経路フィルタリングによるマルチクラウドの改善方法

経路フィルタリングによるマルチクラウドの改善方法

マルチクラウド ネットワークの最適化をお考えですか。経路フィルタリングが次の一手となる可能性があります。

企業にとって効率化は最重要課題であり、マルチクラウド ネットワークも例外ではありません。マルチクラウドの普及が進む中、2024 年までに 94% の企業がマルチクラウド ネットワークを導入すると予測されています。今こそ、貴社のセットアップを最大限に活用する方法を検討する時期です。ここで登場するのが経路フィルタリングです。これは、クラウド間のデータの移行や格納を効率的に行うためのマルチクラウド機能です。

仕組み

簡単に言うと、経路フィルタリングは、仮想クラウドのルーティング設定と連動して、近隣のルーターから広報されるまたは受信される経路を識別し、トラフィックを許可または拒否 (つまり、パスを許可または経路を終了) して、ネットワーク経路パスを微調整します。典型的な一連の操作では、1 つ以上の IPv4 または IPv6 ネットワーク アドレス (プレフィックス) と、許可または拒否というアクションを含む名前付きプレフィックス フィルター リストを作成することになります。 

次に、ピアごとに、このプレフィックス フィルターやその他のプレフィックス フィルターを、仮想クラウド ルーターとそのピア間の受信または送信データ パスに適用します。これは、どのクラウドに対してどの経路を検出可能にしたいかを直接指定し、残りを無視することで、ネットワーク経路を簡素化し、複数のクラウド間での過負荷やレイテンシを回避するための便利なツールです。

例えば、Amazon Web Services (AWS) では、BGP (Border Gateway Protocol) のグローバル経路 (他のクラウド プロバイダーのプライベート仮想プライベート クラウドを含む) を 100 本まで自社のクラウドに向けて広報することを許可していますが、これを超えると接続が停止される可能性があります。この問題を軽減するために、経路フィルタリングを使用して不要なパスを排除し、この閾値以下にとどめることで、データ移行が途切れることなく流れるようにすることができます。

AWS、Microsoft Azure、Google Cloud Platform などのクラウド プロバイダーは、インターネット上で利用者がとても簡単に接続できるようにしていますが、Megaport が提供するようなプライベート クラウド接続方式を利用すると、利用者が独自のルーティング テーブルとルーティング ポリシーを管理し、各ピア ルーターとの間でトラフィックが希望通りに流れるようにすることが可能です。

ジオデータのスペシャリストである Fugro Roames 社が MCR を使用してデータを制御した事例をご覧ください。

マルチクラウドにもたらされるメリット

経路フィルタリングにより、以下のような主要なメリットがもたらされ、マルチクラウド ネットワークを次のレベルへと高めることができます。

  • さらに細かい制御 - 個々の経路やプレフィックスをフィルタリングすることで、マルチクラウド ネットワークの経路をカスタマイズし、完全にカスタマイズ可能なマルチクラウド体験を実現します。 
  • ネットワーク パフォーマンスの向上 - 繰り返し経路や不要な経路を避け、最も効果的な経路を利用することでネットワークの効率を最大化し、レイテンシを低減して、よりスムーズで高速なネットワークを実現します。
  • セキュリティの強化 - 経路フィルタリングは、ピアリング リンク上で目的の経路のみを許可することで、インターネット上で誤ってトランジット自律システム (AS) になることを防ぎ、ハイジャックなどのサイバー攻撃のリスクを低減し、マルチクラウドをより強固に保護します。

2022 年、マルチクラウドは当たり前の存在になりました。それを使うにはいくつかの方法があります。当社の比較を基にオプションを検討してください。

Megaport Cloud Router の機能としての経路フィルタリング

Megaport Cloud Router (MCR) の経路フィルタリング機能により、マルチクラウド体験の究極の制御が可能になります。MCR を使用すると、クラウド スイート間で広報する経路を簡単に制御でき、ハブアンドスポーク ネットワーク設計 (ピア A と B、A と C の間のルーティングで、ピア B または C に経路を広報しない場合など) を簡素化し、特定のオンプレミス インフラストラクチャをプライベート クラウドに簡単に接続することができます。つまり、あるサブネット上のオフィスが、セカンダリー オフィスのサブネットの存在を広報することなくクラウドとの通信を許可することができ、ネットワークの冗長性を高め、レイテンシやセキュリティ侵害のリスクを低減することができます。

Megaport の MCR 用経路フィルタリング機能では、BGP ネイバーへの経路広報を許可または拒否するための 2 種類の経路フィルターを設定することができます。最初のタイプは BGP ピア フィルターで、経路交換を許可または拒否する BGP ネイバーを指定することができます。2 番目のタイプは BGP プレフィックス フィルターで、経路プレフィックスを使用して IP アドレスの範囲に許可または拒否のフィルターを設定することができます。

最初の方法は、1 対のピア間での一括フィルタリングに理想的です。例えば、AWS、GCP、Azure に接続している場合、すべての経路プレフィックスを AWS にアナウンスし、Azure に対しては GCP のアナウンスを拒否し、AWS に対しては Azure のアナウンスを拒否したい場合があります。下図は、3 つの BCP ネイバー (この例ではさまざまなクラウド接続) が経路フィルタリングを介して相互作用する仕組みを示したものです。

