Alkiraは、わずか2ステップでクラウドアプリケーションへのトラフィックを制御、保護します

2023/1/12

Alkiraは、わずか2ステップでクラウドアプリケーションへのトラフィックを制御、保護します

※ 2022/6/1 時点の Simplify and secure cloud application ingress traffic in just two steps with Alkira の翻訳記事となります。

1.はじめに

企業のお客様に広く使用されているユースケースは、クラウドでアプリケーションをホストし、世界中のどこからでもそれらのアプリケーションへの安全なアクセスを提供することです。
Alkira CXPを使用すると、世界中のアプリケーションへの安全なアクセスがシームレスになり、構成がシンプル、高速、安全になります。ユーザーは、数回クリックするだけで複雑なトラフィックポリシーを構成できます。
実際、Alkiraを使用して入力トラフィックを管理する手順は2つだけです。すべてがどのように機能するかを見てみましょう。

2.CSPネイティブアプローチ

入力トラフィックに対する従来のクラウドサービスプロバイダー（CSP）のアプローチでは、トラフィックを検査するターゲットとしてファイアウォールを使用して、パケットが最初にロードバランサーに到達します。 SNATおよびDNATルールは、トラフィックが宛先（VPC / VNET / VCNにあるエンドアプリケーション）に到達できるようにファイアウォールで構成する必要があり、リターントラフィックはトラフィックの対称性のために同じファイアウォールに戻ります。
The traditional model for ingress traffic management

3.このアプローチの課題

ルーティングの複雑さ

すべてのCSPには、ルーティングテーブル、サブネット、インターネットゲートウェイ、UDR、VNGなど、さまざまな方法で機能するさまざまな構造があります。アプリケーションがマルチクラウド環境にデプロイされると、これらの構成の管理と運用はさらに複雑になり、最適な設計を行うことが課題になります。

部分的な可視性

アプリケーションをCSP環境にネイティブにデプロイする場合、通信を確立するためにSNATおよびDNATルールが必要です。このアプローチの問題は、クライアントIPの保存が不可能なことです。
したがって、ネットワークオペレーターは、エンドツーエンドのトラフィックの可視性を持ちません。

トラフィックフローの冗長性の維持

冗長ファイアウォール展開の場合、SNATルールとDNATルールが構成されているとファイアウォール間のロードバランシングが不可能になるため、アクティブ-アクティブシナリオのトラフィックフローを維持することは困難です。

構成の複雑さ

ネイティブアプローチのNAT要件により、環境の構成が複雑になり、ネットワークの管理が運用上困難になります。

4.進入交通管理のためのアルキラアプローチ

ユーザーがAlkiraCXPに関連する構成を適用すると、Alkiraは上記の入力トラフィック保護のユースケースをシームレスに実行できます。
インターネットからの入力トラフィックはCXPに到達します。トラフィックはファイアウォールインスタンスにリダイレクトされます。トラフィックが検査されると、トラフィックはエンドアプリケーションに送信されます。

Alkira CXPの入力ポリシーは、ユースケースに応じてトラフィックを操作する柔軟性をユーザーに提供します。
Alkira CXPs make managing and steering traffic simple and easy
構成には2つのステップがあります。
1-アプリケーションを定義する
2-トラフィックをアプリケーションに向けるためのトラフィックポリシーを作成します
3-それだけです-ステップ3はありません！
The Alkira platform delivers simple and powerful traffic management, with end-to-end visibility and seamless multi-cloud capabilities

Alkiraプラットフォームは、エンドツーエンドの可視性とシームレスなマルチクラウド機能を備えた、シンプルで強力なトラフィック管理を提供します

5.Alkiraソリューションの利点

安全なマルチクラウドアプローチ

Alkiraソリューションは、クラウドネットワーキングの簡素化を念頭に置いて構築されており、お客様にクラウドに依存しないエクスペリエンスを提供し、セキュリティを損なうことなく各CSP構成を個別に構成する必要をなくします。

エンドツーエンドの可視性

NAT構成が不要なため、トラフィックがAlkira CXPを介して送信されるときに、クライアントIPの保存が自動的に処理されます。

冗長性

アクティブ-アクティブファイアウォール展開の場合、NATルールが構成されておらず、さまざまなハッシュアルゴリズムを使用して負荷分散が実現されるため、トラフィックフローの対称性の維持が容易になります。

