「予測不可能な世界のためのデジタル基盤を提供する」ヴイエムウェアの広範な新発表
vSphere with Tanzu、VMware SASEなど「VMworld 2020」主要発表まとめ
2020年10月12日 07時00分更新
“Intrinsic Security”ビジョンに基づきワークロード保護、SASEなど発表
ヴイエムウェアでは、セキュリティ領域において“Intrinsic Security”というビジョンを掲げている。同社は「本質的なセキュリティ」という訳語を当てているが、よりわかりやすく言えば、自動化されたセキュリティが、あらゆる場所に、あらかじめ組み込まれた“セキュリティが内在する”環境を実現することが目標だ。そのために、同社製品によるセキュリティの“守備範囲”も着実に拡大しつつある。
VMware製品によるセキュリティの“守備範囲”。近年は着実にその範囲を拡大している
今回はまず「VMware Carbon Black Cloud Workload」を発表した(2020年11月発売予定)。これはvSphereとESXiハイパーバイザに組み込まれたエージェントレス型のセキュリティ製品であり、サーバーおよびワークロードを監視/保護対象とする。vCenterプラグインを通じて簡単に導入ができ、6カ月間の無償試用版も用意するという。
Carbon Black Cloud Workloadでは、サーバーやワークロードに対して動的にインベントリ管理を行い、CVEリストに基づいて脆弱性のあるOSやワークロードを検出。脆弱性の重大さに基づき優先度をスコアリングし、vCenterに統合されたダッシュボードで一元的に可視化する。さらにワークロードのハードニングなど異常検知時の自動アクション、監査やイベントクエリといった機能も備える。また、既存製品であるCarbon BlackのEDR(Carbon Black Cloud Endpoint Protection)や次世代アンチウイルスとも連携する。なお今年12月には、Kubernetesワークロードの保護モジュールを含む拡張製品を発表予定だとしている。
「VMware Carbon Black Cloud Workload」の概要。vSphereに組み込まれた形で、OSやワークロードの脆弱性検出と対応優先度付け、可視化と自動アクションなどを行う
Secure Access Service Edge(SASE)の機能を提供する、VMware SASEプラットフォーム」も発表された(2022年度の提供開始予定)。具体的には「VMware SD-WAN」「VMware Secure Access」「VMware NSXファイアウォール」といったヴイエムウェアのクラウドネットワーク/セキュリティ技術と、Menlo SecurityやZscalerのWebセキュリティ技術を連携させ、インターネット上のPOP(接続拠点)でセキュリティサービスを提供するもの。これにより、ユーザーが社内/社外のどこにいても、またアクセス先がクラウド/オンプレミスのどこであっても、ゼロトラストネットワークアクセス(ZTNA)ベースで、ポリシーに一貫性のある接続手段を提供できる。
なおVMware SD-WANは現在、グローバルで130カ所のPOPを展開している。また今回は、SD-WANを流れるアプリケーショントラフィックを解析することで、エッジネットワークのパフォーマンスやエンドユーザー体験の可視化や改善を行う拡張機能「VMware Edge Network Intelligence」も発表されている。
VMware SASEプラットフォームの概要(公式サイトより)。SD-WANの接続拠点(POP)において各種セキュリティを適用するもので、“Firewall as a Service”のNSXファイアウォール、さらにZscalerやMenlo SecurityといったパートナーのWebセキュリティサービスとも連携する
“vSphereを分散システムにする”新プロジェクト「Project Monterey」発表
最後に、将来的なソリューション化を目指す新たなプロジェクト「Project Monterey」についても紹介しておこう。今回のVMworldでは「テクノロジープレビュー」として発表されている(提供開始時期は未定)。
Project Montereyは、ESXiハイパーバイザを機能ごとに“分割”し、ESXiの一部分を「SmartNIC」(Armやx86の汎用プロセッサを搭載するネットワークインタフェースカード)上で稼働させることでホストCPUとの分散処理/オフロードを行う、新しいアーキテクチャの開発に向けた取り組みだ。Intel、NVIDIA、Pensando、Dell Technologies、Hewlet Packard Enterprise、Lenovoといった、SmartNICやサーバーを開発するハードウェアベンダーとのパートナーシップに基づき開発を進める。
Project Montereyは、ESXiハイパーバイザを機能分割し、その一部をSmartNIC上で動かす“分散システム”の構築を目指す
こうした分散処理化を実現することで、ネットワークI/OやストレージI/Oのボトルネック解消とCPUリソースの利用効率化の両立を狙う。さらに、SmartNIC上にファイアウォールなどを実装できるため、Intrinsic Securityビジョンの実現がさらに促進される。加えて、ベアメタルサーバーであってもSmartNIC上にESXiを配置して実行できるため、同じ管理プレーンの下で仮想化/ベアメタル環境のネットワーク、ストレージ、セキュリティを統合管理できるようになるという。
「Project Montereyでは、vSphereを分散システムにしようとしている。I/Oとセキュリティをダイレクトに、ハイパフォーマンスなSmartNIC上に移行させようとしている。4、8、16コア(のSmartNIC上のプロセッサ)でI/Oやセキュリティを向上させて、CPUはワークロード処理にフル活用できる。昨年のVMworldでは(vSphere with Tanzuの元となった)Project Pacificを発表したが、それと同じように、来年のVMworldではProject Montereyの成果が発表できるだろう」(ゲルシンガー氏)
Project Montereyによる次世代インフラ構築の狙い(ブログより)。最初はSmartNICをターゲットにスタートするが、将来的には異なる物理サーバー間でのGPUやFPGAのリソース供給、動的アクセスといったものの実現も視野に入れている
