インテントベースのネットワークをドメイン間にも拡張する
この記事は、シスコ エンタープライズ ネットワーク担当シニア バイス プレジデント Sachin Gupta によるブログ「Extending Intent-Based Networking Across Domains」
(2019/1/29)の抄訳です。
ビジネスにとってネットワークはこれまで以上に不可欠であり、 セグメンテーションはセキュリティを確保するための鍵となりつつあります。セグメンテーションにより、脅威が横方向に移動することを防ぎながらも、ユーザやデバイスから必要なアプリケーションとデータにアクセスできます。セグメンテーションは、エンドポイントやアプリケーション、データの場所を問わず、あらゆるネットワーク ドメインで機能する必要があります。そのためには、技術的なドメインと組織的なドメインの両方を縦断する必要があります。
必要な新しいテクノロジーはすでに完成しています。新しいテクノロジーを活用すべく、組織のサイロ化を克服したお客様も実際に存在しています。ドメイン間でポリシーベースのアクセスを実現するためにテクノロジーや IT 組織が他にどう進化すべきかについて、皆様のご意見をぜひお聞かせください。
インテントベース ネットワークと技術的なサイロ
エンタープライズ キャンパスの IT 管理者は、Cisco SD-Access ソリューションにより、キャンパスとブランチのユーザやデバイスをセグメント化できます。SD-Access は、シスコの信頼性の高い IoT ソリューションと統合することで、産業環境にも拡張できます。データセンターでは、アプリケーションとデータが Cisco Application Centric Infrastructure(ACI)を介してセグメント化されます。また、Cisco SD-WAN により、ユーザからデータセンター内のアプリケーション、そしてパブリック クラウドに至る間のトラフィックを新しい柔軟な方法で管理および保護できます。これらのソリューションを組み合わせることで、ビジネス ネットワーク、データやアプリケーションにアクセス可能なユーザや、それらにアクセスする際の QoS を、エンドツーエンドで制御できます。
シスコでは、キャンパス、ブランチ、WAN、データセンター、クラウドでセグメンテーション ポリシーを管理するためのインテントベース ネットワーク(IBN)を開発、導入しています。インテントベース ネットワークにより、ビジネス ニーズと整合性の取れたネットワークを実現できます。インテント(意図)を理解できる Cisco SD-Access、SD-WAN、および ACI ソリューションは、組織がセグメンテーション ポリシーを定義する方法を変革してきました。インテントベース ネットワークでは、ポリシーが翻訳されてネットワーク インフラに自動的に適用されます。インテントが実際に達成されていることを確認するため、コンテキスト ベースの分析(アシュアランス)が実行され、その結果に基づいて推奨される修正内容が報告されます。
大規模および中規模の組織では、全体的なネットワーク戦略を採用する必要があります。広範囲に分散されたアプリケーションおよびアーキテクチャに起因して、組織固有のパフォーマンス、セキュリティ、および管理上の課題が存在するからです。しかし、データとアプリケーションを手動で管理・保護するという従来のアプローチは、もはや適切でも持続可能でもありません。
あらゆるネットワーク ドメインで必要なのが、インテントベースのネットワーク アーキテクチャなのです。
ドメイン間でのポリシー統合
問題の解決には組織で単一のファブリックを使えばよい、と考えるかもしれません。しかし現実の世界では、ネットワーク ドメインごとに固有の要件があり、各ドメインがそれらの要件を満たす必要があります。たとえばキャンパスではモビリティが重視されるため、多様な認証方式で有線および無線クライアントをサポートする必要があります。データセンターでは、仮想マシンおよびコンテナ環境との統合をサポートするため、広い端末間帯域幅と管理機能が求められます。他にも、管理ドメインの上から障害ドメインと分離を管理する目的で構築されたネットワークやファブリックも存在します。多くのネットワーク ファブリックはこれらの要件を満たせますが、ファブリックをシームレスに接続するという別の課題も残ります。
ここで最善の方法は、ドメイン間でポリシーを統合することです。ドメインの一意性を維持しながら、必要な一貫性と管理機能を確保できるからです。ポリシーの統合では、各ドメインが独立して機能しつつ、他のドメインと連携できるため、ネットワーク全体にメリットがあります。
シスコでは、ネットワーク ドメイン間で一貫したポリシーとアシュアランスを適用できるよう努めています。つまり、IT インテントとビジネス インテントを 1 つのドメインで定義するだけで全ドメインに適用し、適用状況を監視できるのです。
それを実現できるのが、新しいポリシー統合機能です。IT 管理者の権限を業界で初めて強化することで、キャンパスおよびデータセンター全体で一貫したパフォーマンス、コンプライアンス、およびセキュリティを実現できます。
エンタープライズ ネットワーク ドメイン間のポリシー統合
Cisco ACI と Cisco SD-Access
エンタープライズ ネットワークの分野でシスコの SD-Access ソリューションは、IP アドレスベースのアクセス管理とそれに伴う手動設定を不要にし、ユーザとデバイスをグループに割り当てる ID ベースのグループ アクセス管理に置き換えました。データセンターでは、Cisco ACI によりアプリケーションを同様の方法でグループ化します。セキュリティ ポリシーをグループに関連付けるのは SD-Access と ACI の役目です。こうした新しい機能統合により、SD-Access は、ユーザ情報および(ACI が作成した)デバイス グループに関する情報を ACI に送信します。それと引き換えに、ACI がアプリケーション用に作成したグループに関する情報が SD-Access に届きます。SD-Access と ACI による情報交換の結果、Cisco Identity Services Engine(ISE)を共通のブローカーとして活用しながら、それぞれのネットワーク内で互いのポリシーを学習して実施できます。
たとえば、ある病院がデータセンターでカルテと請求のアプリケーションをホストしているとします。病院の従業員は異なるユーザ グループに分割されています。それらのグループをデータセンターとキャンパスの間でマッピングすることで、エンドツーエンドのポリシーを自動的に適用できます。これにより、医療アプリケーションにアクセスできるのは医療提供者グループ(医師と看護師)に、財務アプリケーションにアクセスできるのは財務部門の従業員と幹部に限定可能です。こうしたポリシーはユーザの場所を問わずに適用されます。エンドツーエンドのポリシーにより、機密の財務データおよび患者のカルテが不正アクセスで流出するリスクが大幅に減少します。
今後のイノベーションにご期待ください
シスコが今日発表したポリシー統合は、ほんの始まりにすぎません。エンタープライズ ネットワークの管理とオーケストレーションという分野で新しいテクノロジーを活用できるよう、お客様への支援を今後も続けてまいります。
今回のトピックについて詳しくは、以下をご覧ください。
- 参考資料:データセンターの枠を超える Cisco Data Center
- 参考ビデオ:ポリシー統合を取りあげた「Tech Field Day」
- 学習資料:SD-Access スタートアップ ガイド
- 学習資料:ACI と Cisco DNA/ISE により、ユーザ~アプリケーション間でシームレスなセグメンテーションを実現
Tags:
