「クラウド指向」の影と希望 運用管理とセキュリティ対策を考える

    BC-OSS-RH-people

    ※本記事はTechTargetで掲載した、レッドハット社とのタイアップインタビュー記事の転載です。

    システム構築の第一の選択肢となったクラウド。システムの立ち上げが迅速になる一方で、管理対象が膨大になり、全てを確実かつ安全に運用することが困難になってきている。

    安易にインスタンスを増やすと、想像以上に増大する管理負荷

    mr-moriwaka

    レッドハット
    ソリューションアーキテクト
    森若和雄氏

     物理的にリソースが限られている場合には、割り当てに優先度を付けたり、多少の不便を我慢する必要があったものが、調達しやすくなると、純粋に「必要なものを必要なだけ」使ってしまう傾向があるという。

     「アプリケーションをどんどん開発したり、キャンペーンサイトを展開したりしていくと、あっという間に管理対象インスタンスが数十~数百単位で増えていく。インフラは、ただ作るだけでなく維持管理作業が必要だ。中堅以下の企業でも、大企業の情報システム部門のように数百台単位のシステム管理運用が必要な時代に差し掛かっている」(森若氏)

    複雑化したインフラ管理はセキュリティリスクにも

     その管理作業においては、オンプレミスのシステムと同じように留意すべきポイントがある。特に重要なのが多数の仮想マシンの「インベントリ管理」を基本にしたセキュリティ管理だ。ところが、十分な管理者がいるわけではない中堅・中小企業ではなかなか手が回り切らない部分でもある。

     例えば、「使用OSと検証済みセキュリティソフトウェアの組み合わせ」を指定するポリシーを設定していたとして、数十~数百台ある仮想マシン全てについて、1つずつログインして表形式で書き留めていくのは非常に骨が折れる作業であり、人的ミスも生じやすい。システム自体はすぐに構築できても、人手による管理が介在し、払い出しに時間がかかるようではメリットを生かすことができない。せっかくのクラウドのメリットをフルに享受するには、この部分を解決する必要がある。

    システムを健全に保つパッチ適用を最大限効率化する組み合わせとは?

    mr-omo

    サイオステクノロジー
    OSS エバンジェリスト
    面 和毅氏

     レッドハットでは、こうした課題を解決するためのソリューションを用意している。サイオステクノロジー OSS エバンジェリスト 面 和毅氏によると、近年、サイバー攻撃の多くは既にパッチがリリースされている脆弱(ぜいじゃく)性を狙うものだという。つまり、パッチ管理の重要性が増しているのだが、「例えば、Linuxカーネルに深刻な脆弱性が発見された場合、数百台規模の環境で対象となるバージョンを使っているものがどこにあるのか、対処済みのサーバはどれかを把握して確実に作業するのは、人力だけでは難しい」(面氏)。

    Red Hat Satelliteを軸とした管理運用の自動化

     この作業を自動化するのが、仮想化インフラの一元管理を支援する「Red Hat Satellite」と、これに連係するツール群だ。

     パッケージやミドルウェアの設定情報を管理する「Red Hat Satellite」を組み合わせれば、数百台で構成されるシステムに対し、ステータスの確認や電源管理、ソフトウェアの配布やコマンド実行といった操作を1人で一度に実施できる。現在のところRed Hat Satelliteはクラウド事業者から払い出されたRed Hat Enterprise Linux(以下、RHEL)を管理することができないので、レッドハットから直接サポートされるRHELのサブスクリプションを持ち込む必要がある。

    管理対象のリソースや情報をポリシーベースで一元管理、構成管理も自動化

     この構成で、さらにセキュリティ管理のためのプロトコル「SCAP(Security Content Automation Protocol)」と、これを使うためのオープンソースツール「OpenSCAP」を使った情報収集をRed Hat Satelliteと組み合わせれば、ホストごとのリソースやバージョン、設定内容を収集し、あらかじめ定めたポリシーに違反していないかどうかを確認できる。表計算ソフトなどで仮想マシンごとにリスト管理していた場合、行ズレや更新漏れなどのミスが致命的な問題となり得るが、ここを自動化して運用の効率と確実性を高められる。

     さらにRed Hat Satelliteは、次期バージョンである6.3から、自動化ツール「Ansible」とも連係して動作する。Ansibleでは、パッケージやアプリのインストールと所定のセットアップを行うというような一連の作業を「プレイブック」という形で定義し、それに沿って構成作業を自動化できる。最大の特徴はエージェントレスで利用できるため、SSHで接続できる環境でさえあればすぐ使える点にある。

