HCI(ハイパーコンバージドインフラストラクチャ)の進化に伴い、セキュリティ対策も新たなステージに入っています。中でも注目されているのが、「マイクロセグメンテーション」です。そこで今回は、Nutanix FlowとVMware NSXという二大ソリューションを徹底比較。それぞれの強みや特徴を明らかにし、これからのHCI環境における最適なセキュリティ対策を見つけるためのヒントをお届けします。
サイバー上の脅威が増し続ける現在、データセンターでは従来の境界型防御では限界が指摘されるようになりました。例えば、仮想環境に不正侵入を許してしまった場合、内部の仮想マシン間を横移動(ラテラルムーブメント)されてしまうリスクがあり、これはファイアウォールなどの境界防御等では防ぎきれません。
そこで新たな備えとして注目されているのが「マイクロセグメンテーション」です。マイクロセグメンテーションは、仮想マシンレベルでファイアウォールやポリシー設定を行うことで、ネットワーク内部での通信を細かく制御し、攻撃の拡大を防ぐ仕組みです。
このマイクロセグメンテーションを実際のシステムに実装するにはどうすればよいでしょうか? マイクロセグメンテーションは、従来のネットワークでは柔軟な実装や運用管理が困難なため、SDN(Software-Defined Networking)を活用することになります。今回のブログでは、代表的なSDNとしてNutanix FlowとVMware NSXの概要について見てみましょう。
■Nutanix Flow…インフラに組み込まれていて操作しやすい
Nutanix社が開発したSDNソリューションです。ハイパーバイザーであるAHVに組み込まれているため、シンプルなUI/UXはそのままに、マイクロセグメンテーションを活用したアプリケーションベースのポリシー制御が可能です。
また、管理コンソールであるPrism Centralを利用することでNutanix Flowの有効化が容易に行えます。 このPrism Centralを用いることで、粒度の細かい設定や直感的な操作で一元管理ができます。
■VMware NSX…詳細な設定や高度なネットワーク制御が可能
VMware NSXは、米Broadcomに買収されたVMwareが提供するSDNソリューションです。vSphere環境に統合されていて、詳細なマイクロセグメンテーションや分散ファイアウォール(DFW)を実装可能です。マルチクラウドやコンテナ環境にも対応し、柔軟なネットワーク制御を提供します。
専用の管理コンソールから複数環境の一元管理が可能で、ネットワークとセキュリティに関する詳細設定が行えます。
Nutanix FlowとVMware NSX、いずれもマイクロセグメンテーションを実現できるという点で基本的な部分に大きな違いはないと言えます 。端的な違いでいうと、Nutanix Flowはシンプルな設定で管理しやすい、VMware NSXは複雑な設定で詳細まで管理できる点が挙げられます。
また、VMwareは米Broadcomに買収された影響で、そのライセンス費用が変化している点などもあり、Nutanixの方が費用面でのメリットはあると言えます。このような点も含め、それぞれの機能や概要について下表で両者を比較します。
■Nutanix FlowとVMware NSXのマイクロセグメンテーション比較表
| Nutanix Flow | VMware NSX | |
|---|---|---|
| 提供元 | Nutanix | VMware(Broadcom傘下) |
| 対応する仮想化環境 | Nutanix AHV(組み込み済み) | VMware vSphere環境(vCenterと連携) |
| 管理コンソール | Prism Central(直感的なUIで簡単に操作可能) | NSX Manager(専用コンソール、詳細な設定が可能) |
| NSDの利用方法 | AHV環境にNutanix Flowが標準搭載されており、Prism Centralから簡単に有効化可能(要ライセンス) | NSXライセンスを取得後、NSX Managerを導入・設定する必要あり |
| マイクロセグメンテーションの導入・有効化の方法 | Prism Centralからポリシーを作成し、簡単に適用可能 | NSX Managerで分散ファイアウォール(DFW)を設定し、詳細なポリシーを適用 |
| 導入のしやすさ | AHVと統合されており導入が容易(NCI Proの場合 要アドオンライセンス) | 別途NSXの導入・ライセンスが必要で、設計・設定が複雑になる可能性 |
| 管理のしやすさ | AHVと統合されていて、追加設定が少なくシンプル | 高機能だが、設定が複雑で運用には専門知識が必要 |
| ポリシー適用の柔軟性 | シンプルなUIで直感的にポリシー設定が可能 | 詳細なセキュリティポリシーを作成可能(その分、運用の複雑さも増す) |
| マイクロセグメンテーションの方式 | アプリケーション単位の通信制御が可能 | 分散ファイアウォール(DFW)を活用し、VM単位で細かく制御可能 |
