テリロジー 「半公式」エンジニアブログ(仮)

株式会社テリロジー コンサルティング&ソリューション技術部

VDIパフォーマンス問題を解決し、ユーザの生産性を最大化しませんか?

 こんにちは、C&S技術部のMasatoです。VDIが遅いというのは黎明期からよく耳にした課題です。昨今では普及期に突入したといわれるVDIですが、ユーザからログインやアプリが遅いといったクレームが今日でも絶えることなく、多くのケースでその原因も分からないままお蔵入りするそうです。黎明期の課題が「VDIとはそういうもの」として亡霊のように彷徨っている印象を受けます。VDIインフラの機能面では技術革新が進んだのでしょうが、そのパフォーマンスの可視化は相対的に困難になっているというのが実情ではないでしょうか。

 そんな諦めムード漂うVDI運用の現場に一石を投じるのがeG Enterprise Suiteというモニタリング・ツール。VDIのユーザ・エクスペリエンスを可視化し、ログインやアプリが遅い根本原因を通知してくれます。単に「遅い」と通知してくれるのではなく、「遅い原因はこれだ」と根本原因を通知してくれる強力なツールです。例えば、図1はVDIのログイン・シーケンスです。ログインが遅い場合、このログインのシーケンス、すなわち各ステップ毎での時間と、実際に実行されている処理が可視化されなければ根本原因を掴むことができません。

<図1>

f:id:terireview:20161214175542p:plain

eG Enterprise Suiteは、このログイン・シーケンスのステップ毎の掛かった時間と、実際の処理を可視化し、どのステップの何の処理が原因なのかを可視化、通知してくれます。図2はログインに掛かった時間を可視化したもので、ログインに331秒(5分半)掛かっていて、そのほとんどが対話セッションの確立に費やしていることが分かります。

<図2>

f:id:terireview:20161214180116p:plain

eGの可視化はこれで終わらず、さらに根本原因に迫ります。図3にあるように、対話セッションの確立の中でドライブのマッピングに時間を要しているのが根本原因であることを通知してくれます。管理者は、ストアフロントやドメインコントローラやDBサーバやハイパーバイザーの状況がどうだったかを調べることすらなく、この通知に基づきDrive-Mapsに絞り込んで問題を解決できるのです。

<図3>

f:id:terireview:20161214180345p:plain

 いかがでしょうか。eG Enterprise Suiteを使うことで、今まで見えなかったものがこれだけ見えるのです! これまでお蔵入りとなってきた亡霊の如きVDIにまつわるパフォーマンス問題を次々と解決し、VDIユーザの生産性を最大化するとともに、ユーザに頼られるゴーストバスターズへの一歩を踏み出しませんか?

社内勉強会(リーンキャンバスの基本)

コンサルティング&ソリューション技術部の奥野です。

 

先週の金曜日はリーンキャンバスの基本についての勉強会を実施。
第一回目は14人のメンバーが参加しました。

 

当部では三年ほど前からビジネスの勉強会も定期的に実施するようになりました。本年度は新規取扱い製品も増え、我々エンジニアもビジネスを理解しなければなりません。最初は「それは営業の仕事じゃないですか」という反発もありましたが、今ではそういうものはなくなりました。

f:id:teriwriter:20161204043918p:plain

 

どちらかというと当社においては「裏方」の位置づけのエンジニア部隊ですが、積極的に意見を発信して、会社の中心でリーダーシップを発揮していくチームに成長してくれればよいと思います。

 

私はそれができるメンバーが揃っていると思っています。

 

次世代の仮想化技術を駆使したクラウドセキュリティサービス基盤とは?

数年前から国内でもクラウドファーストの気運が高まり、セキュリティ脅威は防衛産業、官公庁とか大手企業だけでなく、中小企業でもその利用ニーズは身近な問題となってきた。

一方、脅威の手口は増々巧妙化してきており、企業ユーザは色々なセキュリティホールに対して複数のセキュリティ製品による多層防御対策が不可欠となってきた。セキュリティ対策への投資コストの課題も表面化してきている。最近のガートナージャパンの調査では日本企業の情報セキュリティに関する懸念事項が以下のチャートに示されているが、「コストがかかりすぎる」と「複雑すぎる」が1位と2位を占めている。

 

この調査結果を見ても明らかなように、企業経営にとってインターネット接続は今や利用不可欠であり、セキュリティ対策も無視できない状況である。そして、時代の流れは、“マネージド・セキュリティ・サービス”にシフトしつつある。企業が購入したセキュリティ資産を第三者のセキュリティサービス事業者がリモートで運用管理しようとするものである。ただ、前述したように、企業内で常に最新のセキュリティ製品を購入しつづけるのには限界がある。

そこで、最近では、セキュリティベンダーやクラウドサービス事業者が企業のセキュリティ資産をクラウドに移行する動きが活発化している。クラウドUTMを企業ユーザに提供するサービスソリューションが増えてきた。自社でセキュリティインフラ資産を購入するよりも、サービスとしてのセキュリティ対策のクラウドサービスを利用することの方がコスト効果が高いという訳である。具体的には、大手セキュリティベンダー自身がクラウドセキュリティサービスを月額料金で提供したり、回線を含めたクラウドセキュリティサービスパッケージを通信事業者が提供したり、SIerが自社運営のデータセンターで企業ユーザ資産を運用してセキュリティサービスを提供したりし始めている。

こうしたクラウドセキュリティサービス市場に最近、まったく新しいしくみの潮流が現れた。以下、そのしくみとサービスの特長について解説する。

新しい“SECaaS”のしくみとは

以下にその概念図を示す。

<従来のインターネット接続のセキュリティ運用>  <SECaaSでのセキュリティサービス運用>

 

f:id:terijournal:20161124153529p:plain

従来の運用形態は企業のオンプレミスにセキュリティ対策に必要な資産を配置。これに対してカナダのWedge Networks社が提唱するSECaaS(SECURITY as a Service)ではサービス事業者のサービスインフラ内に企業向けセキュリティ対策にとって必要なセキュリティ防御基盤を集約する。以下にもう少し詳細にそのセキュリティサービス環境について示す。

f:id:terijournal:20161124154817p:plain

                                                         図1

f:id:terijournal:20161124155210p:plain

                                                               図2

図1はWedge Networks社のSECaaSサービス基盤の中枢の構成としくみを示している。ユーザ側とインターネットとの中間のクラウドデータセンター内にこのSECaaSサービス基盤をインラインで構築するというしくみである。ユーザ顧客ごとにVM環境を構築するのではなく、マルチテナントを1つのVM環境で対応するために最新仮想技術のSDN、NFV、Openstackそしてオーケストレータを採用する。VM上に“WedgeOS”と呼ぶセキュリティオペレーションシステムを立てて、その中にDPI(Deep Packet Inspection)とDCI(Deep Content Inspection)という中核となるソフトウエアエンジンを実装。このDPI/DCIがインターネットアクセスのユーザトラフィックを受付し、NFV(Network Function Virtualization)化された各種セキュリティモジュールにOpen Service Busを介して必要な検体データを送り、そこで詳細分析を行う。分析結果はすぐさまDPI/DCIにフィードバックされブロックされる。例えば、インターネットサイトからダウンロードされるウエブコンテンツの場合、コンテンツは通常、複数のパケットデータで構成される。これらパケットはネットワークのボトルネックを回避するために、インラインでDPI/DCIを通過するこれらバケットを透過的にコピーしながら、コンテンツのパケットは順次ユーザ宛先に転送される。但し最後のAckパケットは分析結果が出るまでは送らない。分析結果によってDPI/DCIでそのコンテンツを廃棄するか通すかを制御する訳である。

 

図2はDPI/DCIとOpen Service BusおよびNFVに組み込む各セキュリティモジュールを示す。各種セキュリティモジュールの内容に関しては以下で説明するが、ある一部を除き、これらセキュリティモジュールは自社開発。ただ、Threat Intelligenceの最新情報は主要なセキュリティベンダーから供給される。図3はさらに詳細なWedge SECaaS基盤のしくみ全体像を示す。

f:id:terijournal:20161124155345p:plain

                                                              図3

SECaaSのサービスメニューとは

 

以下にWedge NFVで提供されるセキュリティ機能を示す。

 

尚、SECaaSサービスとして提供されるメニューとしては以下の3種類である。

Wedge Networks社は近々、AI技術採用のCylanceを搭載した新機能WedgeAMB(Advanced Malware Blocker)をこのWedgeCNDに組み入れる予定である。

 

他ベンダー提供のクラウドセキュリティサービス市場との違いと優位点

既に日本国内市場においても色々なセキュリティベンダーからクラウドUTMやManaged Security サービスが提供され、こうした新しいセキュリティサービス市場が確立されようとしている。

