データセンターだけじゃない、SDNが生きる分野：KeyConductors（2/3 ページ）

[キーマンズネット]

独自SDNによって端末単位、社員単位の制御を

　データセンターでは多数のサーバやストレージ、スイッチがフラットなネットワーク上に導入され、スケールアウトや故障時の迅速な切り替えなどを実現している。だがエンタープライズのネットワーク環境は異なる。ルーターとコアスイッチ、エッジスイッチ、端末が階層型につながっており、データセンターのやり方をそのまま適用してもうまくいかない。

　AMFはこうした違いを踏まえ、エンタープライズネットワークを一元管理して運用を簡素化し、コストを削減することを目指して開発された独自技術だ。ネットワーク機器は、全体を管理する「コントローラー」と、コントローラーの制御に従って動作する「メンバー」に分けられ、コントローラー側で全メンバーの設定・管理作業を行える。エンタープライズネットワークの運用でハマりがちなループの防止機能に加え、トンネル技術を用いた柔軟なネットワーク構築、マルチベンダー対応なども図られているという。

　なぜOpenFlowではなくAMFという独自技術を開発したのだろうか。「これまでのSDNはNorthSIDEで培われたものであり、SouthSIDEではそのまま使えない」と、川北氏はその理由を説明した。そして、AMFを活用することで、新しいファームウェアや設定情報をリブートさせることなく末端のスイッチまで反映させたり、機器の追加、入れ替えを迅速に行えるといったメリットが生じると説明した。

AMFとSESの関係

　もう一つのSDNであるSESは、アプリケーション連携を強く意識したSDNだ。AMFで構築されたデータプレーン上で、OpenFlowを介して人事システムや資産管理、セキュリティさまざまなアプリケーションと連携し、そのステイタスに応じたネットワーク制御を実現する。AMFとSESのコントローラーはそれぞれ独立した製品だが、その制御を受けるアライドテレシスのネットワーク機器は双方をサポート。さらにAMFではAPIを介して、IoT機器やゲストノードとの連携も図れるようになっている。

　「例えば、社員の人事異動に連動してVLAN情報をはじめとするプロビジョニングをきめ細かく実施したり、脆弱（ぜいじゃく）性のあるソフトウェアを使い続けている端末の通信を遮断したり、マルウェアに感染している端末が発見されればそれをエッジで隔離したり、といった連携が可能になる」（川北氏）。誰にどんなデバイスを渡しており、それぞれどんな条件、どんなセキュリティを提供するかといった種々の設定をOpenFlowコントローラー上でインテグレーションして、エッジまで適用していくのがSESの役割だという。

　特に有望視されているのはセキュリティ面の強化だ。ファウアウォールやUTMといったゲートウェイセキュリティ機器やスイッチングハブでは「ディフェンスラインが高くなってしまう」と川北氏は指摘する。これに対しSouthSIDE SDNを活用すれば、「端末」単位で隔離を行い、マルウェアの感染範囲を最小限に抑えることができる。

　川北氏は「SDNの話をしても『エンタープライズは関係ない』と思っている人も多いが、このようにSESによってアプリケーションとの連携が可能になるという説明をすると、多くの顧客が関心を示す」と述べた。

　さまざまなアプリケーションを提供するITベンダー側も同様だ。既にラクラスやクオリティーソフト、トレンドマイクロといったベンダーがSESに関心を示し、モデルケースの作成に取り組んでいる。アライドテレシスはさらに、システムインテグレーターなども含めたエコシステムの構築を目的に、2015年10月に「SouthSIDE SDN Exchange」を発足させた。この枠組みを通じて、APIの標準化や連携アプリケーションの拡大に取り組んでいくという。