動的なポリシー適用、サードパーティ連携で「ユーザー体験/セキュリティ/洞察」を進化させる
HPE Arubaの「Mobile First Platform」は何を狙うのか?
2016年10月17日 07時00分更新
MFPコンセプトに基づき、ArubaOSやClearPassが機能強化
前回記事でも触れたとおり、MFPとは何らかの新製品ではなく、機能アップデートされた複数のAruba製品により構成されるソフトウェアレイヤーのコンセプトだ。以下、MFP関連の新機能を中心に、主要製品の具体的なアップデート内容を見ておこう。
ArubaOS 8.0で提供される特徴的な新機能群
無線/有線LANコントローラーOSの最新版である「ArubaOS 8.0」では、エッジネットワークインフラで得られるコンテキスト情報をサードパーティ製品に提供できるノースバウンドAPIが追加された。前述したMFPのコンセプトに沿ったアップデートと言える。また、Policy Enforcement Firewallのアプリケーション識別/制御機能である「AppRF」において、カスタムアプリケーションのシグネチャを作成し、識別/制御できるようになっている。
認証サーバーであり、コンテキスト情報を収集/分析/提供する基盤となる「Aruba ClearPass」では、IoTデバイスのセキュアな有線接続を可能にする「OnConnect」機能が追加されている。今後、膨大な数がネットワーク接続されることになるIoTデバイスだが、その多くは802.1x認証に対応していない。そこで、ネットワーク側から接続されたIoTデバイスを識別し、適切なポリシーを適用しようというのがOnConnectだ。
具体的には、接続されたIoTデバイスのMACアドレスなどの情報(フィンガープリント)から、そのデバイスが何なのかを識別して、適切なポリシーを自動適用する。基調講演のデモでは、ポリコムのIP電話機やAppleTVなどをスイッチに接続すると、ClearPassが自動的に識別し、ポリシーに従って適切なVLANへの接続が許可される様子が披露された。
AppleTVをスイッチに接続すると、ClearPass/OnConnectがデバイスを自動識別して適切なポリシーが適用された
さらにOnConnectの重要なポイントは、「未知の」IoTデバイスの接続管理にも対応している点だ。これから膨大な業種向けの、膨大な種類のIoTデバイスが登場してくる中では、接続されるIoTデバイスが「未知」であるケースのほうが多いだろう。
既知のIoTデバイスリストにないデバイスが接続された場合、ClearPassはそのデバイスをいったんネットワーク上で隔離し、管理者の判断を仰ぐ。管理者は、そのデバイスのカテゴリを決定し、どのポリシーを適用するかを決める。このデバイスはフィンガープリント付きで登録されるため、いったん登録すれば次回からは自動的にポリシーが適用される。
未知のIoTデバイスが接続された場合は、隔離したうえで管理者による登録(適用ポリシーの指定)を促す
なお、ClearPassとサードパーティのクラウドサービスとを接続/統合するために、新たに「ClearPass Extensions」も提供される。これは、ClearPass/サードパーティサービスのAPIを結合するためのオンラインリポジトリだ。たとえばインテル セキュリティ(マカフィー)の「ePolicy Orchestrator(ePO)」、マイクロソフトの「Intune」、そのほかにも多要素認証の「Kasada」などと、このClearPass Extentionsを通じて機能連携できるようになるという。
ソフトウェアドリブンなインフラに備え、プログラミングスキルの向上を
基調講演のまとめとして、メルコート氏は「MFPによって新しいユースケース、新しいエクスペリエンスが生まれる可能性は、皆さんのイマジネーションの限り無限にある」と語り、MFPを通じたコンテキスト情報の活用を呼びかけた。
「これまでのエンジニアは、ネットワーク設定のためのCLIの習得に時間を費やしてきた。だが、これからはCLI(による静的な設定)ではなく、もっとソフトウェアドリブンなインフラが実現してくる。その中で、エンジニアにはプログラミングの能力が求められるようになってくる。その能力を今から磨いておいてほしい」(メルコート氏)
なお、Arubaユーザーの技術コミュニティである「Airheads」には、現在およそ5万人の会員がいるという。さらに、サードパーティ/パートナー向けのDeveloperコミュニティも別途始動しており、これからエコシステムの拡大に注力していくと述べている。
