ネットワーク仮想化のプラットフォーム「VMware NSX」
VMware NSXは、ネットワークコンポーネント(スイッチ、ルータ、ファイアウォール、ロードバランサなど)を、ソフトウェアで提供するネットワーク仮想化のプラットフォームです。
ネットワークリソースは物理ハードウェアから分離されるので、柔軟かつ迅速にネットワークを構成することができます。
これまでネットワーク管理者を悩ませていた、物理機器による制限や設定の煩雑さから解放されるので、運用工数を劇的に削減することが可能です。
- ネットワーク構成を自由かつ安全にするネットワーク仮想化
- マイクロセグメンテーションによる拡散防止型セキュリティ
- オンプレミスやクラウドなどの環境をまたいだ一元管理
物理ネットワークの抱える課題とネットワーク仮想化の概要
リソース管理と提供スピードに課題を抱える従来の物理ネットワーク
クラウドの浸透やDX推進に伴い、企業のITインフラはオンプレミスとパブリッククラウド、仮想化、さらにコンテナ化など複雑化しています。これらの技術には必ずネットワークやセキュリティの設定が必要になりますが、スイッチ・ロードバランサー・サンドボックスなど、設定する機能ごとに製品や設備は異なります。
それぞれを管理するための手間やコストは、ネットワークの複雑性と比例して高くなります。また、ネットワークは変更に伴う業務影響が非常に大きく、関係者間での業務調整や休日対応を経て作業が実行されるため、ユーザーが必要なタイミングですぐにネットワーク設定が行えず、クラウド活用やアプリケーション開発といったITインフラ管理における大きなボトルネックとなっています。
物理ネットワークの課題については、以下の記事でもご紹介しています。
迅速なネットワーク提供と強固なセキュリティを実現するネットワーク仮想化
こうしたネットワークにまつわるさまざまな課題を解決し、より柔軟かつ効率的な運用を実現する手段として登場したのが、ネットワーク仮想化技術です。ネットワーク仮想化はSDN(Software-Defined Network)とも呼ばれているように、ネットワークやセキュリティの機能をソフトウェアによって抽象化し、統合管理および制御を行います。
ネットワーク仮想化によってネットワークの制約がなくなり、必要なタイミングで必要なネットワークリソースを安全に払い出すことが可能になります。ネットワーク仮想化による俊敏性や柔軟性は、企業のITインフラ運用やマルチクラウド戦略に大きく貢献します。
ネットワーク仮想化については、以下の記事でもご紹介しています。
ネットワーク仮想化によるセキュリティ強化
ネットワーク仮想化は物理ネットワークに依存しない設定が可能のため、セキュリティ設定を詳細に設定することが可能です。例えば、従来はネットワーク単位で制御していたセキュリティセグメントを、仮想マシン単位に最小化して安全性を高める「マイクロセグメンテーション」を導入すれば、攻撃の内部拡散によってセキュリティ被害をもたらす「標的型攻撃」などの拡散を防ぎ、横展開するサイバー攻撃から企業を守ることができます。
また、ネットワーク側とエンドポイント側で検知した不審な通信や分析情報を連携させ、それに応じてネットワークのセキュリティポリシー変更に対応していく「XDR(Extended Detection and Response)」を実現することも可能です。
マイクロセグメンテーションについては、以下の記事でもご紹介しています。
「VMware NSX」とは?
VMware NSXは、ソフトウェアによってオーバーレイ・ネットワークを構成して、ルーティングやファイアウォール、ロードバランサーなど、さまざまなネットワーク機能を仮想的なリソースとして提供します。
VMwareはサーバー仮想化によって得られたメリットをストレージやネットワーク、管理に拡張し、データセンター自体をソフトウェアにより仮想化するSDDC(Software-Defined Data Center)を推進することで、データセンターを構成している多様な要素を物理的な制約から解放してきました。
VMware NSXは、このSDDCを実現するコアテクノロジーの一つに位置付けられているものです。
VMware NSXのコンセプトについては、以下の記事でもご紹介しています。
NSXネットワークをさらに強化する「VMware NSX Advancedシリーズ」
VMware NSXはネットワーク仮想化を実現する「VMware NSX-T Data Center」を中心に、マルチクラウド対応のソフトウェアADC「VMware NSX Advanced Load Balancer」、機械学習の活用でセキュリティを強化する「VMware NSX Advanced Threat Prevention」といった製品が展開されています。
これらを組み合わせることで、クラウド時代に必要なネットワークソリューションを提供します。
ネットワーク仮想化を実現する「VMware NSX-T Data Center」
NSX-TはVMware vSphereを用いた仮想基盤はもとよりKVMやベアメタル、さらにはクラウド(AWS、Azure)など多様な環境に対応し、単一に管理できるネットワーク仮想化ソフトウェア製品です。
VMware NSX-Tの概要については、以下の記事でもご紹介しています。
VMware NSXが基本がまるわかり!「マンガSDN講座」シリーズ
VMware NSX の入門コンテンツとして、以下の「マンガSDN講座」シリーズでもご紹介しています。
VMware NSX for vSphere とは?
