IT/ネットワークの世界に深く根付いてきた「境界型セキュリティ」の限界が見え始め、それに代わる新たな概念として「ゼロトラストセキュリティ」が台頭してきた。
ファイアウォール等で守られてきた境界内へのマルウェア等の侵入は防げないものとし、すべてのデバイスと通信を“信用しない”ことを前提とするゼロトラストの考え方は、ネットワークセキュリティの仕組みを根本的に変える。ネットワークにつながるデバイス、ノードの1つ1つに防御機能を持たせる必要が出てくるからだ。
データセンター(DC)も、もちろん例外ではない。DCセキュリティも大きな変革を迫られている。マクニカ クラビス カンパニー 技術統括部 技術第3部 第2課 主席の佐久間大斗氏は次のように語る。
「今までは境界にファイアウォール機能を置いて守っていたが、侵入されることを前提に、各所で防御することになる。サーバーの筐体1台1台にファイアウォールのような機能が求められる」
マクニカ クラビス カンパニー 技術統括部 技術第3部 第2課 主席の佐久間大斗氏
ここで問題となるのがホストCPUの処理能力だ。「それはCPUではできない」と同氏。ただでさえ通信に関する処理量が増加している今、ホストCPUにさらなる負荷をかければ、“本来の仕事”であるアプリケーション処理に多大な悪影響を及ぼす。
そこでクローズアップされるのが、ホストCPUに代わってネットワーク/セキュリティ処理を担う「データ プロセッシング ユニット(DPU)」の存在である。「サーバーの出入口に置かれるDPUは、セキュリティ機能を実行するのにうってつけのデバイス」(佐久間氏)だ。下図表のように、次世代ファイアウォール(NGFW)の機能をオフロードできれば、CPUはアプリケーション処理に専念できる。
図表1 ファイアウォール機能のDPUオフロードのイメージ
“もはや余裕がない”ホストCPUの現状
ホストCPUは今、まさに“大忙し”の状況にある。大きな要因の1つが、セキュリティ関連処理の増大だ。
サーバー間で行われる水平方向の通信を利用したサイバー攻撃を防御しなければならないという考え方は意外と古く、2010年代前半から徐々に浸透。外部との通信だけでなく、サーバー間通信でも暗号化や通信監視などが行われてきた。
CPUが苦手とするそれらの処理を肩代わりするために採用が進んだのが、暗号化・復号、パケット転送といった処理を高速化するアクセラレーターであるSmartNICだ。分散DCを多く運用するクラウド事業者では、DC間通信にもこの手法が広がった。
DPUは、このSmartNICをさらに進化させたデバイスである。最大の違いは、DPUが「プログラマブル」なこと。さらに、急加速するトラフィックの増大に対応できるキャパシティの観点でも、DPUは優れた特長を備えている。