<連載>10年後のネットワークを創る研究者たち(第5回)京都大学 学術情報メディアセンター 小谷大祐助教ネットワーク管理をシンプルに パケットを「サービス」で区別

今回は、大規模ネットワークにおけるネットワークアクセスコントロールリスト(ACL)の自動設定を目指す研究を行う京都大学の小谷大祐助教にお話を伺う。ネットワークACLは、ネットワークの規模、複雑さが増すにつれて維持管理が大きな負担となりつつある。小谷助教の研究では、仮想マシンのコントローラーなどから得られる情報と、ポリシー設定からネットワークACLを生成するシステム“Acila”を開発中だ。

現在のネットワークでは、さまざまな管理、統合機能が高機能化し、大量のコンテナや仮想マシン(VM)を実行、管理することが簡単にできるようになりました。このため、データセンターやクラウドなど大規模ネットワークには、大量の「サーバー」や「クライアント」が動作するようになっています。

反面、外部からの侵入やマルウェアなどセキュリティ的なリスクが高まっています。昔のようにファイアウォールの内側は「安全」と考えることはできず、ネットワークを小分けに閉じて、万一の場合に影響を最小限に抑える必要があります。

そこで必要になるのが「ネットワークアクセス制御」です。簡単にいうと、ホスト、ネットワークから他のホストやネットワークへのアクセスの可否を制御するものです。一般的には、アクセス元、アクセス先のIPアドレスやポート番号、プロトコルを元にアクセスの可否を定義したネットワークアクセス制御リスト(ネットワークACL)を作成し、これをルーターやスイッチに設定します。

京都大学 学術情報メディアセンター 小谷大祐助教

京都大学 学術情報メディアセンター 小谷大祐助教

特にデータセンターなどの大規模ネットワークでは、サーバーなどの計算資源を効率的に利用するため、物理的なネットワークはすべてのホストを等しく接続します。このようにしないと、構成やサーバー割り付けなどにより特定のルーターがボトルネックになってしまう可能性があるからです。このため、任意のコンテナやVMの間のパケットがあらゆるルーター/スイッチを通ることを考えて、ネットワークACLによる制御を行う必要があります。

ところがコンテナやVMは、動作してはじめてIPアドレスが割り当てられ、事前に知ることが困難です。また、同じ制御をするコンテナやVMのIPアドレスの割り当てが一定範囲になるような制約にすると、上限を超えてコンテナやVMを起動することが困難になります。管理するアドレスの量も膨大になり、もはやIPアドレスベースでの管理は破綻していると言っていいでしょう。仮想化技術であるVX LANの応用で制御しているところも多いのですが、こちらは本来はトンネリングのための技術であるため、どうしても煩雑になってしまいます。

続きのページは、会員の方のみ閲覧していただけます。

小谷大祐(こたに・だいすけ)氏

京都大学 学術情報メディアセンター 助教。2011年京都大学 工学部 情報学科卒。同年同大 大学院情報学研究科 知能情報学専攻 修士課程入学、(~2012年)。同博士後期課程(~2016年)を経て現職

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

FEATURE特集

NEW ARTICLES新着記事

記事一覧

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。