IDC Japanは「2015年からはサイバーセキュリティ基本法によって、重要インフラ産業での標的型サイバー攻撃対策強化が求められ、フォレンジックサービスやマネージドセキュリティサービスなど専門知識を有するサービスへのニーズが高まる。なお、市場全体の2014年~2019年のCAGR(Compound Annual Growth Rate)は4.9%で、2019年には8202億円に拡大すると予測される。」と報告している。

 

他セキュリティベンダーの中には「オンプレミスと同等のセキュリティ機能を仮想アプライアンスで実現」するアプローチでFWやUTMをクラウド上で運用管理するサービスを提供したり、あるIaaS型クラウドサービスではセキュリティゲートウェイの仮想アプライアンス版をオプションサービスとして月額利用の形態で提供したり、IaaS事業者やデータセンター事業者などサービスプロバイダー向けに初期投資なしで仮想UTMのセキュリティ機能をクラウドサービスとして提供できる料金体系を用意したりと、サービスを意識した提供形態となっているものの、ユーザー視点で見ると機能面での網羅性やスケーラビリティ面の不安や、コストなど、どれを選択するにもメリット・デメリットが存在する。

 

これに対して、Wedge NetworkのSECaaSでは、個別のVMを立てるのではなく、1つのVM環境の中でマルチテナントを構築しており、必要に応じて容易にスケールアウトできるアーキテクチャーになっている。また、ユーザサイドのポータルを用意しており、ユーザは必要に応じたセキュリティメニューを選択できる。また、機能面での比較表を以下に添付する。

*1

f:id:terireview:20161205091045p:plain

 

Wedge Networksの海外でのユーズケース例

 

既に米国市場ではSECaaSサービスでWedge Cloud Network Defense製品を活用している実績が色々とあり、そのうちの一部を紹介する。

  • 米国テキサス州ヒューストンのCATVサービス事業者の例:

ヒューストンといえば以前から石油の精錬所が立ち並ぶ地域として有名である。社会インフラの制御システムを狙ったセキュリティ攻撃が最近勃発している。そして、テキサス州は教育機関でいち早くICTを導入した地区としても知られている。こうした市場ニーズをこのCATV事業者はWedge NetworkのCloud Network Defense(Wedge CND)を用いたSECaaSを立ち上げた。

サービスしている教育機関は同州の中学・高校の学校群(約2,000校)である。こうした教育機関はもちろん個別サートにはファイアウオールは導入されていて今までリモートで運用管理を行っていた。以下にサービス基盤を示す。

f:id:terijournal:20161124155632p:plain

おわりに

仮想化技術を駆使したセキュリティ基盤ソリューションについて上記で紹介したが、こうしたしくみは今後、様々な局面で利活用されると筆者は予測する。最近、通信事業者で閉域網ネットワークとそのオーバレイでインターネット接続向けのトンネルサービスをハイブリッドで提供する“Software-Defined WAN(SD-WAN)”サービスが立ち上がろうとしている。こうしたSDWANのユーザにセキュリティサービスとして提供する対策としてはWedge Networkのようなクラウドでのセキュリティ基盤も有益ではないか。

また、最近注目のIoT/IoEのインターネット接続へのセキュリティ対策としても今後検討が期待される。

 

 吉岡仁

 

*1:注:以下の比較表はカナダ Wedge Networks社の市場向けのメッセージから抜粋

閑話:仕事をなめてる××××××

ネットワークエンジニアのTくんがコンビニで見つけてきたもの・・・。

 

f:id:teriwriter:20161201194704p:plain

 

仕事をなめてるキャンディ・・・

吹き出しには「この案件 降りていいっすか?」・・・

 

このキャラクター「貝社員」っていうんですね。

オフィシャルサイトまでありました。

kaishain.net

 

まあ、いろいろと大変な案件もありますからね。

 

社内勉強会(企画書の書き方)

管理人#1 の Y.O です。

本日は「企画書の書き方」についての勉強会をやりました。

 

皆、それぞれ日常業務に追われていますので、2回実施する予定なのですが、第1回目の参加者は11名。テキストは、私の経験やこれまで諸先輩に習ってきた様々なことの共通点をまとめて資料化したものです。2年前にソフトウェアのチームを立ち上げたときに作成した資料に内容を追加して改訂しました。

 

グレマスの行為者モデルの話をしましたが、理工系のみならず、いろいろな専門分野を持つメンバーが集まっていますので、私より詳しいメンバーもいて驚きました。

 

技術部のメンバーそれぞれ、これがやりたい、あれがやりたい、あれをこう改善したらどうか、いろいろ心の中で思っていることがあるはずです。それをどうアウトプットするか、これは非常に重要で、それができないと努力や熱意がなかなか人に伝わらず、その結果、やりたいことに挑戦する機会を逸してしまう。それは勿体ない。

 

我々はエンジニアであると同時にビジネス・パーソンです。企画や提案していく文化が根づき、どんどん新しいことに挑戦していく技術部であればよいと思います。

 

Coho DataStreamでストレージの運用を簡単に!

