ネットワークインフラストラクチャの課題
クラウドへの移行に関する検討事項
クラウドへの移行は、一気に行えるようなものではありません。単一のクラウドプロバイダーを採用できる企業は限られており、パブリッククラウド、プライベートクラウド、オンプレミスインフラストラクチャを組み合わせるしかない企業の方が圧倒的に多いのです。
異機種混在のインフラストラクチャを維持することには、さまざまな理由と利点があります。しかし、そのインフラストラクチャをサポートするネットワークについては異なります。
セキュリティのためのファイアウォール、DDoS対策、ユーザーアクセス管理
パフォーマンス&信頼性のための負荷分散、トラフィック加速化、WAN Optimization
矛盾する話ですが、複雑なクラウド環境を保護して高速にするハイブリッドなアプローチは、実際のところ、パフォーマンスの問題、セキュリティの欠陥、サポートに伴う問題を引き起こします。こうした問題を回避するために、ITとセキュリティチームはこうしたさまざまなネットワーク機能を可能な限りシームレスに運用する方法を見つけなければなりません。
セキュリティとパフォーマンスのインフラストラクチャ - モデルと一般的な課題
ハイブリッドクラウドとマルチクラウドインフラストラクチャの保護とスピードアップには、通常、以下のどちらか1つまたは両方が必要となります。
オンプレミスのハードウェアアプライアンス
クラウドに実装する複数のポイントソリューション
残念なことに、どちらのアプローチもかなりの問題を引き起こします。
オンプレミスのハードウェアアプライアンスの課題
周知の通り、データセンターのハードウェアにはコストと時間がかかります。多くの場合、容量にも限界があります。例えば、Cloudflareレポートによれば、2021年第4四半期に発生したレイヤー3/4へのDDoS攻撃は、98%が最大100万パケット/秒(pps)で実行されています。通常、1GbpsのEthernetインターフェースで送信できるのは、8万ppsから150万ppsの範囲です。
インターフェースも正当なトラフィックを送信すると仮定すると、こうした「小さい」パケットレートのDDoS攻撃であっても、簡単にインターネットプロパティに危害を加えることができます。最悪の場合に備えて、十分な容量を維持することが代替案として考えられますが、コストがかさみます。
ハードウェアもセキュリティ上の欠陥を引き起こします。その一例が、パッチとアップデートです。パッチはマニュアルでの実装に依存しますが、物流上の遅延や不注意などのためにすぐにインストールされないことがあります。そしてパッチは一度リリースされると、修正される脆弱性が日和見的なのサイバー攻撃に悪用される可能性が高くなります。
さらに、ハイブリッドクラウドアプローチで、ネットワークハードウェアアプライアンスをデプロイすると、セキュリティ上の欠陥を引き起こします。サードパーティのクラウドプロバイダーに、自社のハードウェアをインストールするのは、明らかに不可能です。つまり、インフラストラクチャのさまざまな部分が違う方法で保護されるため、セキュリティチームとITチームにとっては、攻撃と正規トラフィックに対する可視性と管理能力が低下するということです。
特定のクラウドベースソリューションにおける課題
クラウドベースのサービスは、ハードウェアよりも総所有コストが低いですが、正しくデプロイされないと、アプリケーションとネットワークのパフォーマンスが下がることがあります。たとえば、多くのサービスが限られた数の専用データセンターに依存しています。その一例が、DDoS対策のためのスクラビングセンターです。企業やそのエンドユーザーがこうしたデータセンターの近辺にない場合、最終的な宛先が近くであったとしても、トラフィックは到達するまで長距離を迂回しなければなりません。
このバックホール処理は、かなりのレイテンシーをもたらす可能性があります。そして、問題は企業がネットワーク機能ごとに異なるプロバイダーを利用している場合、トラフィックが宛先に到達する前に多くのネットワークをホップする必要があります。
機能ごとに異なるプロバイダーを利用することは、サポート上の問題が生じる原因ともなります。何か問題が生じた時、どのプロバイダーが輻輳や停止の原因であるかを判別するのが難しいことがあります。その上、すべてのプロバイダーを管理するために必要となる時間(そして経費)が大きくのしかかってきます。
企業は、こうした問題をどう回避したらいいのでしょうか。
分散型のクラウドネットワークがセキュリティの欠陥を補い、レイテンシーを短縮する
クラウドインフラストラクチャの保護と高速化のための戦略は、以上に説明した通り、共通の弱点があります。
パフォーマンスの問題:複数のサービスに使用される複数のクラウドネットワークを介してトラフィックが配信される時、特にクラウドベースサービスがレイテンシーを引き起こす可能性があります。その一方で、ハードウェアは容量に制限があります。
一貫性に欠ける制御と監視:ネットワーク機能ごとに別のサービスを使うと、一貫したルールを適用したり、全体的なトラフィックを監視することが難しくなります。
サポート:別々のサービスを使用すると、問題箇所を診断するのが難しくなります。
こうした問題のすべてを解決するのは、こうしたネットワーク機能をできるだけシームレスに世界中で運用するための統合とグローバルリーチです。
実際は、これは通常、分散型クラウドネットワークの利用を意味します。分散型クラウドネットワークとは次のようなネットワークです。
グローバルに分散された多くの接続拠点(ポイントオブプレゼンス)。エンドユーザーが常にネットワークの近くに存在するため、遠隔のスクラビングセンター、VPNサーバー、他のサービスとの間を行ったり来たりするトラフィックが引き起こすレイテンシーが排除されます。
各接続拠点で複数のセキュリティとパフォーマンス機能を実行する能力。各機能のために1つのロケーションから他のロケーションへと移動させる(冗長性を生む)のではなく、単一のデータセンターでトラフィックをスクラブしたりルーティングしたり、そして高速化したりできる能力を意味します。1つのデータセンターが過負荷になった場合やダウンした場合、他のデータセンターは即座��に引き継ぐことができます。
クラウドとオンプレミスインフラストラクチャの両方で動作する能力。上述の機能とこの機能によって、ITとセキュリティチームは1つの場所からグローバルなトラフィックに対して一貫性のある管理を設定し、監視をすることができます。
分散型クラウドネットワークはエニーキャストをよく使用します。エニーキャストはネットワークアドレス指定とルーティングの方式で、着信リクエストをさまざまな場所(「ノード」)にルーティングできます。ネットワークはエニーキャストによって、リクエストを効率的に処理できる容量の直近ノードへトラフィックをルーティングします。エンドユーザーにとっては、遅延短縮に不可欠なコンポーネントです。
このような相互接続、インテリジェントなルーティング、冗長性があれば、一貫性のない管理やレイテンシー、サポートの問題といった課題がクラウド移行への道を阻害する可能性はかなり低くなります。
Cloudflareの分散型クラウドネットワーク は、世界120か国、330都市以上にデータセンターを擁し、各センターごとにファイアウォールルールの適用、DDoS攻撃の軽減、トラフィックの負荷分散、エンドユーザーへの迅速な配信のためのコンテンツキャッシュなどの機能を実行できます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事を読めば、以下が理解できます。
異機種混在のインフラストラクチャの利点と弱点
オンプレミスハードウェアや複数のクラウド配信型ポイントソリューションの問題点
分散型クラウドネットワークで、それらの問題がどう解決するか