新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

Magic Cloud Networkingで、パブリッククラウドのセキュリティ、接続性、管理を簡素化

2024-03-06

7分で読了
この投稿はEnglish繁體中文FrançaisDeutsch한국어Español简体中文でも表示されます。

本日、 Cloudflareによる最近のNefeli Networksの買収により革新的な技術によって強化されたMagic Cloud Networkingを発表します。クラウドネットワークを可視化し、自動化するこれらの新しい機能により、パブリッククラウド環境への安全で簡単かつシームレスな接続がお客様にもたらされます。

Magic Cloud Networking simplifies security, connectivity, and management of public clouds

パブリッククラウドでは、自社でデータセンターを運営するためのオーバーヘッドやコストをかけずに、スケーラブルでオンデマンドなITインフラが実現します。クラウドネットワーキングはクラウドに移行したアプリケーションの基盤となるものである中、特に複数のクラウドアカウントで大規模な運用を行う場合、自動化ソフトウェアなしでは管理が難しくなります。Magic Cloud Networkingは、信頼性とコスト効率が高く、かつセキュアなクラウドネットワークを構築するに当たり、複数のクラウドプロバイダーのネイティブネットワーク機能を制御し、統合する単一のインターフェースを提供する、慣れ親しまれたコンセプトを採用しています。

マルチクラウドネットワーキングに対するNefeliのアプローチは、パブリッククラウド内およびパブリッククラウド間でのエンド・ツー・エンドのネットワーク構築・運用における問題を解決し、企業が社内外のリソースを組み合わせてアプリケーションを安全に活用することを可能にします。Nefeliの技術を加えることで、弊社のお客様はユーザー、プライベートネットワーク、アプリケーションをこれまで以上に簡単に接続し、保護できるようになります。

クラウドネットワーキングが難しい理由

従来のオンプレミスのデータセンター・ネットワークと比較した場合、クラウドネットワーキングは確かにシンプルになっています。

  • 物理レイヤーやイーサネット・レイヤーはクラウドプロバイダーが提供するネットワークサービスの一部ではないため、物理ネットワークの複雑さの多くはユーザーから離れて抽象化されます。

  • 制御プレーンのプロトコルは、より少なくなっています。代わりにクラウドプロバイダーはAPIを介し、完全にプログラム可能であり簡素化されたソフトウェア定義ネットワーク(SDN)を提供します。

  • 容量ゼロから超大容量まで、即座にオンデマンドで利用可能で、使用した分だけ課金されます。

しかし、この成果はまだ完全には実現されていません。クラウドネットワーキングが難しい理由には、いくつかが挙げられます。

  • エンド・ツー・エンドの可視性が低い:クラウド・ネットワークの可視化ツールは使いにくく、単一のクラウドプロバイダー内にもサイロが存在するため、エンド・ツー・エンドのモニタリングとトラブルシューティングが阻害されます。

  • より速いペース:従来のIT管理アプローチは、オンデマンドで利用可能な即時デプロイとのクラウドに求められる特性とかみ合いません。慣れ親しんだClickOpsやCLI駆動の手順は、ビジネスのニーズを満たす自動化によって置き換えられる必要があります。

  • テクノロジーの違い:オンプレミス環境で確立されたネットワーク・アーキテクチャは、パブリッククラウドにシームレスに移行できません。多くのネットワーク設計では、イーサネット層と高度な制御プレーン・プロトコルの欠落は決定的に不利でした。

  • 新しいコストモデル:パブリッククラウドの動的な従量課金制のコストモデルは、固定費回線と5年償却を基本に構築された既存のアプローチとは互換性がありません。ネットワーク・ソリューションは、財政的な制約の中で設計されることが多いため、クラウドでは異なるアーキテクチャ・アプローチが賢明となります。

  • 新たなセキュリティ:真にZero Trustかつ最小権限によるパブリッククラウドのセキュリティ確保には、成熟した運用プロセスと自動化、およびクラウド固有のポリシーとIAMコントロールへの精通が必要です。

