IIJ GIOベストプラクティス - デザインパターン【ネットワーク】
VMware NSXを利用したマイクロセグメンテーション
IIJ GIOインフラストラクチャーP2 プライベートリソース VWシリーズ上でVMware NSXを利用し、仮想マシン単位のセキュリティ対策を可能にするのが「VMware NSXを利用したマイクロセグメンテーション」です。仮想マシンのセキュリティを強化し、ネットワークの運用性を向上させます。
解決できる課題
- 従来のゲートウェイ型ファイアウォールでは実現できない、サーバごとのアクセス制御を実施したい。
- 内部ファイアウォールの運用にかかる物的・人的コストを削減したい。
デザインパターンの概要
- マイクロセグメンテーションは従来のファイアウォールと違い、ハイパーバイザレベルで通信制御を行うことで、仮想マシン間の通信制御が可能になる仕組みです。
- VMware NSXをIIJ GIOインフラストラクチャーP2 プライベートリソース VWシリーズ上に構成し、ハイパーバイザのカーネル上でDistributed Firewallを稼働させます。これにより、仮想マシンのマイクロセグメンテーションが実現できます。
このデザインパターンのメリット
- 仮想マシンのvNICでファイアウォールポリシーが適用されるため、同一セグメント内における仮想マシン間の通信を制御できます。
- セキュリティポリシーを定義することにより、仮想マシンに動的にファイアウォールポリシーを適用できます。仮想マシンを追加した際のファイアウォールの設定が不要となり、ファイアウォールの運用コストを削減できます。
- OS機能のファイアウォールと違い、NSXの管理コンソール(NSX Manager)で一元的なポリシーの管理が可能です。
補足
- VMware NSXはIIJからライセンスアドオンとして月額提供可能です。
関連情報
対象サービス
- IIJ GIOインフラストラクチャーP2 プライベートリソース VWシリーズ
- ライセンスアドオン VMware NSX