本ブログ記事では、VMware Explore 2023 Las Vegasで発表されたNSXを中心としたアップデート情報をピックアップしてご紹介します。

VMware Explore 2023 Las Vegas開催時の速報レポートは下記のブログ記事でお伝えしておりますので是非ご覧ください。

• VMware Explore 2023 Las Vegas 速報レポート

また、本ブログ記事にはリリース前の製品・機能の紹介も含んでおり、具体的な実装等は今後変更される可能性があります。より正式な情報については、メーカーによるプレス リリースや、製品の正式リリース後のドキュメント等をご確認ください。

マルチクラウドの課題

VMware Explore 2023のテーマは、「生成AI」と「マルチクラウド」です。組織において「生成AI」の経済価値と汎用性に期待がかかる一方で、プライバシーとコンプライアンスの課題をどう解決していくかが問われています。VMwareは、プライバシーとコンプライアンスの課題は、どこでワークロードが実行されているかという「マルチクラウド」にまつわる問題であると言います。

VMwareは、この問題を解決するには、マルチクラウドへのクラウドスマートなアプローチが必要であるとし、2021年より継続するマルチクラウド戦略における「VMware Cloud」の提供に優位性があることを示しました。

VMware CloudにおけるNetworking and Securityの使命は、マルチクラウドの課題である「複雑性」の解消です。そのためには、複数のクラウドにまたがるネットワークとセキュリティに「クラウド運用モデル」を導入する必要があります。

昨年のVMware Explore 2022では、パブリッククラウドと同等の効率と俊敏性を備えた「クラウド運用モデル」を、プライベートクラウドを含めたマルチクラウドへ提供するために、テクノロジープレビューとしてProject Northstarが発表されました。VMware Explore 2022の発表についてはこちらをご覧ください。

• VMware Explore 2022 レポート - Security and Networking

今回のVMware Explore 2023では、このProject NorthstarがNSX+として発表されましたのでご紹介します。

NSX+

NSX+は、ネットワーク、セキュリティ、および運用チームが単一のクラウドコンソールを介してマルチクラウド環境を統合管理できるクラウドベースのフルマネージドサービスです。

NSX+は、2023年5月より購入可能でしたが、実行できる操作はライセンスキー管理が不要となるキーレスアクティベーションなどに限定されていました。今回のVMware Explore 2023では、新たに次のNSX+ サービスが提供されることが発表されました。

• NSX+ Policy Management
• NSX+ Intelligence（Tech Preview）
• NSX+ NDR（Tech Preview）

NSX+を利用するには、NSX+ サービスのサブスクリプション購入後、VMware Cloud Servicesで組織を作成し、組織にサブスクリプションを紐づける必要があります。アクティブ化するNSX+ サブスクリプションを選択したら、NSX+ インスタンスを作成し、NSX+ インスタンスにサイトをオンボーディングします。NSX+ インスタンスは、リージョン内の管理対象サイトの論理的なグループ化を定義します。NSX+を利用する準備が完了するとNSX+ UIが提供され、管理者はNSX+ UIへアクセスして操作を行うことができます。

※2023年8月17日時点で選択できるリージョンはUS-West-2（オレゴン）のみです。
※本ブログ執筆時点では、NSX+のサイトはデータセンターのみをサポートしています。

NSX+のシステム要件はこちらをご覧ください。

• System Requirements for NSX+

また、VMware Explore 2023の開催に先駆けて、2023年8月15日にNSX 4.1.1がリリースされました。このリリースでは、新機能としてNSX Virtual Private Cloud（以下、NSX VPC）が追加されています。NSX VPCで実現する「マルチテナンシーによるセルフサービス」はNSX+において重要な要素であるため、NSX VPCを含むNSXのマルチテナント機能についてご紹介します。

NSX のマルチテナント機能

NSXのマルチテナント機能は、NSX 4.0.1.1で「プロジェクト」、NSX 4.1.1で「NSX VPC」がリリースされています。

プロジェクトはNSXをマルチテナント環境にする機能です。単一のNSX環境内にプロジェクト（テナント）を作成することで、テナント間でネットワークとセキュリティのオブジェクトを分離できます。プロジェクトのユーザーは自身のプロジェクトで作成したオブジェクトにしかアクセスできず、異なるプロジェクトやデフォルト領域に対するアクセス権を持ちません。

NSX VPCは、プロジェクト内に自己完結型の仮想プライベートクラウドを作成する機能です。プロジェクト配下にNSX VPCを作成することで、基盤となるNSXインフラストラクチャ、ネットワークトポロジ、ネットワークオブジェクト、およびIPアドレス管理の複雑さをユーザーから隠蔽し、独自のプライベート空間でアプリケーションを実行するためのセルフサービス消費モデルを提供します。

このように、NSXはプロジェクトとNSX VPCにより、複数の異なるユーザーグループに対応するマルチテナンシーを実現しています。これらのマルチテナント機能は、VMware NSXで使用できますが、VMware NSX+でも「NSX+ プロジェクト」と「NSX+ VPC」として使用できます。

NSX+ Policy Management

NSX+ Policy Managementは、マルチクラウド環境全体にわたってネットワーク構成とファイアウォール制御の展開を一元的に管理する統合管理機能を提供します。

