ネットワークインフラストラクチャの課題

クラウドへの移行に関する検討事項

クラウドへの移行は、一気に行えるようなものではありません。単一のクラウドプロバイダーを採用できる企業は限られており、パブリッククラウド、プライベートクラウド、オンプレミスインフラストラクチャを組み合わせるしかない企業の方が圧倒的に多いのです。

異機種混在のインフラストラクチャを維持することには、さまざまな理由と利点があります。しかし、そのインフラストラクチャをサポートするネットワークについては異なります。

  • セキュリティのためのファイアウォール、DDoS対策、ユーザーアクセス管理
  • パフォーマンス&信頼性のための負荷分散、トラフィック加速化、WAN Optimization

矛盾する話ですが、複雑なクラウド環境を保護して高速にするハイブリッドなアプローチは、実際のところ、パフォーマンスの問題、セキュリティの欠陥、サポートに伴う問題を引き起こします。こうした問題を回避するために、ITとセキュリティチームはこうしたさまざまなネットワーク機能を可能な限りシームレスに運用する方法を見つけなければなりません。

セキュリティとパフォーマンスのインフラストラクチャ - モデルと一般的な課題

ハイブリッドクラウドとマルチクラウドインフラストラクチャの保護とスピードアップには、通常、以下のどちらか1つまたは両方が必要となります。

  • オンプレミスのハードウェアアプライアンス
  • クラウドに実装する複数のポイントソリューション

残念なことに、どちらのアプローチもかなりの問題を引き起こします。

オンプレミスのハードウェアアプライアンスの課題

データセンターのハードウェアには、コストと時間がかかるものだというのは一般常識です。多くの場合、容量制限にも直面します。たとえば、Cloudflareの調査では、2020年第2四半期に発生したレイヤー3/4 DDoS攻撃の76%が最大100万パケット/秒(pps)で実行されたことが分かりました。通常、1 GbpsのEthernetインターフェースは、8万から150万 ppsの範囲で送信できます。

インターフェースも正当なトラフィックを送信すると仮定すると、こうした「小さい」パケットレートのDDoS攻撃であっても、簡単にインターネットプロパティに危害を加えることができます。最悪の場合に備えて、十分な容量を維持することが代替案として考えられますが、コストがかさみます。

ハードウェアもセキュリティ上の欠陥を引き起こします。その一例が、パッチとアップデートです。パッチはマニュアルでの実装に依存しますが、物流上の遅延や不注意などのためにすぐにインストールされないことがあります。そしてパッチは一度リリースされると、修正される脆弱性が日和見的なのサイバー攻撃に悪用される可能性が高くなります。

さらに、ハイブリッドクラウドアプローチで、ネットワークハードウェアアプライアンスをデプロイすると、セキュリティ上の欠陥を引き起こします。サードパーティのクラウドプロバイダーに、自社のハードウェアをインストールするのは、明らかに不可能です。つまり、インフラストラクチャのさまざまな部分が違う方法で保護されるため、セキュリティチームとITチームにとっては、攻撃と正規トラフィックに対する可視性と管理能力が低下するということです。

特定のクラウドベースソリューションにおける課題

クラウドベースのサービスは、ハードウェアよりも総所有コストが低いですが、正しくデプロイされないと、アプリケーションとネットワークのパフォーマンスが下がることがあります。たとえば、多くのサービスが限られた数の専用データセンターに依存しています。その一例が、DDoS対策のためのスクラビングセンターです。企業やそのエンドユーザーがこうしたデータセンターの近辺にない場合、最終的な宛先が近くであったとしても、トラフィックは到達するまで長距離を迂回しなければなりません。

このバックホール処理は、かなりのレイテンシーをもたらす可能性があります。そして、問題は企業がネットワーク機能ごとに異なるプロバイダーを利用している場合、トラフィックが宛先に到達する前に多くのネットワークをホップする必要があります。

機能ごとに異なるプロバイダーを利用することは、サポート上の問題が生じる原因ともなります。何か問題が生じた時、どのプロバイダーが輻輳や停止の原因であるかを判別するのが難しいことがあります。その上、すべてのプロバイダーを管理するために必要となる時間(そして経費)が大きくのしかかってきます。

企業は、こうした問題をどう回避したらいいのでしょうか。

分散型のクラウドネットワークがセキュリティの欠陥を補い、レイテンシーを短縮する

クラウドインフラストラクチャの保護と高速化のための戦略は、以上に説明した通り、共通の弱点があります。

  • パフォーマンスの問題:複数のサービスに使用される複数のクラウドネットワークを介してトラフィックが配信される時、特にクラウドベースサービスがレイテンシーを引き起こす可能性があります。その一方で、ハードウェアは容量に制限があります。
  • 一貫性に欠ける制御と監視:ネットワーク機能ごとに別のサービスを使うと、一貫したルールを適用したり、全体的なトラフィックを監視することが難しくなります。
  • サポート:別々のサービスを使用すると、問題箇所を診断するのが難しくなります。

こうした問題のすべてを解決するのは、こうしたネットワーク機能をできるだけシームレスに世界中で運用するための統合とグローバルリーチです。

現実的には、これは分散型クラウドネットワークの利用を指します。分散型クラウドネットワークとは次のようなネットワークです。

  • グローバルに分散された多くの接続拠点(ポイントオブプレゼンス)。エンドユーザーが常にネットワークの近くに存在するため、遠隔のスクラビングセンター、VPNサーバー、他のサービスとの間を行ったり来たりするトラフィックが引き起こすレイテンシーが排除されます。
  • 各接続拠点で複数のセキュリティとパフォーマンス機能を実行する能力。各機能のために1つのロケーションから他のロケーションへと移動させる(冗長性を生む)のではなく、単一のデータセンターでトラフィックをスクラブしたりルーティングしたり、そして高速化したりできる能力を意味します。1つのデータセンターが過負荷になった場合やダウンした場合、他のデータセンターは即座に引き継ぐことができます。
  • クラウドとオンプレミスインフラストラクチャの両方で動作する能力。上述の機能とこの機能によって、ITとセキュリティチームは1つの場所からグローバルなトラフィックに対して一貫性のある管理を設定し、監視をすることができます。

分散型クラウドネットワークはAnycastを使用することが多くあります。Anycastとは、受信したリクエストをさまざまな場所または「ノード」に転送できるネットワークのアドレスを指定し、ルーティングする方式です。Anycastは、こうしたネットワークがリクエストを直近で効率的に処理できるよう、トラフィックをルーティングします。これは、エンドユーザーにとってレイテンシーを短縮する上で不可欠なコンポーネントです。

このような相互接続、インテリジェントなルーティング、冗長性があれば、一貫性のない管理やレイテンシー、サポートの問題といった課題がクラウド移行への道を阻害する可能性はかなり低くなります。

Cloudflareの分散型クラウドネットワークは、世界100+ か国、200都市以上にデータセンターを擁し、それぞれがファイアウォールルールの適用、DDoS攻撃の軽減、トラフィックの負荷分散、エンドユーザーへの迅速な配信のためのコンテンツのキャッシュなどを可能にしています。

このトピックを深く掘りさげてみましょう。ネットワーク機能をハードウェアからクラウドに移行するセキュリティ戦略をネットワークハードウェアの終焉(ホワイトペーパー)でお読みください。

この記事は、現代のテック企業の意思決定者に影響を与える最新のトレンドとトピックをお届けするシリーズの一部です。