| マイクロセグメンテーションアプリファイアウォール | Flow Network Security | VMware Firewall |
| マイクロセグメンテーション | VMware Firewall | |
| ネットワーク・セキュリティ・プランニング | VMware Firewall | |
| L4 ロードバランサ― | 可能 | 可能 |
| 価格・ライセンス | NCI Proの場合、アドオンライセンス(セキュリティ)追加にて利用可能。年間/コア課金体系ライセンス(SWA-NCI-SEC-MC) NCI Ultimateの場合は、追加不要 ※NCI Starterではご利用不可 関連サイト:こちら |
Broadcom買収後、ライセンス体系が変更され、コスト増加の懸念あり |
ここまで、Nutanix FlowとVMware NSXのマイクロセグメンテーションの違いを見てきましたが、自社の環境にはどちらを選ぶべきでしょうか。導入済みの仮想基盤や、自社が求めるセキュリティレベル、運用負担の観点から考えてみましょう。
■Nutanix Flow
Nutanix Flowは、すでにNutanix AHVを導入している企業であればスムーズに利用を開始できます。追加コンポーネントの導入が不要で大きな構成変更をせず、マイクロセグメンテーションを導入できるのが大きなメリットです。 また、GUIベースの直感的な管理画面で操作が簡単なため、専門的なネットワークスキルがなくてもセキュリティポリシーを適用できます。コストを抑えながら、HCI環境のセキュリティを強化したい企業におすすめです。
また、これからNutanixの導入を検討しているという方や、VMwareとの違いを検討している方は下記のコラムを参考にしてみてはいかがでしょうか。
>Nutanixとは?VMwareとの違いを3つのポイントで比較!
■VMware NSX
VMware NSXは、VMware vSphere環境を運用している企業や、マルチクラウド・コンテナ環境との統合が必要な企業に適しています。分散ファイアウォール(DFW)を活用すれば、詳細なセキュリティポリシーを設定できるため、ゼロトラスト環境の実現や高度なネットワーク制御を求める企業に向いています。ただし、導入には追加のコンポーネント導入も 必要で、Broadcomによる買収後のライセンス変更によるコスト増も考慮する必要があります。
これまで見てきたように、シンプルな管理とコスト削減を重視するならNutanix Flow、高度なネットワーク制御や詳細設定が必要ならVMware NSXが適していると言えるのではないでしょうか。一方、VMwareのライセンス体系などについては不確定要素が多い部分もあり、導入環境や運用コストを踏まえて、自社に最適な選択肢を検討することが重要です。
ここでは、Nutanix Flowを利用してマイクロセグメンテーションをスタートする際のポイントであるパートナー選定についてご紹介します。現在、Nutanixを利用している企業も、これからNutanixへ移行したい企業にとっても、企業の重要なインフラ移行を安心して委ねられるパートナー選定は重要です。
その点、双日テックイノベーション(以下、STech I)は、Nutanixをいち早く日本に持ち込んだ企業として知られ、国内初のディストリビューターとして、今なお国内販売実績トップして多くの企業に製品・サポートを提供しています。Nutanix認定資格保有者も100名を超えるだけでなく、検証機を保有して自社の技術サポートセンターによる事前検証も行っています。また、ほかの仮想化製品やITインフラ製品、VMware、Nutanix搭載機器の取り扱いも行っている知見も、Nutanixを多角的に支援するための強みとなります。まさにNutanixを熟知したパートナーと言えるでしょう。
- 拡大
- ▲自社保有の技術サポートセンター(NETFC)
■ニーズに対応した独自の保守サービスを展開
STech Iでは、Nutanix社が提供しているプロダクト保守に加え、ハイパーバイザーやネットワークスイッチも含めた仮想化基盤としての一元保守窓口サービスを独自サービスとしてオプション提供しています。日本最多の導入実績にもとづいた経験を活かした質の高いトータルサポートを行っています。詳しく知りたい方は下記をご覧ください。
保守サービス>
今回はNutanix FlowとVMware NSXのマイクロセグメンテーションを比較し、それぞれの違いを紹介しました。Nutanix FlowとVMware NSXはどちらもマイクロセグメンテーションを実現するSDNソリューションですが、運用環境やコストに違いがあります。特にVMware環境からNutanixへの移行を検討する企業にとって、Flowは追加コスト不要で導入できるのが大きなメリットです。自社に必要な環境を見極めるためにも、下記の情報をチェックしてみてはいかがでしょうか。
また、ほかにも詳しい情報を知りたい方はお気軽に お問い合わせいただければ幸いです。