VMware NSX for vSphere は、以前よりVMware社が提供してきたvSphere環境向けのネットワーク仮想化製品です。現在NSX製品は、vSphere環境以外のネットワーク仮想化を実現できる「VMware NSX-T Data Center」が後継製品として提供されています。「ソフトウェア定義の仮想ネットワーク」というコンセプトに変化はありません。
VMware NSX-TとVMware NSX for vSphere の違いについては、以下の記事でもご紹介しています。
「VMware NSX-T Data Center」の主な機能
NSX-Tは、VMware vSphereを用いた仮想基盤はもとよりKVMやベアメタル、さらにはクラウド(AWS、Azure)など多様な環境に対応し、単一に管理できるネットワーク仮想化ソフトウェア製品です。ここでは、NSX-T の代表的な機能をご紹介します。
NSX-Tが実現するオーバーレイネットワークは、物理ネットワーク構成に依存しない論理的な仮想ネットワーク「オーバーレイネットワーク」を構築します。
これにより、ネットワークの構成変更時もアンダーレイ・ネットワーク(物理機器)の設定を変更することなく、仮想ネットワークに対する設定や機能の追加・変更を迅速に実行することが可能です。
NSX-Tが提供する「分散ファイアウォール(DFW)」では、仮想マシンが持つ仮想NIC単位で仮想的なファイアウォールを設定することで、セキュリティゾーンを可能な限り小さくして拡散範囲を狭める「マイクロセグメンテーション」を実現可能です。
これまでの境界防御の仕組みでは不可能だった最小単位のセキュリティ対策により、セキュリティ脅威がネットワーク全体に拡散するのを防ぎます。
NSX-T はオンプレミスのデータセンターから複数のパブリッククラウドをまたぎ、仮想マシンはもとよりコンテナ、ベアメタルサーバーまで多様なインフラ上で稼働しているワークロードをすべて接続することができます。
単一の管理画面から一貫性のあるネットワークおよびセキュリティのポリシーを適用することで、あらゆるワークロードを包括した、シームレスでセキュアなソフトウェアベースのネットワークレイヤーを実現することができます。
「VMware NSX-T Data Center」のエディション
VMware NSX-T Data Center には3種類のライセンスがあります。マイクロセグメンテーションを実現する「Professional」、コンテナやマルチサイトにも対応した「Advanced」、可視化や運用を強化できる「Enterprise Plus」といった特徴があります。
VMware NSX-Tの機能 | VMware NSX-T Data Center Professional | VMware NSX-T Data Center Advanced | VMware NSX-T Data Center Enterprise Plus |
---|---|---|---|
分散スイッチと分散ルーティング | |||
NSX Edge ファイアウォール | |||
NSX Edge NAT | |||
ECMPダイナミックルーティング (アクティブーアクティブ) | |||
クラウドマネジメント プラットフォームとの連携 (L2, L3, NSX Edge Integration Only.) | |||
分散ファイアウォール | |||
VPN (L2 および L3) | |||
NSX Cloudとの連携 (日本国内でのNSX Cloudの展開は未定) | |||
NSX Edge ロードバランサ | |||
分散ファイアウォールとの連携 (Active-Directory、AirWatch 及びサードパーティー製品との連携) | |||
Application Rule Manager | |||
コンテナに対する ネットワーキング & セキュリティ | |||
マルチサイトに対する ネットワーキング & セキュリティ | |||
エンドポイントの監視 | |||
レイヤー7 ファイアウォール (アプリケーションおよびRDSH) | |||
NSX Intelligence | |||
ネットワーク監視、最適化、 およびトラブルシューティング | |||
ファイアウォール計画と管理 | |||
ネットワークトラフィックと トポロジーの可視化 | |||
大規模対応のワークロード移行 | |||
移行時におけるWAN最適化 | |||
マルチリンクにまたがる トラフィック およびワークロードの管理 | |||
Professional版 詳細 | Advanced版 詳細 | Enterprise Plus版 詳細 |
VMware NSX のエディションについては、以下の記事でもご紹介しています。
クラウド時代に最適なADC「VMware NSX Advanced Load Balancer」
VMware NSX Advanced Load Balancer(NSX-ALB) は、従来の物理型ロードバランサーとパブリッククラウド型ロードバランサーの良い部分を兼ね備えた100%ソフトウェア型ロードバランサーです。マルチクラウド環境の統合管理が可能で、日々の運用コストや稼働率の低い物理機器のコスト削減を見込めます。
