仮想アプライアンスのパフォーマンスは「物理と変わらない」
セキュリティアプライアンスの仮想化には多くのメリットがあることを認める一方で、そのパフォーマンスや信頼性に不安を抱く人も多いだろう。もっともな不安だが、実際はどうなのか。
まずパフォーマンスについてだが、ウォッチガードの堀江氏は、「パフォーマンスは物理アプライアンスとまったく同様」と話す。
ASICの搭載など、ハードウェア的な工夫によってパフォーマンスを確保しているUTMは多い。そうしたなかウォッチガードのUTMは、ASICを採用しない点が1つの特徴であり、従来からインテルの汎用チップ上で高パフォーマンスを目指す戦略をとってきた。つまり、ウォッチガードの場合はもともと仮想環境との親和性が非常に高いわけだが、それでも「パフォーマンスは物理アプライアンスとまったく同様」と言い切るベンダーがすでに存在することに驚く人も少なくないのではないか。
もちろんパフォーマンスを最優先で追求する場合には、物理アプライアンスを選んだほうが良いケースがなくなるわけではない。UTMに含まれるセキュリティ機能でいえば、特にファイアウォール機能のスループット向上にASICは効果的である。
「NFVの領域はレイヤ4以上」。6月に開催された「Interop Tokyo 2014」の壇上で、NEC 第一キャリアサービス事業部 部長の木内道男氏は同社のキャリア向けNFVのターゲットについて、こう語っている。レイヤ3以下の処理性能に関しては、専用のASICを搭載した物理アプライアンスが今後も優位性を保持すると見る業界関係者は多い。
しかし、“最高”のパフォーマンスではなく、“必要十分”なパフォーマンスでよいのであれば、仮想アプライアンスが最適解となるケースが、今後どんどん増えていくことも間違いない。
その重要なカギを握るインテルも近年、インテルチップ上でのパケット処理を高速化するための技術「Intel DPDK(Data Plane Development Kit)」を提供するなど、ネットワーク分野に大変力を入れている。
「ムーアの法則をネットワークへ」――。これがインテルが掲げるキャッチフレーズだ。
「ムーアの法則をネットワークへ」。このスライドにあるように、インテルのチップのパケット処理性能は急速に向上している(「汎用サーバーで実現する次世代ネットワーク~SDNとNFVへのインテルの取り組み~」と題して行われたインテルのジョン・ヒーリー氏による「Interop Tokyo 2014」での基調講演から) |
信頼性は仮想環境に関するスキルが左右
次に、信頼性についてはどうだろうか。「従来はATCAベースの装置で14Uくらいだったが、NFVでは今まで通りの信頼性を確保しても汎用サーバーで2Uくらいで収まる」。自社のMVNO向けNFVソリューションの信頼性について、NECの木内氏はこう説明しているが、ハイパーバイザーなど仮想化技術の可用性は向上を続けており、「仮想アプライアンスだから信頼性が劣る」と心配する必要はない。
しかし注意すべきケースもある。それは、自社のIT管理者のスキル不足などによって、仮想環境そのものの運用・サポート体制に不安を抱えている場合だ。
「仮想アプライアンス自体に問題ないが、仮想環境をサポートできる体制が十分でなければ、当然その影響はある。そういった場合は、物理アプライアンスを選択したほうが、信頼性を担保できる」。ネットブレインズの矢木氏はこのように指摘する。
仮想セキュリティアプライアンスの導入・運用には、サーバー仮想化だけではなく、ネットワークセキュリティに関する知識も必要であり、なかなか必要なスキルを持った人材がいないのが現状だという。仮想セキュリティアプライアンスが普及するうえでの課題の1つには、人材育成が挙げられるのである。
ただ、必ずしも自社で、サーバー仮想化とセキュリティの両方のスキルを持った人材を育成する必要はない。なぜなら仮想セキュリティアプライアンスをサービスとして利用することも可能だからだ。
次回の中編では、クラウドファースト時代を迎えて加速するネットワークセキュリティのサービス化などの動きに焦点を当てる。