金融業界の性能管理とセキュリティコンプライアンス、このツールは決め手となるかデータセンター可視化、新技術の実力(2)

画期的な技術に基づくデータセンター可視化製品、「Cisco Tetration Analytics」が金融業界で大きな注目を集めているという。その理由は、性能管理とセキュリティコンプライアンス維持に関わる負荷の大きい作業を、完全に自動化できることにある。

» 2016年08月09日 10時00分 公開
[PR/@IT]
PR

 データセンター内で起こっていることを可視化し、機械学習で分析を支援するシスコシステムズの新IT運用支援ツール「Cisco Tetration Analytics」。初期販売段階で、特に金融業界やヘルスケア業界など、規制の厳しい業界における注目を集めたという。理由は、同製品がこれらの業界のセキュリティコンプライアンス、およびパフォーマンス管理における決定打となり得ることにあるという。

参考記事:Cisco Tetration Analyticsは、ブラックボックス化したデータセンターを読み解けるツール

 では、Tetration Analyticsは、具体的に金融などの業界をどう助けられるのか。本製品の事業責任者である、米シスコシステムズInsieme事業部 プロダクトマーケティング担当バイスプレジデントのラジーヴ・バドワージ(Rajeev Bhadwaj)氏に説明してもらった。

 バドワージ氏は、主に「確実なパフォーマンス管理」「アプリケーション依存関係の割り出し」「コンプライアンスの積極的な維持」「影響分析」の4点で、大規模な金融機関などがTetration Analyticsを活用し始めているという。

「マイクロバースト」対応も含めた的確なパフォーマンス管理を実現

 どんな業界でも、アプリケーション/サービスのパフォーマンス管理は重要だが、特に金融系の証券取引、為替取引などではネットワーク遅延が致命的な問題を引き起こす。そのため、遅延が発生した場合は、発生箇所と理由を即座に割り出し、対策を講じる必要がある。

 特にやっかいなのは、「マイクロバースト」だ。これはミリ秒単位の短時間に、瞬間的にトラフィックが増え、スイッチのバッファで対応しきれなくなる現象。遅延に大きな影響を与えるが、いつ発生するか分からず、発生時間が短いため、測定することすら難しい。

 Tetration Analyticsでは、スイッチのセンサーで、パケットバッファ利用率やパケットドロップなどの情報をリアルタイムに逐一取得できるため、マイクロバーストの発生の特定が容易だ。また、前提として、トータルな遅延における、アプリケーション遅延とネットワーク遅延の割合をつぶさに知ることができるため、マイクロバーストについても、その影響を的確に把握できる。

ゼロ・トラスト・モデルへの移行コストを激減できる

 金融業界やヘルスケア業界では、データセンター移行が活発に進められている。特に最近多いのは、「ゼロ・トラスト・モデル」への移行に向けたデータセンター変革だという。

 ゼロ・トラスト・モデルとは、信頼が全くない状態を前提としたネットワークセキュリティモデルのことだ。まず、各ホスト/アプリケーションを、他と全く通信できない状態に設定する。そして、必要最低限な通信だけを明示的に許可する。金融業界やヘルスケア業界では、ますます高度化するセキュリティ攻撃への対応策の1つとして、このモデルへの移行が強く推奨されるようになってきたという。

米シスコシステムズInsieme事業部 プロダクトマーケティング担当バイスプレジデント ラジーヴ・バドワージ氏

 しかし、これは大変な作業だ。その最大の理由は、現在データセンター内に存在するホスト間の、アプリケーション上の依存関係を、正確に見出すことが難しいという点にある。

 単一のアプリケーションには、例えばデータベースサーバ、アプリケーションサーバ、Webサーバ、負荷分散装置、認証サーバ、NTPサーバなどが関わっていて、これらの相互通信の上に、アプリケーションが成り立っている。

 依存関係を正確に把握した上でゼロ・トラスト・モデルに移行しないと、正常な通信がブロックされ、アプリケーションの実行に支障が生じる可能性がある。それでは大問題だ。このため、ある企業はラック当たり5万ドル、別の企業は合計600万ドルといった、とてつもないコストをかけて、依存関係の調査を実施しているという。

 Tetration Analyticsでは、ソフトウェアセンサーを関連ホストのOSにインストールし、動かせばよい。その後は、これらのホストで動作しているプロセスとネットワーク通信が、正確に把握できることになる。ネットワーク通信については、どのホストとの間で、どんなポート番号の通信が行われているかが分かる。ある程度長い期間をかけてモニターを実施すれば、たまにしか発生しない通信でも確実に知ることができる。

取得した情報にフィルターをかけて、一部のフローに注目したモニタリングができる。最上部に見えるタイムスライダーで、分析対象とする期間を容易に指定できる

 「このようにして、データセンター移行における作業のうち重要な部分を大幅に自動化し、膨大なコストをかけることなく、確実に移行できることになる」(バドワージ氏)

コンプライアンス管理を、積極的な活動に変える

 バドワージ氏が次に挙げるのは、コンプライアンスの積極的な維持だ。

 「ゼロ・トラスト・モデルへの移行を終えたら、その後に実施しなければならないのは継続的なモニタリングだ。ポリシーに違反した異常な振る舞いが発生しないかどうか、常時見張っている必要がある」(バドワージ氏)

 Tetration Analyticsを使うと、社内でのコンプライアンス管理をこれまでとは全く異なるものに変えることができると、バドワージ氏は強調する。手間を掛けることなく、日常的にリアルタイムでコンプライアンスをチェックでき、問題の発見と対処が迅速に行えるようになるという。