設定のしやすさ

入力トラフィックの構成は簡単で、ユーザーはトラフィックポリシーと関連するアプリケーション情報を構成する必要があります。

Alkiraでクラウドネットワークを最新化する

Alkiraが組織のクラウドネットワーキングを簡素化するのにどのように役立つかについて詳しくは、お気軽にお問い合わせください。

元記事の著者：Ahmed Abeer & Deepesh Kumar
Ahmed Abeerは、Alkiraのシニアプロダクトマネージャーであり、クラス最高のマルチクラウドネットワーキングおよびセキュリティ製品の構築を担当しています。彼は、さまざまな大小の組織で10年以上製品管理に携わっています。彼は大企業やサービスプロバイダーの顧客と協力して、LTE / 5G MPLSネットワークインフラストラクチャを有効にし、レイヤー3データセンターを自動化し、次世代マルチクラウドアーキテクチャを有効にし、顧客のマルチクラウド戦略を定義しました。クラウドコンピューティングおよびレイヤー2/レイヤー3ネットワークテクノロジーに関するアーメドの技術的専門知識。 Ahmedは、さまざまな会議やフォーラムで講演を行っており、コンピューターエンジニアリングの修士号を取得しています。

Deepesh Kumarは、6年以上の経験を持つコンピューターネットワーキング業界のソリューションアーキテクトおよび製品スペシャリストです。彼は現在、Alkiraのポストセールスチームの一員として働いており、顧客と協力してAlkiraソリューションを設計および展開することに注力しています。ここで働く前は、シスコシステムズに買収されたViptelaで働いていました。彼はサンノゼ州立大学で修士号を取得しています

ブログ一覧へ

Alkiraのユースケースをみる

人気のブログ記事

ネットワーク

セキュリティ

▼シンプルでセキュアなマルチクラウドネットワークを実現する
次世代のネットワーキングサービスはこちら！

2021/12/14

Alkiraのソリューションでクラウドに光を照らす

<　ブログ一覧へ

※ 2022/12/14 時点の Sunshine Your Clouds with Alkira の翻訳記事となります。

はじめに

企業によるデジタルトランスフォーメーションの新しい波を下から支えるもの、それはクラウドコンピューティングです。
多くの企業はすでに何らかのクラウドプロバイダーを利用していますが、次のような理由により、複数のクラウドでアプリケーションやワークロードをデプロイするようになっています。

・ベンダーロックインの回避
・複数のプロバイダーが提供する優れた機能を組み合わせての利用
・競争力のある価格
・ビジネスの継続性とディザスタリカバリ
・地理的に異なる複数の場所でのアプリケーションのパフォーマンスおよびオペレーションのコンプライアンスの確保
・吸収合併

とはいえマルチクラウドの採用には、運用面で特有の課題があります。
リモートユーザー、IoTデバイス、キャンパス、イントラクラウドとインタークラウドのエンドポイントから、広範囲で多種多様なデータセットが生成されている状態では、あらゆるソースからのトラフィックを管理して監視することは、あっという間にきわめて複雑なタスクになってしまいます。
このブログでは、ネットワークの可視性がDay 2オペレーション（運用管理の段階）にとって重要である理由と、Alkiraがいくつかの課題にどのように対処しているかを簡単に説明します。

マルチクラウドの可視化と監視

カスタマーエクスペリエンスを優れたものとするには、ITチームは問題が発生する前に自社のマルチクラウドの領域内にある危険な箇所や見落としがちな点を特定し、危険を減らしておかなければなりません。
言うのは簡単ですが、クラウドプロバイダーからさまざまな可視化ツールを提供され、そこから多種多様な形式の膨大なデータポイントを利用できるとしても、そうしたデータポイントを有効利用できる形式に変換して、インフラストラクチャの障害、アプリケーションのパフォーマンスの問題、セキュリティ上の弱点など（他にもいろいろありますが）を特定するのはたやすいことではありません。
まさに干し草の山の中に落ちた針を探すようなものです。

