中、ネットワーキングとセキュリティのあり方は変化してきている。

ネットワーキングに求められるのは、いつでもどこでも、どのようなデバイス、アプリからでも快適に使えることだ。一方、セキュリティは、いかなる脅威にも対抗できることはもちろん、生成AIのような最新技術への対応をはじめ、個人情報などのプライバシーの取り扱い、シャドーITや各種法規制への対応などガバナンスの確保が強く求められるようになっている。

こうした状況に対し、新しいネットワーキングとセキュリティのアプローチが必要だと訴えるのがHPE Aruba Networkingであり、安藤氏はこう話す。

「ハイパフォーマンス、ユビキタスアクセス、Always Onというネットワーキングの課題と、厳密なセキュリティポリシー、情報漏えい(暴露)の削減、ロス(運用コストや人材不足)の軽減というセキュリティの課題をいかに両立させるかが重要だと考えます。つまり、セキュリティ担当者とネットワーク担当者が同じ情報を共有できるようにする必要があります。そこでHPEが提唱しているコンセプトが『Security First, AI Powered Networking』です。セキュリティを最重要要素に置きながら、AIの力を借りてネットワーキングの課題を克服することを目指しています」(安藤氏)

ここでポイントとなるのは、すべてを疑う・信頼を前提にしない・権限を最小限に・常に監視し検証する、という考えのゼロトラストをビルトインすることだ。

「なぜ「Security First」としているかについてですが、ネットワークとセキュリティがバラバラに組み合わされている状況では、サイロ化された運用や非一貫性、複雑性などから隙間と盲点が生まれます。そこで、我々はゼロトラストという考え方をビルトインして開発を進めていくことにしました。」(安藤氏)

「分散サービススイッチ」でSpine-Leafのメリットを享受しながらセキュアな通信制御を可能に

『Security First, AI Powered Networking』のコンセプトをデータセンターに当てはめた際の課題として、安藤氏は「多くのデータセンターではSpine-Leafアーキテクチャが採用されています。シンプルでハイアベイラビリティ、ハイパフォーマンスを実現する優れたアーキテクチャであり、特に現在70〜80%を占めるとされるEast-Westトラフィックに対して非常に有効です。ただ、セキュリティについては境界型セキュリティでありデータセンター内部は信頼を前提にしているため、すべてを疑うというゼロトラストの原則を適用しにくく、無理に適用するとアーキテクチャとしてのメリットが損なわれてしまうのです」と語る。

メリットが損なわれる理由については、一元化された集中管理型であることが要因だそうだ。特定のラックにセキュリティサービスをまとめると、帯域が無駄に消費されサービス品質が低下しやすくなる。またEast-Westトラフィックが増え、追従できずセキュリティが維持できないケースも増えてくるだろう。ライセンスやアプライアンスが増えることでコスト面での課題にも直面する。

「そこで我々が提唱しているのが、ワークロードの近く(Leaf)にセキュリティサービスを分散配置するアーキテクチャです。例えば、特定のラックではなく、すべてのLeafポートにファイアウォール(FW)などのサービスを置き、特定のセキュリティアプライアンスやソフトウェアエージェントを廃止します。また、テレメトリーデータを取得して可視化し、ネットワークとセキュリティポリシーのプロビジョニングを自動化します。これにより、各種コストの最適化とパフォーマンス向上を実現し、Spine-Leafのメリットを享受しながら、セキュアな通信制御が可能です」(安藤氏)

これを実現するのが、新しいカテゴリーのネットワーク製品となる分散サービススイッチ「CX10000シリーズ」だ。

世界初となる分散サービススイッチCX10000シリーズ

分散サービススイッチCX10000シリーズは、エンタープライズデータセンター全体のネットワークとセキュリティサービスの簡素化、高速化、拡張を実現する製品だ。

「AMD Pensandoとの共同開発により、3.2Tbps高速スイッチングと800Gbps Stateful FW、テレメトリ、200Gbps IPsec暗号化、NATといったセキュリティ機能を同時に実現しました。3.2Tbpsのスイッチング能力を持つスイッチのアーキテクチャに、AMD PensandoのP4プログラマブルDPU(Data Processing Unit)を400Gbpsの接続で2個搭載。このチップでは、各種セキュリティ機能をオフロードすることができ、スイッチング性能に影響を与えずにセキュリティの実装が可能になります」(安藤氏)

スイッチを分散配置してHPE Aruba Networkingの管理ツール「Aruba Fabric Composer」で一元管理することも可能であり、双日テックイノベーションはCX10000シリーズのこうした機能検証も行っている。双日テックイノベーションの尾﨑氏はこう話す。