  • **マルチベンダー:**多くの場合、企業ネットワークは、相互運用性、運用の効率性、的を絞った採用やトレーニングを可能にするため、単一のベンダーをソーシングしてきました。単一のクラウドにとどまらず、他のクラウドやオンプレミス環境にも拡張するネットワークの運用は、マルチベンダーシナリオとなります。

Nefeliは、これらの問題をすべて検討し、さまざまな顧客の視点間の緊張関係を考慮した上で、問題を解決すべき場所を特定しました。

電車、飛行機、オートメーション

電車のシステムを例にお話しします。効果的な運用のためには、3つの重要なレイヤーがあります:

  • 線路と列車

  • 電子信号

  • システムの管理、切符販売を担う企業

優秀な線路、列車、信号を備えた鉄道システムでも、販売店が乗客の需要をさばききれなければ、潜在能力を十分に発揮できない可能性があります。この場合、乗客は旅程を組んだりチケットを購入したりするのに不自由します。

鉄道会社では、ダイヤの簡素化、料金設定の簡素化、販売店への予約システムの提供、自動券売機の設置などにより、プロセスフローのボトルネックを解消しています。こうして、線路、列車、信号などの高速で信頼性の高いインフラが最大限に活用されるようになりました。

真に問題であることの解決

ネットワーキングでは、ネットワーキング・プレーンと呼ばれる3つのレイヤーがあります。

  • **データプレーン:**データを(パケットの形で)送信元から宛先に伝送するネットワーク経路。

  • **制御プレーン:**データプレーン上でパケットがどのように制御されるかを変更するプロトコルとロジック。

  • **管理プレーン:**データプレーンと制御プレーンの設定および監視インターフェース。

パブリッククラウドネットワークでは、これらのレイヤーは次の通りマッピングされます。

  • **クラウド・データプレーン:**基礎となるケーブルとデバイスは、サブネット、ルーティングテーブル、セキュリティグループ/ACL、ロードバランサーやVPNゲートウェイなどの追加サービスが含まれる仮想プライベートクラウド(VPC) または仮想ネットワーク(VNet)サービスとしてユーザーに公開されます。

  • **クラウド制御プレーン:**分散プロトコルの代わりに、クラウド制御プレーンは例えば静的ルートテーブルをプログラムするソフトウェア定義ネットワーク(SDN)となります。(外部ネットワークとのインターフェースにBGP、VMとのインターフェースにARP、といった従来のコントロールプレーン・プロトコルの使用には制限があります)。

  • **クラウド管理プレーン:**UIとAPIを備えた管理インターフェースで、管理者はデータプレーンとコントロールプレーンを完全に設定できます。また、さまざまなモニタリングやロギング機能を提供し、サードパーティシステムとの統合を可能にしています。

列車の例と同様、クラウドネットワーキングでお客様が経験する問題のほとんどは、第3のレイヤーである管理プレーンで発生します。

Nefeliは、クラウドネットワークの管理と運用を簡素化、統合、自動化するものです。

コストと複雑さを回避

クラウド・ネットワークの管理問題に対処する一般的なアプローチの1つに、クラウド本来のデータプレーン構造の代わりとしてパケット転送を行う仮想マシン(VM)であるVirtual Network Functions(VNF)の導入が挙げられます。VNFには、従来のネットワークベンダーのハードウェアアプライアンスから移植されたルーター、ファイアウォール、ロードバランサーもあれば、NGINXやEnvoyのようなオープンソースプロジェクトで構築されたソフトウェアベースのプロキシもあります。VNFは物理的なものを模倣しているため、ITチームは使い慣れた管理ツールを使い続けることができるものの、VNFにはデメリットも存在します。

