Kentikを利用したパブリッククラウドを含むトラフィックの可視化

ビジネス開発本部
第3応用技術部 第4チーム
渡辺 義和

 

日本でもクラウドサービスの利用が進んでおりますが、クラウド時代の新しい課題の1つとして、クラウドを含めたトラフィックの可視化が挙げられます。KentikというSaaSを利用する事で、オンプレ、クラウドを問わず、様々なネットワークの情報を、一元的に管理・可視化する事が出来ます。今回のコラムでは、Kentikを利用した、パブリッククラウド内のトラフィックの可視化についてご紹介します。
 

パブリッククラウド内の可視化をどう実現するのか?

総務省が発表している、令和元年版情報通信白書によりますと、日本企業の約6割が、何からの形で、クラウドサービスを利用していると回答しています。
 

 
引用: 総務省 令和元年版情報通信白書 ICTサービスの利用動向(*1)

 
今後、インフラストラクチャのクラウド化が進んだ場合、オンプレミスの様な自社設備が必要無くなる反面、最適化なコストの範囲内で、クラウドを利用するためには、利用状況の正しい把握が必要になります。こうした中、課題の1つとして挙げられるのが、パブリッククラウドに関連するトラフィックの可視化です。パブリッククラウドでは、ネットワーク自体も、管理リソースの1つであるため、サービスによってはネットワークの利用状況に応じて課金がされます。また、コスト管理の観点だけでは無く、モニタリングや、セキュリティ等の観点からも、自社のクラウド環境で、どの様なトラフィックが、どの程度、発生しているのか把握が必要であり、クラウド時代の新しい課題の一つとなっています。
 
こうした需要の高まりを受けて、主要なクラウドサービス(AWS、Azure、GCP)では、トラフィック可視化の手段として、ネットワークのログ情報を提供しています。
(詳細は以下にリンクした各クラウド事業者のドキュメントもご参照ください)
 
Amazon Web Services(VPC Flow Log)
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html
 
Microsoft Azure(Network security group (NSG) flow logs)
https://docs.microsoft.com/ja-jp/azure/network-watcher/network-watcher-nsg-flow-logging-overview
 
Google Cloud Platform(VPC Flow Log)
https://cloud.google.com/vpc/docs/using-flow-logs
 
RFC等で標準化されている訳ではないため、提供されるログの内容や、ログの時間間隔等はクラウドプロバイダーにより異なりますが、今回は、AWSが提供するVPC Flow Logを例に、Kentikでどの様に可視化されるのか、ご紹介します。
 
ちなみに、Kentikでは、主要なパブリッククラウド(AWS、Azure、GCP)のネットワークログに全て対応しているため、今回紹介するAWSだけでなく、Azure、GCPのフローログであっても可視化が可能です。また、オンプレミスのネットワークについても、xFlow(Netflow,sflow,IPFIX等)を利用する事で可視化が出来ますので、オンプレ、クラウドを問わず、あらゆるネットワークの情報を、Kentikで一元管理する事が出来ます。ツールが統一化される事で、運用面での学習コストが下がり、サイロ化が解消される点も、Kentikがもたらす、運用上の大きなメリットになります。
 

 
【Kentikの全体アーキテクチャ】

 

VPC Flow Logとは

では、主要なパブリッククラウド(AWS、Azure、GCP)が提供する、ネットワークのログとは、具体的にどういったモノでしょうか?AWSのVPC Flow Logを例に紹介していきます。
 
VPC Flow Logとは、VPC内のネットワークインターフェイスを通過するIPトラフィックに関連するログになります。AWSのVPC Flow Logの場合、下記の図の通り、以下の3つのポイントから、ログを生成する事が可能です。(VPC、サブネットを選択した場合は、VPC またはサブネットの各ネットワークインターフェイスが監視の対象になります)また、VPC Flow Logの出力先も、以下の2つのポイントから選択する事が可能です。尚、Kentikにて、VPC Flow Logを可視化する場合は、出力先として、S3のバケットを選択する必要があります。
 

 
【VPC Flow Logの監視ポイント・ログの出力先】
引用: AWSドキュメント VPCフローログの内容を参考に著者作成(*2)

 

