ヴイエムウェアが狙うネットワークとセキュリティ領域の刷新

2019年10月01日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　米ヴイエムウェアが2019年8月末に開催した「VMworld 2019 US」。そこで披露されたコンテナ領域、ハイブリッド／マルチクラウド領域の新発表や戦略についてはこれまでの記事でお伝えしてきたとおりだ。

　だが、今回のVMworldでクローズアップされたのはそれだけではない。同社では今年6月にソフトウェアロードバランサーのAvi Networks（アヴィネットワークス）の、またVMworld直前の8月にはエンドポイントセキュリティのCarbon Black（カーボンブラック）の買収合意を発表しており、ネットワークとセキュリティの領域においても、他社とは一線を画すコンセプトと市場ポジショニングで展開していく方向性を強調した。

“Virtual Cloud Networking”ビジョン。VMware NSX製品を中核として、あらゆるクラウドとネットワークを一貫した形で結びつける

“Virtual Cloud Networking”ビジョン、「NSX-T 2.5」はクラウドネイティブ強化

　まずはネットワークの領域から見てみたい。基調講演の中でCEOのパット・ゲルシンガー氏は、昨年のVMworldでも披露した“Virtual Cloud Networking”ビジョンを取り上げた。

　「Virtual Cloud Networkingは、VMware NSXを中核に据えて、あらゆるクラウドを一貫した形で結びつけるというコンセプトだ。これが、皆さんのマルチクラウドジャーニーの基盤（Fabric）になる」（ゲルシンガー氏）

　前回記事でも説明したように、ヴイエムウェアのハイブリッド／マルチクラウド戦略における重要なコンセプトが「一貫性」だ。Virtual Cloud Networkingの狙いは、これをネットワークの領域で実現することにある。具体的にはSoftware-Defined Network（SDN）のテクノロジーを適用することで、ワークロードがどんな環境にあっても、ネットワークのコネクティビティや運用、監視／インサイト、そしてセキュリティに「一貫性」をもたらすことを目標としている。こうした一貫性は、主にハードウェアベースで構成されてきた旧来のネットワークでは実現できなかったものだ。

　ビジョンの中核をなすVMware NSXの導入社数は、VMworld時点で昨年（7500社）の2倍近くとなるおよそ1万3000社に達しているという。またエンタープライズ領域ではFortune 100企業の88％が、テレコム領域では通信事業者トップ10の8社が採用している。ゲルシンガー氏は、ヴイエムウェアの顧客企業2000社を調査したところ、NSXを導入することで、CAPEX（導入コスト）が平均で59％、OPEX（運用コスト）が55％も節減できることがわかったと語る。

ハードウェア構成のネットワークをNSXでソフトウェア化することで、導入／運用コストを大幅に削減できるとアピール

　そして今回のVMworldでは、最新版となる「NSX-T 2.5」が発表された。パフォーマンス向上、FIPS 140-2コンプライアンス準拠といった機能強化点があるが、注目されるのは「Native Cloud Enforcementモード」だろう。これは、パブリッククラウド上のインスタンスにNSXエージェントをインストールする従来の方式（NSX Enforcementモード）ではなく、各クラウドがネイティブで備えるネットワーク管理機能を使って、NSXのポリシーを適用するというものだ。これにより、パブリッククラウドにおいても、オーバーヘッドを生じさせることなく一貫したポリシーが適用できる。

AzureにNSXの「Native Cloud Enforcementモード」を適用した例。NSXで設定したポリシールールがAzureのルールに変換されている（画像は公式ブログより）

NSXにソフトウェアロードバランサー／ADC追加、さらに「NSX Intelligence」も発表

　ヴイエムウェアではNSXのポートフォリオ拡充も進めている。3年前にはSD-WANソリューションのVeloCloudを買収したが、現在「VMware SD-WAN by VeloCloud」は15万以上の顧客サイトを接続するSD-WAN市場トップの位置付けとなっている。ゲルシンガー氏は「NSXポートフォリオは引き続き拡張していく」と述べ、Avi Networksの買収により加わったソフトウェアロードバランサー／ADC（Application Derivery Controller）／WAF（Web Application Firewall）の「VMware NSX Advanced Load Balancer」を発表した。

　「これはマルチクラウドへのロードバランシングやWAFの機能を提供し、NSXのSoftware-Definedアーキテクチャを完璧に補完してくれる製品だ。（Avi Networksの）顧客企業の90％は、この製品によってプロビジョニングが改善されたと証言している」（ゲルシンガー氏）

NSXポートフォリオにソフトウェアロードバランサー／ADCが追加された

　ネットワーキング／セキュリティ部門のSVP兼GMであるトム・ギリス氏は、これまでロードバランサーは「データセンターにおける“最後の専用ハードウェア”」として存在してきたが、ピークトラフィックに合わせたサイジングが必要なために「平常時は80％ものマージン（余裕）を持たせなければならず、無駄が多くコストが高くついていた」と語る。NSX Advanced Load Balancerでは、中央のコントロールプレーンでステートを維持しつつ、分散型のステートレスなワーカーノード（データプレーン）で実際のトラフィック処理を行うアーキテクチャによって、柔軟なスケールアウト／インを可能にしているという。

ヴイエムウェアネットワーキング／セキュリティ部門SVP兼GMのトム・ギリス（Tom Gillis）氏

　ちなみにロードバランサーやWAFをSoftware-Defined化し、各サーバー上に分散配置することで、データセンター内の“East-West”トラフィックも効率化されるメリットがあると、ギリス氏は説明する。これまでのように、サーバー間通信においていったん外部のネットワークハードウェアを経由させる必要がなくなるからだ。

　「（NSXのアーキテクチャでは）ロードバランサーでもWAFでも、トラフィックをそれらのハードウェアに持っていく（パケットを転送する）のではなく、それらの機能をトラフィックのあるところ、つまりアプリケーションのそばに持っていく。これは効率的な考え方だ」（ギリス氏）

ギリス氏の示した模式図。従来はいったん外部機器（ロードバランサーなど）を経由してサーバー間通信を行っていたが、その機能を各サーバー内に分散配置することで効率化される。また外部機器の台数も削減できる

　もうひとつ、今回は「VMware NSX Intelligence」も発表された。これはNSX-Tに組み込まれた分散型の分析エンジンであり、「VMware vRealize Network Insight」と連携してデータセンター全体に及ぶパケットレベルでのトラフィック可視化や深いインサイト、高度なネットワークセキュリティを実現するものだという。ギリス氏は、上述したロードバランサーと同じように「パケットのあるところにアナリティクス（の機能）を持っていく」アプローチだと説明する。

　「NSX Intelligenceを使えば、たとえば『どのマシンどうしが通信しているのか』というレベルではなく『どのマシンのどのプロセスがこのマシンにつながっているのか』といった非常に詳細なことまでがわかる。そうすると、たとえば攻撃者が侵入して不正な操作を行っているような場合でも、コンテクストからそれを見つけることができる」（ギリス氏）

　なお2日目基調講演ではNSX Intelligenceのデモも披露された。システム（クラスタ）間の通信状況や保護状況が可視化され、ドリルダウンしてより詳細な情報も確認できるほか、機械学習に基づくレコメンデーション機能によって、追加設定すべきファイアウォールポリシーも自動生成された。推奨ポリシーの設定前に、設定後の状態をシミュレーションする機能も備えている。