  • VMはカスタム・ネットワーク・シリコンを持たないため、代わりに生のコンピューティングパワーに依存します。VMは予想されるピーク負荷に合わせてサイズ設定され、通常は24時間365日稼働します。このため、実際の利用率に関係なく、コンピューティングコストが高くなります。

  • 高可用性(HA)は、脆弱でコストがかかり、かつ手間のかかるネットワーク構成に依存することになります。

  • サービスインサーション(VNFをパケットフローに埋め込む設定)は、多くの場合、追加の帯域幅料金が発生するパケットパスが必須となります。

  • VNFは通常、オンプレミスと同様のライセンスであり、高価となります。

  • VNFは、企業を囲い込み、クラウドが提供するネイティブなデータプレーンによる状況の改善の恩恵が帳消しになる可能性があります。

このような理由から、企業はVNFベースのソリューションから離れ、クラウドサービスプロバイダーのネイティブネットワーク機能に依存する傾向が強まっています。組み込み型のパブリッククラウドネットワーキングは、弾力性、パフォーマンスが高くかつ堅牢、さらに使用量に応じた価格設定、高可用性オプションの統合が備わり、クラウドプロバイダーのサービスレベル契約によってバックアップされます。

列車の例では、線路と列車は優れたものです。同様に、クラウドネットワークのデータプレーンも高性能なものです。マネジメントプレーンの問題の解決を目的としたデータプレーンの変更は、間違ったアプローチとなります。これを大規模に実現するには、クラウドサービスプロバイダーのネイティブネットワーク機能と連携するソリューションが必要になるのです。

Nefeliでは、サードパーティのVNFではなく、ネイティブのクラウド・データプレーン構造を活用しています。

Magic Cloud Networkingのご紹介

Nefeliチームは、Cloudflare Oneへのクラウドネットワーク管理機能の統合を目的に、Cloudflareに加わりました。この機能はMagic Cloud Networkingと呼ばれ、企業はCloudflareのダッシュボードとAPIを使用してパブリッククラウドネットワークを管理し、Cloudflare Oneと接続できるものです。

エンドツーエンド

鉄道プロバイダーが自社ネットワーク内で列車の管理を完結させることにのみ集中しているのと同じく、クラウドサービスプロバイダーはネットワーク接続とツールを単一のクラウドアカウント内で提供します。多くの大企業では、複数のクラウドプロバイダーにまたがる数百のクラウドアカウントを持っています。エンド・ツー・エンドのネットワークでは、このようなサイロ化したネットワークが発生し、運用の非効率性とリスクが生じます。

ヨーロッパを横断する列車の旅を企画しようとしたとき、出発地と目的地の両方に乗り入れている鉄道会社がひとつもなかったとします。一方、基本的なサービスは列車の座席の提供であり、どの会社も同じです。しかし、鉄道会社ごとに運行する列車のスケジュールと運賃が異なり、すべて異なる言語で説明されているため、旅の手配が難しくなるのです。

Magic Cloud Networkingは、複数の交通手段の集約、複数の航空券の予約、予約後の変更手続きの簡素化、旅行状況の最新情報の配信を担うオンライン旅行代理店のようなものと言えます。

Cloudflareのダッシュボードから、アカウントやクラウドプロバイダーにわたるすべてのネットワークリソースの情報を網羅し、エンド・ツー・エンドのネットワークを単一のインターフェースで可視化できるのです。一旦Magic Cloud Networkingが貴社ネットワークを検出すれば、完全に自動化されたシンプルなワークフローによるスケーラブルなネットワークの構築が実現します。

すべての設定を単一のレスポンシブUIで表示するリソース・インベントリ。

クラウド単位で発生する複雑さを軽減

パブリッククラウドは、アプリケーションやサービスを提供するために使用されます。各クラウドプロバイダーは、課金アカウントの基礎から始まり、セキュリティコントロールを追加するモジュール式のビルディングブロック(リソース)のコンポーザブルスタックを提供しています。サーバーベースのアプリケーションのための次の基盤レイヤーは、VPCネットワーキングとなります。エンタープライズ・アプリケーションとデータをホストするためのコンピュート、ストレージ、ネットワーク・インフラが揃うまで、VPCネットワークの基盤上に追加でリソースが構築されていきます。比較的単純なアーキテクチャであっても、何百ものリソースで構成されることがあるのです。