 Tetration Analyticsでは、データセンター内のホスト間の通信を全て捕捉し、これを即座に視覚化できる。通信についてコンプライアンスポリシーが設定されていれば、実際の通信をこれと照らし合わせ、かい離があるのかどうかが、分かりやすく示される。

 例えば、「アプリケーションサーバはWebサーバとの通信を、必ずファイアウォール経由で行わなければならない」というポリシーが設定されていたとする。ある日、これに違反し、アプリケーションサーバがファイアウォールを経由せずに、Webサーバと直接通信するような事象が発生した場合、ダッシュボードからすぐに把握できる。そして、即座に対策が打てる。すなわち、問題が発生する以前に、先手を打ってコンプライアンス維持ができる。

現実の通信データを使って、ポリシーのシミュレーションができる

 バドワージ氏は、金融業界で注目されているTetration Analyticsのもう1つの機能として、影響分析を挙げる。

 セキュリティコンプライアンス維持のために、新たなセキュリティポリシーを適用、あるいは既存のポリシーを修正しなければならないことがある。どの業界も基本的には同じだが、金融業界の場合、特にアプリケーション/サービスが複雑に絡み合っていることが多く、意図しないダウンは許されない。不適切なセキュリティポリシーがサービス障害の原因になってしまっては、本末転倒だ。このため、新規ポリシーの適用は、慎重の上にも慎重を期す必要がある。また、万が一のことを考え、変更頻度はできるだけ抑えたいという意思が働いてしまう。いきおい、タイムリーな対応が求められても、十分に応えられないことが多くなる。

 「データセンターは、多くの場合ブラックボックスとなってしまっているので、設定変更は怖くて誰もやりたがらない。だが、Tetration Analyticsを活用すれば、インフラへの変更を、自信を持って実行できるようになる」(バドワージ氏)

 Tetration Analyticsでは、データセンター内の通信を、漏らすことなく長期にわたって保存する。そして任意の期間における全ての通信、あるいは条件に合致する一部の通信を「再生」できるようになっている。そしてこの機能を活用し、ネットワークポリシーの適用によって問題が起きないかどうかをシミュレーションできる。

 具体的には、まずTetration Analytics上で、どの期間のどういった通信データをシミュレーションに使いたいかを選択する。例えば過去1週間のデータセンター内における全通信データを指定する。一方で、適用しようとしている新たなポリシーをTetration Analyticsに教える。

 これで、シミュレーションを実行すると、指定された過去1週間の通信データと新ポリシーが自動的に照らし合わされ、新ポリシーを実際に適用した場合に、「意図しないのに許可されてしまう通信」や「意図しないのにドロップされてしまう通信」が分類され、分かりやすく示される。ちなみに、このシミュレーションは、Tetration Analytics上で机上の照らし合わせが行われるだけであり、実際にデータセンター内にパケットが流れるわけではないため、データセンターのオペレーションに悪影響が及ぶことは一切ない。

 Tetration Analyticsのシミュレーション機能はとてもユニークだ。人工的なデータでなく、実データに基づくシミュレーションだというだけでも、大きな価値がある。現実のデータセンターでは、担当者の把握しきれていない通信が発生している可能性がある。人工的なデータでは、これを考慮に入れることが不可能だ。これでは結果的に「出来レース」のような効果しか持たず、シミュレーションの役割を果たさない。一方、実データでシミュレーションを行えば、担当者が必ずしも把握していなかった通信を含めてポリシーが検証できるため、これ以上ない正確さでその適否を判断でき、必要な修正点も即座に分かる。

シミュレーションで過去の通信データを「再生」し、ポリシーを逸脱した好ましくない通信が発生しないかどうかを、簡単に確認できる

 それでこそ、バドワージ氏が言うように、インフラへの変更を、自信を持って実行できるようになる。

金融機関以外でも、コストとリスクを下げたいなら

 上記では金融業界を中心に、Tetration Analyticsが性能管理とセキュリティ維持のやり方を根本から変えられることを説明した。だが、他の業界でも、同様な問題を抱えているところは多い。

 遅延への日常的な対応を強いられている業界には、例えばオンラインゲーム、動画配信、音声通信などがある。

 また、セキュリティコンプライアンスおよびセキュリティフォレンジックスの効率化は、規制の厳しい業界だけでなく、大規模なオンラインサービスを提供するところであれば、例外なく考慮しなければならい状況になっている。

 幅広い業界において、性能低下およびセキュリティ問題のリスクは高まっており、そのために多大なコストと労力を費やすことを余儀なくされている企業は多い。大幅な自動化によって、こうした状況からの脱却を支援してくれるのが、Tetration Analyticsだ。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:シスコシステムズ合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年9月8日

Intel、インテル、Intel ロゴ、Xeon、Intel Inside、Xeon Inside は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。

関連記事

「Cisco Tetration Analytics」は、「目からウロコ」のIT運用支援ツールだ。データセンター内で発生している事象を丸ごとデータとして捕捉、これをデータとして蓄積し、グラフィカルに探索できることで、「証拠」、あるいは正確な事実に基づく運用が実現できる

データセンター内のネットワークとアプリケーションの可視化を目的とした分析製品「Cisco Tetration Analytics」を国内発表した。データセンタースイッチおよびホストからネットワーク通信のパケットキャプチャを実施、これを長期的に保存するとともに、状況を確認・分析できる製品。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。