VPC Flow Logのレコード定義

AWSのVPC Flow Logのレコードは、以下の通り、定義されています。
 

 
【VPC Flow Logの定義】
引用: AWSドキュメント VPCフローログのサンプル例を参考に著者作成(*2)
 

ログ自体は、特定のキャプチャウィンドウの間に発生したトラフィックの内、5タプル(送信元IP、宛先IP、送信元ポート番号、宛先ポート番号、プロトコル番号)をキーに識別されたトラフィックが1つのフローと認識され、各フロー毎にログが出力される形となります。
 

VPC Flow Logの利用のユースケース

1.VPC内のネットワークインタフェースを通過するIPトラフィック・セキュリティの可視化
2.セキュリティグループや、ネットワークACLの動作確認・トラブルシューティング
 
レコードの定義にもある通り、VPC Flow Logには、IPトラフィックの5タプル関連するメタデータの他に、”Action”が定義されており、この内容を参照する事で、ログに記録されたトラフィックが、セキュリティルール(セキュリティグループ、またはネットワークACL)に、許可されたのか、遮断されたのか、確認する事が出来ます。こうした内容を参照する事で、トラフィック・セキュリティの可視化だけでは無く、セキュリティグループや、ネットワークACLの設定が正しく行われたのか確認するための、トラブルシューティング等にも利用が可能です。
 

必要な設定

Kentikで AWSのVPC Flow Logの可視化を行うには、主に以下の4つのステップが必要です。
 
1.IAM Role、及び、ポリシーの設定
2.VPC Flow Logの出力先となるS3バケットの設定
3.VPC Flow Logの有効化、及び、S3バケットへのログ出力
4.KentikポータルでのVPC Flow Logの取得設定
 
詳細は、本コラムの末尾の参考リンクにある、メーカードキュメントもご参照下さい。
 

どんな感じで可視化されるのか?

では、KentikのプラットフォームにVPC Flow Logを取り込む事で、どの様な可視化が可能なのか、具体的な例を見ていきます。以下に示したのは、Kentikの実際の画面の例になります。
 

 

 

 
【Kentikの画面例】

 
VPC Flow Logの情報を活用する事で、どういった種類のトラフィックが多いのか等、トラフィック量の推移や、全体のトレンドを把握する事が出来ます。また、全体のトラフィックの内、何割のトラフィックが、セキュリティルール(セキュリティグループやネットワークACL)により遮断されたのかや、遮断されたトラフィックは、どういった国、送信元IPから多いのか等、セキュリティに関する情報も表示出来ます。加えて、トラフィックの状況を把握する事で、今後の投資計画を決める上での参考情報としても利用出来ます。
 

まとめ

クラウドシフトが進むと言っても、既存の環境が、いきなりゼロになる訳ではありません。
 
このため、管理者は、オンプレ環境と、クラウド環境を、並行運用する必要性に迫られておりますが、管理すべき対象範囲が広がるにつれて、利用するツールも増えており、システム運用が、ますます難しくなっているのが実情かと思います。
 
Kentikを利用すれば、オンプレ、クラウドを問わず、様々なネットワークの情報を、一か所に集約する事が出来ます。このため、ネットワークの可視化に留まらず、運用の最適化にも貢献します。また、様々なネットワーク情報を、Kentikで一元管理する事で、自社の環境を”多層的な視点”で捉える事が出来ます。これは、今までありそうで無かった視点であり、Kentikの大きな特徴でもあります。
 
もしご興味があれば、弊社担当営業までお問い合わせください。
 

関連リンク

総務省 令和元年版情報通信白書 ICTサービスの利用動向(*1)
 
AWSドキュメント VPC フローログ(*2)
 
How Kentik Helps Assess AWS Visibility
 
Kentik for AWS
 
ビッグデータ・クラウド時代のネットワークの可視化・分析基盤 Kentikのご紹介
 
クラウド時代のネットワークの可視化とは?検討の鍵となる2つのポイントを解説!
 

執筆者プロフィール

渡辺 義和
ネットワンシステムズ株式会社
ビジネス開発本部 第3応用技術部 第4チーム所属

2002年 ネットワンシステムズ株式会社入社
入社以来、応用技術部にて、CATVインターネット製品の技術者として従事
昨今は、モニタリングを中心としたSaaS系商材の製品サポートにも携わっている

・CATV総合監理技術者

イベント/レポート

pagetop