ホストベースのマイクロセグメンテーションによるSDNとファイアウォールの導入を簡素化

ソフトウェア定義ネットワーキング (SDN) とセグメンテーションは、どちらも自動化を優先するため、同時に議論されることがよくあります。SDNはネットワーキングに関連する多くのタスクを自動化し、最新のセキュリティ侵害のほとんどは自動化されているため、セグメンテーションツールも同様の状況に従う必要があります。さらに、信頼境界は従来、あらゆるクラウドアーキテクチャのネットワーク層に存在すると理解されてきました。SDN コントローラーを使用すると、大規模なネットワーク アーキテクチャを一元的に管理および調整できるため、オーケストレーションを改善するために、これらのコントローラーにセグメンテーションを追加することは理にかなっています。

そうは言っても、SDN の「N」はネットワークを表すことに注意してください。したがって、SDN コントローラーによって展開されるセグメンテーションは、ホストの課題ではなく、ネットワークの課題に焦点を当てるように実装されます。SDN コントローラーは、ホストをネットワーク ファブリックに接続するノードとして従来の方法で表示し、それらのホストで実行されているアプリケーションは、ネットワーク中心のツールではなく、ホスト中心のツールを使用して管理されます。ネットワークツールが、すべてのホストまたはアプリケーションに固有のタスクを管理することはめったにありません。コントローラは、ネットワーク ファブリックでトラフィック転送の決定を適用するためにネットワーク セグメントを作成し、これらの決定は、ネットワーク負荷、遅延、リンク障害、動的ルーティング プロトコル コストなど、ルーターとスイッチに最も関連するメトリックに従って行われます。これらのメトリックは、ホスト固有のセグメンテーション要件に関連することはほとんどありません。

ネットワークセグメンテーションとホストベースのマイクロセグメンテーション

信頼境界を定義する場合、関連するセグメントを作成する場所を決定すると、ホストワークロードを管理するチーム間とネットワークを管理するチーム間の 2 つの並列会話が発生します。どちらのチームも「セグメンテーション」または「マイクロセグメンテーション」という同じ用語を使用しますが、意味は異なります。2つのチームが協力するのではなく、独自のツールを使用して各タイプのセグメントをデプロイおよび管理すると、その結果、アーキテクチャの規模が大きくなるにつれて運用上の制限につながるサイロ化されたアプローチになります。

たとえば、ネットワーク チームがデータセンター SDN ソリューションとして Cisco ACI を導入しているとします。ACI は、独自のメカニズムを使用して、ブリッジ ドメインやエンドポイント グループ(EPG)などのセグメントを作成します。ワークロードは EPG 内に展開され、より小さな「マイクロ EPG」に分割して、より詳細なネットワーク セグメントを作成できます。

ただし、これらは依然としてネットワーク中心のセグメンテーションの概念です。たとえば、データセンターに 10 台のホストがある場合、Cisco ACI で 10 個の EPG セグメントを作成するだけで、各ホストに信頼境界を適用できます。ただし、ワークロードが 100 または 1,000 の場合、ホストごとに 100 または 1,000 の EPG セグメントを作成することは運用上非現実的です。SDN コントローラーを使用して同じ数のネットワーク セグメントとホストを作成しても、スケーリングできません。

SDN ソリューションは、 ネットワーク セグメンテーション の優先順位に対処するために独自のセグメントを作成しますが、個々のホストをセグメント化するには、ホストベースのアプローチを検討する必要があります。

SDN およびオーバーレイ ネットワーク

SDN の利点の 1 つは、ネットワーク トポロジがルーターやスイッチの物理トポロジーに依存しなくなったことです。VXLAN や GENEVE などのトンネリング プロトコルは、ネットワークの仮想化に使用されます。データセンターのコンピューティングおよびストレージリソースとほぼ同じ方法でネットワークを仮想化できるため、これらのトンネリング方式を使用して、ネットワークパスとリンクをプログラムで定義できるようにし、コントローラが物理インフラストラクチャを変更することなく、必要に応じてネットワークトポロジーを迅速に再構成できるようにします。これにより、パブリッククラウドネットワークファブリックでネットワークが仮想化されるのと同様に、オンプレミスデータセンターのネットワークファブリックを仮想化できます。

VXLANなどのオーバーレイネットワークには1,600万を超える多数の一意のIDがあるため、これらのIDを使用して、SDNコントローラがネットワーク上のすべてのホストにセグメントを割り当てることができるマイクロセグメンテーションアーキテクチャを作成したいと思うことがあります。ただし、SDNコントローラは個々のホストでVXLANセグメントを終端しません。これらの一意の ID はすべて、レイヤー 3 フレーム内でのレイヤー 2 パケットのカプセル化など、ネットワークの課題を解決するために SDN コントローラーによって使用されます。すべてのホストでマイクロセグメンテーションを有効にするには、ネットワークに展開され、ネットワーク タスクに重点を置いている外部 SDN コントローラーではなく、ホスト自体でメカニズムを有効にする必要があります。

ホストレベルのツールはSDNにどのように役立ちますか?

ほとんどのSDNソリューションの課題は、アプリケーションフローの可視性です。アプリケーションの観点からアプリケーションの動作を判断できることは、ネットワーク ツールにとって課題です。SDN コントローラーは、ネットワーク トポロジ、ネットワーク セグメント、IP アドレス、トラフィック メトリックを詳細に可視化できますが、たとえば、SQL サーバーと Web サーバー間の動作と必要なネットワーク リソースを明確に把握することは、多くの場合、SDN コントローラーでは容易ではありません。ネットワーク上のアプリケーション間の動的な要件を知ることは、スケーラブルなクラウドアーキテクチャを設計するために必要です。

IllumioのようなホストベースのソリューションをSDNアーキテクチャを使用するデータセンターに展開する場合、ホスト固有の要件に対応するネットワークリソースの設計を支援するために、 アプリケーション依存関係マップなどのマッピング機能を探す必要があります。イルミオはあらゆるSDNソリューションと共存し、アプリケーション依存関係マップはホスト固有のセグメントを定義するために使用されますが、この同じマップにより、ネットワークがSDNコントローラーによって展開および管理されるときのアプリケーション要件を明確に把握できます。

ホストベースのマイクロセグメンテーションとネットワークレベルのセグメンテーションは、それぞれ異なる要件に対応するため、共存できますし、共存する必要があります。ホストベースのアプローチを実装することで、SDNソリューションがあらゆるクラウドアーキテクチャでネットワークリソースを保証できるアプリケーションレベルの可視性機能が提供されます。

ホストベースのマイクロセグメンテーションに対するイルミオのアプローチの詳細については、https://www.illumio.com/solutions/micro-segmentation をご覧ください。