こんにちは。コンサルティング&ソリューション技術部エンジニアの江口です。
弊社では、ストレージとしてCoho DataStreamという製品を取り扱っています。
このストレージは、簡単にいえば「仮想化環境用*1のNFSストレージ」なのですが、ストレージの運用を非常に楽にする仕組みを備えており、かつパフォーマンスの良い、「簡単で扱いやすい」製品であることが最大の魅力です。今回は、このCoho DataStream(以下Cohoと略します)が、どのように運用を楽にしてくれるか、という点にフォーカスしてご紹介したいと思います。

ちなみに「Coho」とは銀鮭のことです。イメージカラーも鮭をイメージした赤色。

f:id:teriwriter:20161130190425j:plain

なかなか目立つ外観です。

従来の典型的なストレージの構築

Cohoの機能をご紹介する前に、まずは、従来のストレージを利用するにあたって、どういった作業が必要になるかを見てみましょう。なお前提は、NW経由で接続されるストレージ(SAN/NAS)です。

  • RAIDの設定、LUNの切り出し: ストレージは通常、搭載している物理ディスクでRAIDを構成し、いくつかの論理ボリューム(いわゆるLUN)を作成します。LUNは拡張は容易ですが縮小は難しいため、事前に適切な設計が必要となります。SANストレージであれば、LUNのホストへのマッピング(LUNマスキングなど)が必要となります。
  • NW設定: ストレージとホスト間はNWで接続されますので、NWの適切な設定も必要となります。
  • マイグレーション(リプレース/増設時): データを筐体間で移行する作業です。ストレージをリプレースする場合は必ず必要ですし、たとえば既存ストレージが負荷に耐えられないためコントローラを追加した、というようなケースでは、負荷分散のため既存機器から新規機器への一部データのマイグレーションを行うこともあります。マウントするホスト側でも、マウントの設定を変更するなどの作業が付随して発生します。

以上のようにさまざまな作業が発生して、手間も相当なものです。

運用を簡易化するCohoの機能

さてCohoでは、上に挙げたような手間をユーザにかけないよう、さまざまな配慮がなされています。どう運用が簡単になるものか、以下、ご紹介していきましょう。

RAID、LUN設定は不要 

CohoにはLUNの設定は必要ありません。Cohoは複数のストレージノードによるクラスタリングが可能ですが、すべてのノードのボリュームが単一の大きなNFSボリュームとしてまとめられます。新しいシャーシが追加されれば、自動的にNFSボリュームの大きさがそのシャーシの分増えるのです。
単一のボリュームといってもエクスポートは複数作成できますし、各エクスポートごとにアクセスできるホストを制御することもできます。
もちろん、すべてのクライアントが一つのエクスポートをマウントして共有する運用も可能です。
またRAIDについては、そもそも使っていません。ではデータの冗長性が無いのか?というとそんなことはなく、ノード間でデータをリアルタイムにレプリケーションして冗長化を行っています。では最小構成でシャーシが2台必要か、というとそんなことはありません。実は1台のシャーシ内に物理的に分離されたストレージノードが2台収容されていて、その2ノード間でレプリケーションが行われます。
ディスクなどに障害が発生すれば、そのディスクに存在したデータの再レプリケーションを実行し、常にデータのレプリカがクラスタ内に存在するようにします。

スイッチ設定不要

上に書いたようにCohoはスイッチがセットになっているため、別途スイッチを用意する必要はありません。
またスイッチにコンソール等で接続して設定する必要もありません。スイッチはSDN(Openflow)に対応しており、経路の設定はSDN経由ですべて自律的に・かつ動的に行われます(SDNコントローラはCohoクラスタ上で動作しています)。
たとえば新しいCohoシャーシを追加したり、NFSクライアントが増えたりしても、ユーザの設定は必要ありません。どのクライアントをどのストレージノードに接続するか、動的に判断し設定が行われます。障害が発生したり、あるストレージノードへ負荷が集中したりした場合も、同様に動的に判断され、別のノードへの接続の切り替えが行われる仕組みです。

