仮想化されたセキュリティ機能をテストする:クラウドセキュリティを「見える化」する(最終回)(2/2 ページ)
仮想化はクラウドへの移行を後押しする大きな理由になりますが、それに伴って生じるセキュリティやパフォーマンスへの影響を、慎重に考慮しなければなりません。この記事では、そのリスクを可視化し、うまく制御していく方法を紹介していきます。(編集部)
ケーススタディ:仮想化されたデータセンター環境のテスト
最後に、仮想化されたデータセンターにおけるセキュリティおよびパフォーマンスのテストがどのように行われたか、1つケーススタディを紹介したいと思います。
2011年、Light Reading、Cisco、European Advanced Networking Test Center AG(欧州高度ネットワーキングテストセンター、略称:EANTC)、およびイクシアは、Cisco Cloud Infrastructureに対する大規模なテストを実施しました。テストが行われたクラウドインフラには、データセンターをはじめ、エッジ、モバイルバックホール、コアのネットワーク、および多数の主要ビジネスアプリケーションが含まれていました。
このテストの目的は、以下の疑問への答えを得ることです。
- データセンターインフラをどのように拡張させるべきかの指針を得る
- どのサービスとアプリケーションがクラウドに対応しているのか見極める
- インフラがIPv6への移行に対応しているか見極める
- セキュリティ、仮想化、規模、マルチテナント、優先順位、パフォーマンス、サーバ、ソフトウェア、ネットワークコンポーネントといった重要な要素がすべて整っているかどうかを確認する
これを検証するため、図3に示す大規模なテスト環境が用いられました(出典:LightReading - lightreading.com/ciscoseries)。
テストに使用された物理ハードウェアは以下の通りです。
- スイッチおよびルータ
- ファイアウォール
- 仮想化ホスト(UCSプラットフォーム)
- ストレージアレイ
- ビデオサーバ
ネットワーク、アプリケーション、クライアントおよびサーバをエミュレートするために、イクシアのハードウェアと仮想テストポートが全体を通して使用され、以下のさまざまなクラウドサービスおよび機能の評価を行いました。
●クラウドのアプリケーションデリバリ能力
サービスの種類(WebあるいはVoIPなど)と提供するサービスの水準(ゴールド、シルバー、ブロンズなど)の両方に基づいて、インフラが、クライアントへのアプリケーション配信を適切な品質でサポートできるか、その機能をテストしました。使用されたトラフィックの組み合わせは図4の通りです(出典:LightReading - lightreading.com/ciscoseries)。
また、体感品質(QoE)を確認するために、2つの大規模アプリケーション(Siebel CRMとCisco UCS)も自動実行しました。
●仮想化インフラストラクチャの管理機能
新しいネットワークとコンピューティングコンポーネントを迅速に追加できるか、そして新しい顧客の仮想マシンのプロビジョニングが行えるかどうか、インフラの管理的側面を確認しました。
●ネットワーク処理能力
データセンターにおける典型的な東西方向のトラフィック(データセンター内で生じる仮想マシン間のトラフィック)、ならびに南北方向のトラフィック(外部ネットワークとのトラフィック)をモデル化するために、約300Gbpsのトラフィックをネットワーク全体に送信しました。観測された平均遅延時間は約20マイクロ秒です。同時に、フェイルオーバと復旧機能もテストしました。
●仮想セキュリティ機能
仮想マシン間でファイアウォールおよびその他のセキュリティ対策を実施できる機能をテストしました。この中には、データセンターの顧客間が分離されているかどうかのテストに加えて、Webおよびその他のアプリケーションが適切なプロトコルでのみ通信できるか否かの確認作業が含まれています。
仮想セキュリティにおいて扱いにくい側面となっている、仮想マシンの移動処理(vMotion)もテストし、ファイアウォールの機能が仮想マシンに付随して移動することを確認しました。
●ビデオサービスの導入、ビデオコンテンツおよび配信の処理
Flash、Windows Media、Apple HLS、およびMicrosoft Smooth Streamingで配信を行うために、複数の種類のビデオソースから、複数のビットレートへのトランスコーディングを行いました。ビデオオンデマンド(VoD)、ライブストリーミング、およびモバイルビデオについてもテストしました。
●IPv6への移行メカニズム
クライアント、もしくはサーバによってIPv6およびIPv4のアドレス間のギャップを橋渡しするアルゴリズムが実装されているかどうかを確認しました。
詳細なテストでセキュリティと性能の可視化を
仮想化とクラウドコンピューティングは、経済性および柔軟性という2つの理由によって魅力的な技術となっています。この2つの理由だけでも、さらに多くのアプリケーションをクラウド化させる十分な要因になるでしょう。
しかし、アプリケーションを自社施設からクラウドに移すことにより、企業はセキュリティやその他のリスクにさらされ、対応を迫られます。また、アプリケーションパフォーマンスを調整する機能はますます複雑になります。一方で、体感品質(QoE)を劣化させることはできません。
いかなるソリューションを選択するにしても、最終的なシステムのテストはセキュリティ、QoE、およびパフォーマンスを確保するために必要です。完全なデータセンターシステム上でも、ここで説明した利用可能なツールと技法を用いることで、徹底した詳細なテストを実施できます。ぜひ活用してください。
Copyright © ITmedia, Inc. All Rights Reserved.