これらのリソースは、オンプレミスでサービスを構築するために使用するビルディングブロックとは異なる抽象化を公開すること、抽象化がクラウドプロバイダーによって異なること、構成変更の方法に関する複雑なルール(リソースの種類やクラウドプロバイダーによって異なる)を持つ依存性のあるWebを構築することが問題となっています。例えば、100台のVMを作成し、IPネットワークに接続するとします。VMがネットワークを使用している間に、IPネットワークに変更を加えることはできるでしょうか。その答えは、「場合による」となるのです。

Magic Cloud Networkingは、こうした差異や複雑な問題を解決します。VPNゲートウェイ、ルート、セキュリティグループなどのネイティブクラウド構成を設定し、VPN接続やハブを作成するための各クラウドの呪文のように複雑なルールを学ぶことなく、クラウドVPCネットワークをCloudflare Oneに安全に接続できるのです。

継続的かつ協調的な自動化

ここで、鉄道システムの例に戻ります。鉄道の保守スタッフが、線路に危険性のある欠陥を発見したらどうするでしょうか。対向列車が線路の故障箇所を走るのを防ぐため、手動で信号を停止信号に設定します。では、不幸な偶然により運行管理事務所が信号のスケジュールを変更することになり、遠隔操作で信号を設定し、保守作業員が行った安全対策が上書きされたとしたらどうなるでしょうか。ここでの問題は、問題を把握している人がいないことであり、その根本的な原因は、複数の担当者が協調することなく異なるインターフェースを介して信号を変更できてしまうことにあります。

クラウド・ネットワークにも同じ問題があります。課金、サポート、セキュリティ、ネットワーク、ファイアウォール、データベース、アプリケーション開発など、さまざまな役割を担う別々のチームが、異なる自動化インターフェースや設定インターフェースを使用して設定変更を行っているのが現状です。

ネットワークがデプロイされると、Magic Cloud Networkingはそのコンフィギュレーションと健全性を監視しはじめ、それまで設置してきたセキュリティとコネクティビティの現時点での有効性を保ちます。担当するクラウドリソースを追跡し、帯域外で変更された場合は自動的に戻し、ストレージバケットやアプリケーションサーバーなどの他のリソースを他の自動化ツールで管理できるようにします。また、お客様のネットワークが変更された場合でも、Cloudflareがルート管理を行い、Cloudflareと接続されているすべてのクラウドプロバイダーのネットワークにわたってグローバルにルートをインジェクトおよび撤回できるのです。

Magic Cloud NetworkingはAPIを介して完全にプログラム可能であり、既存のオートメーションツールチェーンに統合できます。

クラウドネットワークインフラストラクチャが意図から外れると、インターフェースが警告を発します。

クラウドネットワーキングの制覇に向けて今すぐ行動を

弊社は、Connectivity Cloudの約束する性能をいかんなく発揮するためのさらなる決定的なステップとなるMagic Cloud Networkingを発表できることを大変うれしく思っています。これにより、Cloudflareのパブリッククラウドとのシームレスな統合、セキュアな接続および接続の維持、そして柔軟性とコスト削減を実現するための最初の一歩となるに違いありません。

早期アクセスで、その性能の高さをぜひ実感していただければと思います。ご登録は、こちらからお願いいたします。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
Security WeekNetworkAWSEC2Google CloudMicrosoft AzureSASECloudflare OneMulti-Cloudゼロトラスト製品ニュースMagic WANConnectivity CloudAcquisitions

Xでフォロー

Cloudflare|@cloudflare

関連ブログ投稿

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024年9月27日 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...