2 番目の方法では、ピアごとに、MCR とピア ルーター間の経路交換をより詳細に制御することができます。この BGP プレフィックス フィルターで、次を作成することができます。

  • ホワイトリストを使用した受信プレフィックス フィルタリング - ホワイトリストに一致しない経路は、可能な限り早い段階で拒否され、MCR では使用されません。
  • ブラックリストを使用した受信プレフィックス フィルタリング - ブラックリストに一致する経路がフィルタリングされます。それ以外のプレフィックスは、MCR のルーティング テーブルに入ることを許可されます。
  • ホワイトリストを使用した送信プレフィックス フィルタリング - プレフィックス リストに一致する経路は BGP ネイバーに広報され、それ以外のすべての経路はフィルタリングされます。
  • ブラックリストを使用した送信プレフィックス フィルタリング。 

Megaport Cloud Router を使用した経路フィルタリングは、カスタマイズが容易であるため、企業のマルチクラウド インフラストラクチャを効率的かつ安全にピアリングするための優れた方法です。クラウド サービス プロバイダー全体の一括フィルタリングや、特定の指示によるマルチクラウド ネットワークのカスタマイズなど、経路フィルタリングは仮想クラウドに対する究極の制御をもたらし、ネットワークの管理を容易にし、将来的な拡張も可能にします。

MCR がマルチクラウド機能にどのような革新をもたらすか、その詳細をご覧ください。

関連記事

AWS PrivateLink の説明

AWS PrivateLink の説明

AWS 接続を実装しているお客様には、PrivateLink を含むさまざまな選択肢が用意されています。では、PrivateLink が最も適しているのは、どのような状況でしょうか?このプライベート接続の使用法と利点について詳しくご説明します。

続きを読む
ゼロ トラスト ネットワーク アーキテクチャを採用すべきか?

ゼロ トラスト ネットワーク アーキテクチャを採用すべきか?

ゼロトラスト ネットワーク アクセスとは何か、その仕組みはどうなっているかを考察しながら、貴社がゼロ トラスト アーキテクチャを採用すべきかどうかついて見ていきます。 組織がリモート ワークをサポートするプロセスやモデルへと移行する際は、セキュリティを最優先事項とすべきです。そこで登場するのが、安全が確認されるまですべてのユーザーを潜在的な脅威と見なす「ゼロ トラスト」アプローチです。ゼロ トラスト ネットワーク アクセス (ZTNA) は、このトレンドの中核を担う機能です。 Gartner® は次のように述べています。「2024 年末までに、企業の 10% が、自社所有のキャンパス LAN でネットワーク アクセス制御 (NAC) や組み込み型スイッチング セキュリティ機能を ZTNA に切り替えることが予想される。これは 2021 年のほぼゼロ パーセントからの増加となる。」1 Gartner® による 2022 年予測の詳細については、当社のブログ記事をご覧ください。 クラウド業界において急速に大きな話題となっているのがゼロトラストです。ZTNA を使いこなしたいという場合は、以下で ZTNA の仕組みと、ゼロ トラスト アーキテクチャの採用を検討すべきかどうかについてご覧ください。 ZTNA とは? ゼロ トラスト ネットワーク アクセス (ZTNA) とは、企業のアプリケーションの周りに、アイデンティティやコンテキストに基づいた論理的なアクセス境界を作成するプロダクトまたはサービスです。簡単に言えば、すべてのエンドポイントを敵対的なものとして取り扱うネットワーク設定です。この設定は、アプリケーションが検知されないように保護し、アクセスを許可された限定的なエンティティ (通常は組織のリモート従業員) に制限するものです。 トラスト ブローカーがこれらの制限を制御し、アクセスが許可される前に各エンティティのアイデンティティ、コンテキスト、ポリシー遵守状況を確認します。さらに、これらのエンティティは、サイバー脅威に対するネットワークの露出を最小限に抑えるために、セッション中に許可されたアプリケーションからネットワーク内の別の場所に移動することを禁止されています。 ZTNA を実現するために、企業のネットワークチームは、ほとんどのネットワーク スイッチングや管理機能セットで見られるフィルタリング、プロファイリング、エンドツーエンド セグメンテーションなどのセキュリティ機能を組み込まずに企業ネットワークを編成します。その代わりに、こうした機能をクラウド サービスに置き換え、そこからアプリケーション認証と承認のリクエストをパブリック クラウドの Points of Presence (PoP) に送信します。つまり、セキュリティ管理プロセスがクラウドに移管されるということです。ZTNA がネットワークに与える負荷の増大によって生じる、アプリの可用性、帯域幅、パフォーマンスの低下の可能性を軽減する役割は、ローカル ゲートウェイが担います。 企業のネットワークに ZTNA アプローチを採用することは、アダプティブ トラスト モデルと呼ばれる、条件付きではくケースごとに信頼性が付与されるモデルにつながります。このアプローチにより、特にハイブリッド型やリモートワーク型の職場では、サイバー攻撃の可能性が大幅に低減されます。

続きを読む
Google Cloud Platform を使用したマルチクラウドのガイド

Google Cloud Platform を使用したマルチクラウドのガイド

セキュリティから拡張性まで、Google Cloud Platform (GCP) を使用したマルチクラウド戦略を構築し、Megaport との接続を最適化してクラウドを最大限に活用する利点について説明します。

続きを読む