高度な負荷分散の機能に加え、広域でサイト間の負荷分散を実施するGSLB(Global Load Balancing)、リアルタイムでのアプリケーション分析やWebアプリケーションを保護するWAF(Web Application Firewal)といったセキュリティまで、様々なADC(Application Delivery Controller)機能を提供します。
- 需要に応じたサイズ変更やオートスケールに対応
- ネットワークトラフィックを全て可視化
- あらゆる環境への展開や、一元管理が可能
NSX-ALBのやADCの概要については、以下の記事でもご紹介しています。
コントローラーとサービスエンジンの分離により、管理性と柔軟性を両立
VMware NSX Advanced Load Balancer は環境全体の司令塔の「コントローラー」と、トラフィックを制御しデータ転送を担う「サービスエンジン」が分離しています。これにより、一元的な管理と需要に応じたサービスエンジンの柔軟なリソース増減を両立しています。
ソフトウェア型のロードバランサーの利点については、以下の記事でもご紹介しています。
ロードバランサー比較 | 物理アプライアンス型 ロードバランサー | パブリッククラウドの ロードバランサー | VMware NSX Advanced Load Balancer |
---|---|---|---|
一元的な管理 | マルチクラウド構成に対応 | ||
伸縮性 | |||
動作プラットフォーム (物理・仮想・クラウド) | マルチクラウド構成に対応 | ||
リソースの有効利用 | コントロールプレーンが必要 | ||
機能 (L4・L7・WAF・GSLB) |
「VMware NSX Advanced Load Balancer」の主な機能
NSX-ALB はオンプレミスの既存ロードバランサーの置き換えをはじめ、ハイブリッドなVDI環境、ハイブリッドなクラウド環境など様々なユースケースに対応します。ここでは、NSX-ALB の代表的な機能をご紹介します。
VMware NSX Advanced Load Balancer では、各サービスエンジンの負荷を監視し、自動的に伸縮して必要なリソースを供給するオートスケーリングを展開します。サービスエンジンを自動追加するスケールアウト、CPUを自動追加するスケールアップの両方に対応しています。
これにより、通信トラフィックの負荷変動に応じて、自動的にキャパシティーを増減できるようになります。
VMware NSX Advanced Load Balancer は、アプリケーションのパフォーマンスや稼働状況を可視化します。ネットワークセキュリティの分析を通じて、DDoS対策など素早いトラブルシューティングも実施できるようになります。
従来のWAFでは不足していた万全のセキュリティ対策や分析機能を使いながら、製品の最大の特徴である環境間をまたがる集中管理、自動化の仕組みを実行することが可能です。
VMware NSX Advanced Load Balancer では、GSLBによって複数のデータセンターやパブリッククラウドなどに配置されたアプリケーションの負荷分散が可能です。
DNSによる名前解決で最適なアクセス先のIPを取得し、バランス先サーバーの状態を監視しながら、処理を振り分けます。
これまでGSLBを利用できる事業者はサービスプロバイダーや大企業に限られていましたが、デジタルトランスフォーメーション(DX)を見据えたクラウド活用においてGSLBの重要性は高まります。クラウドを選ばないVMware NSX Advanced Load Balancer であれば、あらゆるニーズに対応していくことが可能です。
「VMware NSX Advanced Load Balancer」のライセンス
NSX-ALB には複数のライセンス購入単位が用意されています。最も基本的な購入方法はサービスエンジンに割り当てるvCPU単位となり、環境全体で必要なパフォーマンスに応じてライセンス数を選定します。
ライセンス詳細については、以下の記事でもご紹介しています。
マイクロセグメンテーションを強化する「VMware NSX Advanced Threat Prevention」
VMware NSX Advanced Threat Prevention(NSX-ATP) は、VMwareが2020年6月に買収したLastline社のサンドボックスによる高度なマルウェア検知機能と、AIを活用した各種機能をNSXの分散ファイアウォールと統合することによって、セキュリティ対策をさらに強化できるソリューションです。
NSX-ATP が提供するNDR(Network Detection and Response/ネットワークの検知・対応)やNTA(Network Traffic Analysis/ネットワークトラフィック分析)によって、境界防御をすり抜けた異常なアクティビティや悪意ある振る舞いを発見し、未知の脆弱性を突く新たな攻撃も含めた防御を実現します。
NSX-ATP の概要については、以下の記事でもご紹介しています。
- 標準セキュリティ ツールをすり抜ける高度マルウェアを検知
- 誤検知を最大 90% 削減し、アラート精度を向上
- データセンターの内部トラフィックを調査し、脅威に対する詳細な可視化を実現
VMwareセキュリティにおける「ネットワーク領域」の対策を強化
VMware NSX Advanced Threat Prevention のネットワーク・セキュリティ対策は、VMware社が提供するマイクロセグメンテーション(VMware NSX-T)やEDR(VMware Carbon Black)といったセキュリティソリューションとの連携が可能です。これらの製品とNSX-ATPを組み合わせることで、VMware社がセキュリティビジョンとして掲げているVMware Intrinsic Securityという組み込み型のセキュリティを実現することができます。