「IPsec、NAT、FWなどのセキュリティ機能の動作確認と、EVPN-VXLANによるネットワーキング機能の動作を確認しました。セキュリティ機能については、当社のエンジニアがかなり厳しい要件を設定して検証したのですが、IPsec、NAT、FWのいずれにおいても問題なく動作しました。また、ネットワーキングの動作確認では、EVPN-VXLANでのL2通信、L3通信、ロードバランスを実施し、問題なく動作することを確認しました」(尾﨑氏)

こうした検証を踏まえながら、尾﨑氏は「CX10000シリーズはデータセンターが直面しているさまざまな課題への解決策になる」と強調した。

「主なユースケースは4つです。1つめは、既存IP-Fabric(EVPN-VXLAN)網への導入、2つめは、拠点間のバックアップリンク構築、3つめは、クラウド用IPsecトンネル、4つめは、拠点収容ゲートウェイです。新しいセキュリティ機能の追加、負荷の軽減、コスト削減、拠点のセキュリティ強化といった効果が得られます」(尾﨑氏)

新たに提供を開始した「CX10000シリーズ」が有効活用できる4つのユースケース

1つめのユースケースである既存IP-Fabric(EVPN-VXLAN)網への導入では、双日テックイノベーションが他社製スイッチとのEVPN-VXLAN相互接続性を確認した。

「新たなセキュリティサービスメニューとして、NAT、FWを簡単に追加できることを確認しました。既存のNAT、FWがある場合でも、処理をCX10000に分散させることで装置への負荷軽減と既存機器のリソースシフトが可能です」(尾﨑氏)

2つめの拠点間のバックアップリンク構築では、バックアップ回線のWANでIPsecトンネルを構築するものだ。バックアップ回線コストの削減や、IPSec用装置の撤廃による機器管理コストの削減といったメリットがある。

「拠点間通信をFWでフィルターすることでよりセキュアな通信も可能です」(尾﨑氏)

3つめのクラウド用IPsecトンネルは、各トップオブラック(ToR)からIPsecトンネルでクラウド接続するものだ。IPsec用の装置やクラウド接続サービスを用意しなくても、各ToRにIPsecを分散収容してクラウド接続できる。

「これにより、クラウド接続サービスのコスト削減に加え、IPsec用装置の撤廃により機器管理コストも削減可能です」(尾﨑氏)

4つめの拠点収容ゲートウェイは、従来のネットワークでは分離されていたセキュリティ、ルーティング、スイッチングをCX10000 1台に統合することだ。

「拠点ごとの観点で、セキュリティを強化することができ、ネットワーク全体でのセキュアな環境を実現できます」(尾﨑氏)

HPE Aruba Networkingと双日テックイノベーションがこれからの課題に応えていく

講演の最後に安藤氏は、Security First,の後ろにあるAI Powered Networkingについて話してくれた。

「AI Powered Networkingは、セキュリティを前提としたなかで、いかにして運用を楽にしていくか、自動化していくか、というお話です。HPE Aruba Networkingではクラウドマネジメントを行うための製品であるCentral Cloud Managementを10年近くにわたり提供しています。そこで、今までに蓄積されたデータを学習・分析することにより、AIによる自動化を皆様へご提供できる準備が整っています」(安藤氏)

また続けて、AIの力を借りることで顕著に出てくる効果がトラブルシューティングの場面であると話す。AIが24時間365日ずっと監視してくれることで、トラブルシューティングを容易にすることが可能だそうだ。

HPE Aruba Networkingでは、CX10000だけでなく、データセンターに必要な豊富な製品ラインナップを取りそろえている。また、双日テックイノベーションは、双日のデジタル戦略の中核会社として、長年培ってきた経験と技術力をベースに、顧客にさまざまなサービスを提供していく。

最後に安藤氏は「Security First, AI Powered Networkingで、サイバーセキュリティ保護を犠牲にすることなく、差別化された体験と革新的なビジネス成果を提供していきます」と講演を締めくくった。

ネットワーキングとセキュリティのパラダイムが大きく変化するなか、HPE Aruba Networkingと双日テックイノベーションは次世代の分散ネットワークのあり方を共同で追求し、顧客の課題に応えていく。

  • 双日テックイノベーション株式会社 ネットワークインテグレーション事業本部 尾﨑規広 氏<br>右:日本ヒューレット・パッカード合同会社 Aruba事業統括本部 安藤基朗

    左:双日テックイノベーション株式会社 ネットワークインテグレーション事業本部 尾﨑規広 氏
    右:日本ヒューレット・パッカード合同会社 Aruba事業統括本部 安藤基朗 氏

関連リンク

[PR]提供:双日テックイノベーション株式会社、日本ヒューレット・パッカード合同会社