マイクロサービスの堅固な設計とInfrastructure as Codeのデプロイによって、クラウドネイティブのアプリケーションは非常に柔軟で俊敏性の高いものとなりましたが、同時に複雑さも増しています。
クラウドトラフィックの70～80%がEast-West（末端間の通信）になることが見込まれており、現在はその種のトラフィックを監視するために、あらゆるワークロードにサードパーティ製エージェントをインストールしなければならないことが珍しくありません。
さまざまなプラットフォーム（AWS、Azure、GCP）とさまざまなオペレーティングシステム向けにさまざまな特徴を持つエージェントが存在しているため、インフラストラクチャの複雑さがいっそう高まっています。
強固なクラウド監視プラットフォームであれば、確認・管理用の統一されたインターフェイスを通して、マルチクラウド環境とハイブリッドクラウド環境全体をまとめて、総合的に状況を把握できるはずです。

Alkiraのポータルはエンタープライズ対応のソリューションであり、ネットワークに関する次のような重要なインサイトによって、お客様のマルチクラウドプラットフォームに光を当てることができます。

ネットワーク接続のステータス
アプリケーションとネットワークの使用状況
BGPのヘルスとルートの可視化
クラウドネットワークの課題
ポリシー主導の指標

では、それぞれの項目と関連するメリットについて詳しく見てみましょう。

ネットワーク接続のステータス

マルチクラウド環境でパケットドロップや遅延の問題にうまく対処するには、ネットワークのエンドポイントのステータスを常に把握していなければなりません。
エンドポイントのステータスを取得する方法は2つあります。

ネットワーク内のすべてのノードからデバイスの統計値、エラーの指標、ログを定期的に収集し、すべての情報をデータベースに保存する。
次に、一定間隔でデータを分析し、ネットワークに異常があれば必要に応じて修正措置を講じる。

ネットワークの全エンドポイントをアクティブな統合プローブで常時監視し、プローブの結果に従ってステータスをアップデートする。
あらかじめ設定された間隔でデータの取得や送信が必要な最初の方法とは異なり、こちらの方法ではネットワークのステータスはリアルタイムでアップデートされる。

Alkiraは2つ目の方法を採っており、ネットワークのエンドポイントでプローブが何らかの不整合を検知すると、アラートが生成・送信されます。
このアラートをREST APIを通して利用し、アプリケーションレベルで修正措置を実行すれば、ダウンタイムを回避できます。

アプリケーションとネットワークの使用状況

Alkiraのソリューションでは、あらゆるリージョンのあらゆるクラウドプロバイダーから、ネットワークレベルとアプリケーションレベルの統計値を取得できます。
このデータには、ネットワーク全体のパフォーマンスを把握するのに必要なコンテキストが含まれています。
あらゆるフローでディープパケットインスペクションが実行され、すべてのエンドポイントについて詳細な指標（帯域幅、遅延、ドロップ）が収集されて表示され、クラウドファブリック内で輻輳が発生している箇所が点灯します。
そのような分かりやすい表示を見ることで、パフォーマンスの低下が特定のアプリケーションやユーザー、またはロケーションのみで発生しているのかどうかを判断して、それに応じて対策を講じることができます。

シャドーIT（企業のIT部門は認識していないが、社員が日常的に使用しているリソース）の権限のないリソースによって、機密データが攻撃者に流出する事故が起きると、企業にとって重大なセキュリティ上の脅威になります。
ITとクラウドの管理者にとっては、このダークデータ（未分類で未知のデータ）をITの管理下に置き、企業の接続ポリシーとセキュリティポリシーに準拠できるようにすることが欠かせません。
Alkiraのソリューションがあれば、クラウド環境にあるすべてのアプリケーションを詳細に確認し、未知のデータソースやアプリケーションがあれば、セキュリティポリシーとコンプライアンスポリシーをふさわしい場所に早急に適用して、リスクと混乱を最低限に抑えることができます。

BGPのヘルスとルートの可視化

企業がハイブリッドクラウド環境に移行するのに伴って、IPアドレスをさまざまなセグメントに割り当てて管理することは、ネットワークアーキテクチャにとって不可欠な要素になっています。
ネットワークに現在あるすべてのIPルートを分かりやすく正確に、まとめて確認できることは、強固なネットワークを管理するのに非常に役立ちます。
Alkiraのポータルにあるルート可視化ダッシュボードでは、受信したルートやアドバタイズされたルートのグローバルなサマリーを、リージョンレベルと個別のコネクタレベルで確認できます。

