急速に変化するビジネスに、すばやくIT環境を対応させることができ、コストや人的負荷の削減、省スペースなどにもメリットがあることから、ネットワーク仮想化への取り組みが進んでいる。アプリケーションデリバリコントローラ(ADC)やSSL-VPN関連製品の開発・販売で世界有数の米Array Networks(日本法人:アレイ・ネットワークス株式会社 以下、アレイ)も、ネットワーク機能を集約できるネットワークファンクションプラットフォームArray AVXシリーズのリリースをはじめ、数年前からこの領域へアプローチしてきた。
2018年6月13日には、国内利用サイト数100万を超えるWebアプリケーションファイアウォール(WAF)、ジェイピー・セキュア社のSiteGuardシリーズを、Array AVXとの互換性が確認されたソリューションとして認定するなど、ネットワーク仮想化に積極的に対応していく姿勢をみせている。

2018年6月13~16日、Interop Tokyo 2018に出展されたアレイ・ブースを訪れ、サードパーティ製品とアレイ製品の連携が生み出す相乗効果や、同イベントのBest of Show Awardセキュリティ部門で審査員特別賞を受賞した新製品Array APV x800シリーズの詳細などについて、プロダクトマーケティング部 マネージャー・原田 雄一郎 氏に聞いた。

本格的なネットワーク仮想化時代へ向け、ソフトウェアベンダーとの協業を図る

Array AVXシリーズは、仮想とハードウェア、両方のメリットを併せ持つマルチテナント型アプライアンスだ。1台のAVX上に複数の仮想マシンを起ち上げ、それぞれにAVX本体の物理リソースを競合なく割り振ることで、性能が確保されるという特長を持っている。これらのアドバンテージを活かせば、ネットワークやセキュリティに利用している複数のアプライアンスをAVX1台に集約することも可能だ。仮想マシンの起ち上げや設定、接続はGUIから簡単に行えるので、急な変更にも迅速に対応できる。同様の仮想ネットワーク環境をゼロから作ろうとすれば、相当の時間と労力、そしてCPU pinningやSR-IOV等の高度な専門知識が必要となるが、最初からすべてが揃っているのが、このAVXなのだ。

ユーザーにとっては、必要な機能を仮想化した際に、AVX上で正しく動かせるかどうかが気になるところだが、それを分かりやすく示しているのが「Array Networks Platform-Ready」の認定ロゴマークだ。アレイがAVXでの動作検証を行い、互換性があると証明された仮想アプライアンスやソフトウェアを「Array Networks Platform-Ready」ソリューションとして認定し、このロゴマークを提供している。
「海外製品にはすでにいくつか認定製品がありますが、国産製品としてはSiteGuardが第1号です。今後さらに、サードパーティの認定製品が増えていけば、AVX上で様々な機能を扱えるようになり、ネットワーク機能をいっそうコンパクトにまとめることができるようになるでしょう」

アレイでは今後、SiteGuardの開発元である株式会社ジェイピー・セキュアと共同プロモーションを展開し、双方の市場拡大を目指していくと、原田氏は述べる。
「ソフトウェアベンダー様のなかには『自社のソフトウェアが確実に動作するハードウェア』をお探しのところもあるかと思いますが、この認定プログラムにご賛同いただけるベンダー様には、ぜひ一度、お声がけいただきたく思います。互換性が確認できれば、共同プロモーションを通して互いに市場を拡げられ、WIN-WINの関係を築けるはずです」

アレイ・ネットワークス プロダクトマーケティング部 マネージャー 原田 雄一郎 氏

「Array Networks Platform-Ready」認定ロゴ

ArrayのSSLオフロードとSiteGuard、その相乗効果とは?

「Array Networks Platform-Ready」ソリューションとして認定された製品は、他のアレイ製品とも問題なく連携させることができる。Interop Tokyo 2018では、SiteGuardとアレイのADC製品であるArray APVあるいはその仮想化版Array vAPVを連携させて、SSLオフロードを実現する活用方法が紹介されていた。

原田氏によれば、常時SSL化が進んだことで、現在、全トラフィックの約90%はSSL化されているというが、外部からの通信を安全に受け入れるためには、サーバコンテンツへのアクセスの手前で一旦SSLを複合し、攻撃や侵入ではないことをチェックする必要がある。しかしこれをWebサーバのみで実現すると、パフォーマンスが大幅に低下する恐れがある。そこでアレイでは、Webサーバへアクセスさせる一歩手前にAPVあるいはvAPVを設置し、SSL通信をオフロードさせる方法を提案している。この間にプロキシ型のSiteGuardを置いて安全性のチェックをさせることで、高速かつセキュアな通信を確保することができる。

Array APV / vAPVとSuiteGuardによるSSLオフロード

またAPVはHTTP/2をHTTP/1.1へコンバートする機能も搭載しているため、この形でオフロードすれば、現状ほとんどのWAFが対応していないHTTP/2の内容も精査できるようになる。またSiteGuard搭載のマシンを複数用意して、セキュリティチェックの負荷分散を図ることも可能だ。さらに万が一、SiteGuardがダウンしてしまった時のために、APVであらかじめFail-Open/ Fail-Close(セキュリティチェックが機能しなくなった場合に、通信をすべて許可するか、すべて遮断するか)のポリシー設定をしておくこともできる。
もちろん、vAPVを用いてSiteGuardと共にAVX上に仮想マシンとして統合すれば、1台の筐体でこれを実現できる。
「今後もサードパーティ製品の認定を進め、お互いの活用方法の幅が拡がるような提案をしていければと思っています」

SSL ECC処理の実力が認められた新製品、Array APV x800シリーズ

Interop Tokyo 2018でのもうひとつのトピックは、6月にリリースされたばかりのADC、Array APV x800シリーズが、BEST OF SHOW AWARDのセキュリティ部門で審査員特別賞を受賞したことだ。APV x800は従来機種(APV x600)と比較して、L4/L7の処理性能が40~50%向上しているだけでなく、最新のSSLアクセラレータを搭載することで、ECC(楕円曲線暗号)方式のトランザクション処理もさらに高速化している。OSは8.6から10.2にバージョンアップし、セキュリティ機能も強化された。たとえばOS8.6では専用リビジョンでの提供だった「SSLの見える化」(SSLの複号と再暗号化)機能は標準バージョンで使えるようになった。またL2~L7までのDDoS攻撃防御のために、異様な頻度・接続時間の長いアクセスがあった場合、設定した閾値まで自動でレートを下げる機能、サービスにアクセスするユーザーをLDAPやSAMLといった外部認証基盤と柔軟に連携し精査できる機能(セキュアアプリケーションアクセス:SAA)なども実現されている。

Array APV x800のエントリモデルAPV1800。ミドルレンジモデルや40GEther搭載のハイエンドモデルもラインナップされている

「常時SSL化が進むなか、他社と比較しても抜きんでたSSLの処理性能を持っていること、エントリモデルからハイエンドまで、幅広いラインナップでECC方式のSSL暗号化の高速処理に対応していること、さらにコストパフォーマンスの良さなどを総合的に評価していただけたことが、今回の受賞につながったようです」(原田氏)

常時SSL化に伴うパフォーマンス劣化やセキュリティへの不安に解決策を提示し、これからますます本格化していくネットワーク仮想化の下地づくりに余念のないアレイ。今後の技術開発、製品展開にも注目したい。

[PR]提供:アレイ・ネットワークス