分析サーバとの連携で自律的なポリシー運用も容易に

APIC-EMの世界では、上位アプリケーションによる自律的なポリシー運用も容易になる。例えば企業内ネットワークに接続されたデバイスが、マルウェアに感染したケースを考えてみよう。ネットワーク上にマルウェア特有の通信パターンを検知するセンサーを設置しておけば、このセンサーがマルウ ェア感染デバイスのポートを検出してその情報をAPIC-EMに通知、APIC-EMからこのポートの切断指示を出してデバイスを隔離するといった処理を、自動的に行えるようになる。[図9]

図9 アプリケーションによるネットワークポリシー操作
動的なネットワークセキュリティユースケース

シスコのLANスイッチを使用すれば、専用センサーを設置しなくても、同じことが可能になる。シスコのLANスイッチには通信ログ機能と通信ログデータの転送機能が装備されており、NetFlowの設定をONにすることでこれらがアクティブになるからだ。ここで重要なのは、収集、転送されるのがサンプリング データではなく、全ての通信ログデータだということである。ネットワークを流れる全てのパケットの属性を記録し、把握できるため、適切な分析サーバを設置しておけば、脅威を確実に検出できるのだ。

このようにAPIC-EMの世界では、自律的なネットワーク運用へのハードルは著しく低くなる。しかし従来のネットワーク管理者にとっては、「ネットワーク構成の透明性が損なわれるのではないか」という不安もあるだろう。ネットワーク構成の情報収集や設定変更を全てAPIC-EMで管理することで、技術者によるアドホックな管理が難しくなるのではないだろうかと。

ここで重要な役割を果たすのが、PI/ISEの存在である。APIC-EMとPI/ISEは排他的な関係ではなく、混在、共存が可能だ。現時点では、両者はそれぞれ個別にネットワーク構成の情報を収集、管理しているが、近い将来にはこれを統合していこうという取り組みも進んでいる。最終的にはPIがAPIC-EMのアドオンになり、両者はひとつの世界にまとまっていくはずだ。

最後に改めて、PI、ISE、APIC-EMを比較しておく。[図10]

図10 企業向けSDNコントローラ
無線/有線LANの運用管理、認証、ビジネスポリシーまで段階的にサポート

これらの関係を図にまとめると、以下のようになる。[図11]

図11 企業向けSDNコントローラモデル

一般的なSDNが現在目指しているのは、図の左側の、PIが提供する範囲の機能だといえる。シスコはこれに加え、セキュリティ グループや認証の制御、管理を行うISEや、インテント ポリシーによる管理を可能にするAPIC-EMまでカバーしている。このように、取り組んでいる内容が多岐にわたっていることも、シスコのSDN戦略のわかりにくさにつながっているのだろう。しかしこれらを整理し、一般的なSDNと比較すれば、シスコが何を目指しているかがはっきりと理解できるはずだ。

コンセプトが限定的であるが故にわかりやすい解決策のみを示すだけではなく、中長期的なビジネスの変化を視野に入れながら、ビジネスに貢献する将来構想を提示すること。そしてそれに対して、現実的な方法でアプローチすること。これがシスコのSDN戦略なのである。