このソリューションでは、すべてのノードでBGPセッションのヘルスを定期的に監視しており、セッションが停止するとすぐにアラートが発信されて、関連のあるルートはルート可視化ダッシュボードに表示されなくなります。

ルートの競合は自動的に検知されます。
ネットワークに構成ミスがあると、ルートでのループやトラフィックのブラックホールが発生し、ネットワークで大惨事が起きる可能性があります。
2つの異なるエンドポイントから同じ設定で同じルートを学習した場合、優先度の高いアラートが生成されて、ルートは無効になります。
しかし、設定が異なる場合にそのような状況が発生すると、設定に基づいて最適な経路が選択されます。

クラウドのインベントリ管理

AlkiraのソリューションはAs-a-serviceで提供されます。つまり、お客様のVPCやVNetでエージェントやゲートウェイは稼動しません。
また、Alkiraはお客様アカウントの全体的な可視性を高めました。
Alkiraのソリューションを利用すると、いくつかのシンプルな読み取り権限によって、自社環境の次の要素について詳細なインサイトを取得できます。

・デプロイされているクラウドのリソース
・さまざまなリソース間の接続
・さまざまなリソース間のセキュリティのギャップ
・リソースの使用状況と上限

たとえば、Alkiraのポータルから次の情報を確認できます
・各種クラウドプロバイダーで発生しているCIDRの競合
・Alkiraのクラウドバックボーンを通さずにインターネットにアクセスしている仮想ネットワーク
・作成済みだが一度も割り当てられていないElastic IP
・長時間ダウンしているVPN接続
・VPN接続のないVGW
・どのVPCとも関連付けられていないIGWまたはVGW
・allow_allアクセス（すべてのIPとすべてのポート）が付与されているセキュリティグループ

Alkiraのポータルはセキュリティのギャップを見つけ出すだけではなく、お客様のネットワークに価値を付加しないリソースをタグ付けすることで、クラウドの浪費を最低限に抑えます。

ポリシー適用のための指標

効果の高いポリシーを実装して適用するには、各アプリケーションのトラフィックのプロファイルを、クラウドファブリック内の他のアプリケーションすべてと比較し、対比させることが重要です。
たとえばストリーミングメディアのアプリケーションは、重要なSaaSおよびエンタープライズアプリケーションと比べて、多くの帯域幅を使用しているでしょうか。
Alkiraの「Top Applications」のグラフでこの情報を確認でき、重要なトラフィックのプロファイルが不足しないようにポリシーを作成できます。
エンドポイントについても同様に、「Top Talkers」のグラフから、送信されるトラフィックの多くを占めているデータソースを特定し、必須ではないとみなされるエンドポイントについては、それらのエンドポイントの測定用ポリシーを適用できます。

結論

強固なネットワーク接続とセキュリティが安定したマルチクラウドネットワークの基礎となるのであれば、それを支える足場として欠かせないのは、直感的に理解できるようにネットワークを可視化することです。
全体の状況を分かりやすく、まとめて表示できるAlkiraの可視化ダッシュボードは、さまざまな種類のAPIと組み合わせて使用でき、多数のイノベーションを生み出す肥沃な土壌となります。
お客様はもう、クラウドでのデプロイで判断に迷うことはありません。

元記事の著者：Bharath Chakravarthy
Bharath Chakravarthyは長年の間コンピューターネットワーク業界で活動し、豊富な経験を有しています。
現在はAlkiraのリードエンジニアとして、Alkiraのテストオートメーションフレームワークおよびインフラストラクチャの設計と開発を担当しています。
Alkira入社以前はCloudgenix（SD-WANアプリファブリック）、Nuage Networks（SDN）、Juniper & Cisco（データセンターとストレージ）でエンジニアリングの指導者を務めてきました。
余暇には読書、ベイエリアでのトレイル、テニスを楽しんでいます。インドのマドラス大学で学士号を、シカゴのイリノイ大学で修士号を取得しました。Twitterのアカウントは@bchakravです。

▼シンプルでセキュアなマルチクラウドネットワークを実現する
次世代のネットワーキングサービスはこちら！

Webフォームからの
お問い合わせ