2025年までには楽になろう… DC Firewall のベストプラクティス 最新SDNはエクセル台帳の夢をみるか? 自分の歳と似たような年式のクルマに乗っています。この種のクルマが好きな人からいえば決して旧車とは言ってもらえない中途半端な年代モノなのですが、私同様いささか旧式であることは間違いないです。そんなクルマなので快調に走ってはいますがところどころ細々したところが壊れてきています。私の愛車で言うとリアウィンドウの霜や雪を溶かす電熱線が機能せず、「直すのも高そうだししょうがないなぁ…」と毎冬諦めていたのですが、昨年ふと足元に落とした小銭を拾い上げる節に気がついた小さなスイッチをなんとはなしに押してみると、なんときちんと電熱線が温まって霜をとかすではないですか…では、いままで私がそのためのスイッチだと思って押していたものは一体何用なのか?!という謎が深まるばかりですが、説明書の類などはなくいまだ解がないため、次の車検の時に聞いてみようと思います。 一体何の話か?といいますと、そんな古いクルマですらいまだ新しい気付きがあるなか、最新の SDN Solution である NSX-T についてはなおのこと。日本語のドキュメントも懇切丁寧とは言い難く、まだまだ正しい使い方を日本のお客さまにきちんとお伝えしきれてなかったな、という自己反省をせざるを得ないような対応事案がいくつか続いたので、ここで改めて我々の NSX Firewall についての基本的な How To Use についてご紹介させていただければ、と思います。 データセンターにおける レガシー ファイアウォールの配備 従来よりハードウェアアプライアンスで提供されることが前提で長らく製造、販売、構築されてきたファイアウォールなので、必然、物理的なコンセプトが色濃く残っており、DC 内では主に Trusted Zone、Untrusted Zone という形で Zone に応じたセキュリティレベルを定義してデザインするのが一般的です。多くの場合、このコンセプトに沿って North-South トラフィックと表現されるような DC 内部と外部の境界を守ったり、最近では East-West トラフィックによる脅威も取り沙汰されることが多くなってきているので、その場合に内部ファイアウォールで Zone を区切る形でのデザインも採用されることが多くなってきましたが、それでもアプライアンスベースで考えるとこのくらいまでのセキュリティ防御がせいぜいの限界かと思います。 ネットワークとセキュリティの仮想化による変革 これに対して、ネットワークとセキュリティの仮想化ソリューションである NSX を前提で考えていただくと、マイクロセグメンテーションの愛称とともとにご愛顧いただいているファイアウォール機能の仮想化、分散化を実現する ”分散ファイアウォール” により、特にいままでのアプライアンスベースのファイアウォールでは制御しきれなかった East-West トラフィックに対する抜け漏れのない鉄壁防御を簡単にご提供できます。 できるようにはなるのですが、マイクロセグメンテーションの名前と有効性が有名になりすぎてしまっていて、最適なファイアウォールデザインの検討をバイパスしてしまうお客様も散見されてきた為ここで今一度アピールさせていただくと、分散ファイアウォールは NSX Firewall のウリではありますが全てではありません。対になる “ゲートウェイファイアウォール” も込で、シングルコンソールから統合的に管理することができる点、最適なセキュリティを最適なデザインで、簡単に大規模まで安定的にスケールアウトをしながら展開できることこそが NSX Firewall … 続き
The post Virtual Cloud Network への途;DC Firewall のベストプラクティス appeared first on VMware Japan Blog.