また、先述したようにNSX+ではマルチテナント機能をサポートしています。1つ以上のサイトにまたがる「NSX+ プロジェクト」を定義し、テナントごとに、独自のロール、ユーザー、アクセス制御、ネットワークとセキュリティオブジェクトの作成を行うことができます。ネットワーク管理者やセキュリティ管理者による監視と制御のもと、テナントは最大限の柔軟性を持つことができます。

さらに、「NSX+ VPC」を使用すると、プライベートクラウドとパブリッククラウドの両方で仮想ネットワークを論理的に分離できます。複数のアンダーレイネットワークにまたがるセキュアなオーバーレイネットワーク接続を、簡素化された設定で簡単に利用することができます。

NSX+ プロジェクトとNSX+ VPCは、NSX+ UIの他にVMware Cloud Services Portal（CSP）の画面にマッピングされるため、NSX+ VPCがもたらすセルフサービスと俊敏性のメリットと合わせて、「クラウド運用モデル」を実現するカギとなっています。

複数のNSXサイトを統合管理するという点において、NSX+ Policy ManagementはNSX Federationと似ています。NSX+のシステム要件でNSX Federation環境がサポートされていないことからも、NSX+（管理プレーン）がNSX Global Managerと同等の役割を果たすコンポーネントであることが推察されます。そのため、今後もこれらが競合するようであれば、必然的にNSX+が主流となることが予想されます。

NSX+ Intelligence

NSX+ Intelligenceは、機械学習や高度な分析エンジンを提供し、オンプレミスのNSXデータセンター環境のセキュリティポスチャ管理を可能にします。NSX+ UIから1つ以上のNSXサイトを一元管理し、データ収集、トラフィックフローの可視化、セキュリティポリシーの適用ができます。

セキュリティのブラインドスポットを失くし、インシデントからの修復を加速させるために、NSX環境のすべてのワークロードとワークロード間で発生したトラフィックフローをリアルタイムで可視化します。また、NSX IDS/IPSで検出した侵入イベントも可視化することで、影響を受けたワークロードの特定と使用された固有のシグネチャを特定して、必要なアクションを実行できます。

推奨（Recommendation）は、明示的に許可されたファイアウォールルールの結果として発生したフローと、デフォルトの許可ルールによって発生したため保護されていないとみなされるフローに関する洞察を提供します。そして、洞察から得られた推奨のポリシーを迅速に生成し、それらのポリシーをネットワークに導入する時間を短縮します。

このように、リアルタイムなデータ収集とトラフィックフローの可視化を簡素化し、脅威のラテラルムーブメントからサイトを保護するために動的なセキュリティポリシーを適用して、組織のマイクロセグメンテーション計画を支援します。

NSX+ Intelligenceは有償サブスクリプションとして提供されます。現在はテクノロジープレビューのため、無償評価版を申し込めます。

NSX+ NDR

NSX+ NDR（Network Detection and Response）は、監視対象のネットワーク内で発生した一連のセキュリティ関連イベントを相関分析してキャンペーンを自動生成します。キャンペーンは、複数のデータソースから検出イベントを取得して機械学習や高度な分析を使用して脅威を特定します。

NSX+ NDRでは、データソースとしてIDS/IPSイベントのみがサポートされています。オンプレミス向けに提供されているNSX NDRでは、IDS/IPS以外にもNTAやMalware Preventionをデータソースとしてサポートされているため、これらのデータソースは今後のリリースで追加されることが予想されます。

NSX+ NDRは、NSX+で統合管理しているすべてのサイトとプロジェクトにわたり、イベントタイプに関係なくすべての検出イベントを提供することで、脅威のトリアージと調査を可能にします。サイト内またはサイト間で密接に関連する検出イベントをキャンペーンに関連付けることで、アラートの過負荷を防ぎ、セキュリティ運用の監視プロセスを効率化しています。

検出イベントは、MITRE ATT&CK フレームワークの戦術（Tactics）と手法（Techniques）にマッピングされています。キャンペーンでは、脅威の包括的なビューを提供するため、脅威の分類にMITRE ATT&CK フレームワークを使用して、攻撃のさまざまな段階を識別するために検出イベントを相関させています。これらのイベントやキャンペーンはSIEMにエクスポートしたり、ログを作成できます。

このように、SOCによるアラート監視の負荷を削減し、脅威の検出能力を向上させ、潜在的なセキュリティインシデントに対する効果的な対応が可能となります。

NSX+ NDRは有償サブスクリプションとして提供されます。現在はテクノロジープレビューのため、無償評価版を申し込めます。

クラウド運用モデルの実現とAny Cloudへの期待

VMware Explore 2023では、「NSX+ サービス」と「NSX VPC」機能が発表されたことで、「クラウド運用モデル」を実現できることが示されました。しかし、マルチクラウド環境の「複雑性」を解消するには、まだまだ選択できるクラウドに制限があります。今後、段階的なサポートの発表があるとは思いますが、中でもNative Public Cloudへの対応には注目しています。NSX+をAny Cloudで利用できるようになり、ネットワークとセキュリティの "シングル" マルチクラウドプラットフォームとなることを期待しています。

本ブログ記事では、VMware Explore 2023 Las Vegasで発表されたNSXを中心としたアップデート情報をピックアップしてご紹介しました。

VMware Exploreで発表された様々なアップデートは、別ブログ記事でもお伝えしておりますので是非ご覧ください。

• C&Sのエキスパートによる VMware Explore 2023 速報