シャーシ(ストレージノード)の自動デプロイ、クラスタリング

Cohoシャーシを増設したい場合、ユーザの必要なオペレーションは「スイッチに結線する」ことだけです。
スイッチ上で稼働するクラスタ管理ソフトウェアが、結線するだけで新しいシャーシを検知し、デプロイを自動的に行ってくれます。
ストレージノードのファームウェアイメージも管理ソフトウェア上で保持しており、自動的に新規のシャーシにそのイメージを配り、インストール、クラスタへの組み込みといった作業が自動的に実行されます。
逆にシャーシの撤去を行う場合は、Web UIからボタン一つでクラスタからの切り離しを実行できます。

マイグレーション不要

Cohoクラスタ内では、シャーシ間でなるべく均等にデータを持つように制御を行います。
シャーシの追加をすればそのシャーシにデータを既存機器から移し、シャーシを撤去する場合は対象機器から残る機器にデータを移します。このため、ユーザが手動でマイグレーションを行う必要はありません。
この機能により、新しい機器の追加・古い機器の撤去というHWライフサイクルの運用が効率的に行えるようになります。

おわりに

ざっとCohoがどうストレージの運用を楽にしてくれるかを紹介しました。
こうした高い運用性は、運用コストを引き下げ、長期的には高い投資対効果をもたらします。
オンラインゲーム大手であるガンホー・オンライン・エンターテイメント様には、この運用性の高さに魅力を感じCohoの導入を決めていただきました。ガンホーの導入事例については、テリロジーの公式サイトでご紹介していますので、興味があればそちらもチェックをしてみてください。

www.terilogy.com

*1:2016年11月現在では、VMWare環境でのNFSデータストア、およびOpenStack環境でのCinder用ボリュームとしての利用に対応しています。

セキュリティで採用されるパズル


みなさん、パズルゲームは好きですか?

 

パズルと言っても色々ありますよね。

ジグソーパズル、クロスワード、テレビゲームや携帯ゲームなどなど…。

一度も見たことも触れたことも無いという人は少ないのではないでしょうか。

これ、一度やり出すと止められず、私はそれで親に叱られた記憶もあります。

実はこのパズル、セキュリティ機器にも採用されつつあります。

 

セキュリティというとファイアウォールやIPS、WAF、標的型攻撃対策ツールなど、

こちらも色々存在します。

今回はネットワーク暗号化技術でもあるIPSecにフォーカスしたいと思います。

 

さて、このIPSec。

拠点間VPNを始めとする離れた両端をTCP/IPネットワーク経由で

セキュアな通信を確立する技術。

このお陰でVPNを張れるルータやファイアウォールも多種多様の機器が存在します。

従来のVPNではIKEのフェーズ1、フェーズ2の鍵交換を行い、

両端の認証を行っています。

利用する鍵も機器に定義する必要があったり、運用者の負荷が掛かっている場合も

あります。

 

ではこのパズルですが、お互いに問題を出して答えさせる。

そして共通の答えを持っている場合に通信が確立されます。

 

何故パズルが安全か。

いきなりですが、計算してみました。

・4×4の合計16マスの間で利用するマスが11マスであった場合
・入力文字の制限が例えば小文字のアルファベットのみだった場合

 (利用可能文字は26個)

・クロスワードのように、意味のある単語である必要が無い場合

 

図:パズル例

 f:id:teriwriter:20161128182544p:plain

 

単純に計算しても26文字×11マス分。

これは26の11乗になります。

 

「3,670,344,486,987,776」

 

Brute Force Attackで秒間1,000パターンの文字配列を試した場合、

42,480,838日掛かります。116,385年掛かります。

 

これが3×3の合計9マスだった場合も、秒間1,000パターン試して

172年掛かる計算になります。

コンピュータの目まぐるしい発展は否めませんが、

果てしない時間が必要となりそうです。

 

実はこのパズル方式、HIP(Host Identity Protocol)で採用されています。

IKEのフェーズ1、フェーズ2の鍵交換では無く、

HIPの「I1/I2」、「R1/R2」を用いて情報交換を行っています。

この「I1/I2」、「R1/R2」も運用者の手を煩わすことなく

HIP通信を確立するために利用するため、

従来のTCP/IP通信で利用するスリーウェイハンドシェイクと近いイメージとなります。

 

このHIP自体の歴史は古いのですが、実はまだまだ世に出回っていないプロトコル。

そんなプロトコルを採用したソリューションが出てきましたので、

市場に送り込めるように活動していきます

 

早速そのソリューションのセミナーを開催しましたので、

次回はデビュー戦のご報告とソリューションの紹介をしたいと思います。

 

Terilogy Y.S.