NSX-ATPおよびVMwareセキュリティについては、以下の記事でもご紹介しています。
「VMware NSX Advanced Threat Prevention」の主な機能
VMware NSX Advanced Threat Preventionは、さまざまな機械学習機能を活用して、ゼロデイ攻撃やネットワーク上の不審な振る舞いを検知することで、ネットワーク・セキュリティを強化します。ここでは、VMware NSX Advanced Threat Prevention の代表的な機能をご紹介します。
NDR(Network Detection and Response)はネットワーク上の様々な情報やログを収集し分析することにより危険なものを検知するソリューションです。
VMware NSX Advanced Threat PreventionのNDRでは、シグネチャ等の過去のトラフィックから精製したベースラインに通し、ここで疑わしいものは教師なしAIで排除されます。
ベースラインを超えたトラフィックはサンドボックスからの振る舞いやネットワークから採取したマルウェア等の情報を学習させた教師ありのAIで誤検知・過検知を排除します。
VMware NSX Advanced Threat Preventionは、IDS(Intrusion Detection System/侵入検知システム)およびIPS(Intrusion Prevention System/不正防御システム)の機能を提供します。
IDS/IPSによってインターネットからの通信による攻撃、ファイアウォールでは防げない攻撃に対しする検知・防御を行い、仮想マシン単位でのセキュリティ対策を実現する「マイクロセグメンテーション」を更に強化します。
VMware NSX Advanced Threat Preventionのサンドボックスは、疑わしいファイル等に対してシグネチャマッチングやレピュテーションチェック、スタティックコード解析で総合的に情報収集をします。
VMwareの脅威分析チームによって日々ファイルハッシュ、URLリスト等の最新の脅威と攻撃手法の分析・把握が行われており、常に安全性を高めています。
「VMware NSX Advanced Threat Prevention」のライセンス
NSX-ATP を利用する場合、既存のNSX-T環境に「VMware NSX Advanced Threat Prevention」を追加するか、NSX-Tのセキュリティ機能のみを提供する「VMware NSX Securityエディション」の一つである「VMware NSX Firewall with Advanced Threat Prevention」が必要です。
NSX-ATP関連の簡易比較 | VMware NSX Advanced Threat Prevention | VMware NSX Firewall (NSX-Tのセキュリティ機能提供) | VMware NSX Firewall with Advanced Threat Prevention |
---|---|---|---|
利用方法 | NSX-Tへのアドオン利用 | NSX-T購入は不要 | NSX-T購入は不要 |
ファイアウォール機能 (NSX-T) | – | ||
NSX Intelligence Standard (NSX-T) | – | ||
分散IDS/IPS (NSX-ATP) | – | ||
NDR機能 (NSX-ATP) | – | ||
サンドボックス機能 (NSX-ATP) | – |
ネットワールドのVMware NSX 導入支援体制
ネットワールドではVMware NSXをスムーズに導入・活用いただくために、お客様に合わせてヒアリングから各コンポーネントの導入、操作手順書の作成、トレーニングの実施、導入後のオフサイトサポートまでトータルに対応する導入支援サービスを提供しています。VMware NSXをご検討の際は、ぜひネットワールドまでお問合せください。
導入サービスについて
VMware NSXの導入が決定した後、経験豊富なネットワールドのエンジニアが導入設計や構築をご支援する「設計支援・構築サービス」を提供しています。基本的なサービスに加えて、お客様に要望に応じた個別のサービスカスタマイズも可能です。
VMware NSX 関連コンテンツ
VMware NSX お役立ち情報&ノウハウ活用ガイド
-
VMware NSXの基礎知識と最新情報〜製品コンセプトから「NSX VPC」まで〜
-
ネットワールドSEが語る!マルチクラウド環境でネットワークを仮想化するVMware NSX-T Data Center
-
VMware NSX-T Data Center 徹底解説 Enterprise Plus編~大規模ネットワーク管理を実現~
-
VMware NSX-T Data Center徹底解説Advanced編~マルチサイトのネットワーク構築~
-
VMware NSX-T Data Center徹底解説Professional編~ブリッククラウド連携&セキュリティ強化~
-
VMware NSX-TとVMware Cloud on AWSで実現するハイブリットクラウドとは