     これにより、オンプレミスからクラウドまでのあらゆる環境で、セキュリティ対応も含めた管理作業を自動化できる。

    openscap

    図1 OpenSCAP
    Red Hat SatelliteからOpenSCAPを使って管理対象サーバ全体のリスクを一覧表示したところ(上)。同じ画面で詳細情報も確認できる(下)

    「すぐにパッチを適用できないこと」の情報を適切に管理する

     業務システムの中には、アプリケーションの稼働に影響が出るため、適用すべきだと分かっていてもパッチを適用できないものもある。Red Hat Satelliteでは、そうしたサーバ群をグルーピングし、「パッチを当てていないため、別の手段で保護すべきもの」と分けてきっちり監視できるようになっている。これは監査時の説明責任を果たすことにもつながる。

    障害対策の自動化・標準化とクラウド上のマネージドサービスは相いれない?

     平常時はもちろんだが、障害などの問題が発生した際の対応を自動化するなどの手段を標準化しておくことも、インフラ運用担当者にとっては重要なテーマだ。

     クラウド環境にも障害対策を目的としたマネージドサービスが用意されているが、良くも悪くも画一的なサービスだけでは、十分に必要な要件をカバーし切れないのが現状だ。

     例えば、AWSのマネージドデータベースサービス「Amazon Relational Database Service(Amazon RDS)」は運用を任せられるものの、管理者権限でのコマンド操作ができなかったり、サービス側が計画するメンテナンススケジュールには従わなければならなかったりする。

     仕様の範囲内に収まる運用を行う分には多くの便利な機能があるのだが、「既存のオンプレミスにあるデータベースやデータベースアプリケーション類はカスタマイズが施されていることが多く、移行しただけでは済まない問題が多い」(西下氏)

    オンプレミスの堅牢な構成を維持するにはマネージドサービスよりもEC2

     一方で、既存システムのクラウド移行では、「現状のものをそのまま」移行し、構成や運用は大きく変えずに、まずはハードウェア調達コストの削減からテコ入れをしたいと考える向きが少なくない。こうしたニーズに対しては、RDSではなく「Amazon EC2(Amazon Elastic Compute Cloud)」を使って、オンプレミスと同じ構成で仮想サーバなどを構築する手法の方が適している。EC2は純粋な仮想マシンであるため、オンプレミスに近い運用が可能だが、一方で、運用における障害対応の自動化や標準化という点で見ると、オンプレミスと同じように自力で対処しなければならない。

    lifekeeper

    図2 LifeKeeper
    データセンターをまたぐ仮想マシン間のレプリケーションだけでなく、物理サーバ環境をクラウドで集約する際にも利用できる

    オンプレミス/クラウドの両方で同じ構成でHAを実現する方法

     EC2上でも可用性を保つには、HAクラスタ構成を取ることが有効なのだが、ここで課題となるのがHAクラスタ構成をとる場合に必須になる「共有ストレージ」だ。通常、クラウド環境ではストレージを複数のノードにひも付けられないため、共有ストレージを持つHAクラスタ構成を取れないのだが、それはEC2インスタンスも例外ではない。

    mr-nishishita

    サイオステクノロジー 第1事業部 BC事業企画部 プリセールス
    西下容史氏

     そこで、サイオスでは「HAクラスタソフトウェア『LifeKeeper』とデータレプリケーションソフトウェア『DataKeeper』を組み合わせ、共有ストレージが提供されないクラウド環境上でもHA構成を実現する「SANLess Clusters」ソリューションを提案している」(西下氏)。

     最新版である「LifeKeeper for Linux v9.1」では、外部システムからLifeKeeperの状態を参照できるAPIが提供されている。この機能を使えば、AWS上であっても「Zabbix」のような統合監視ツールからリモートでHAクラスタの状態を確認できるようになる。サイオステクノロジーではこうしたクラウド環境のリモート監視機能は今後も強化を予定しており、監視だけでなく管理機能もリリースしていく予定だという。

     実際にサイオステクノロジーが提供する上記のソリューションは、AWSを始めとした多くのクラウド環境で既に多くの導入実績がある。十分な障害対策を実施しながら、クラウドの利点である運用の負荷やコストを削減することができる仕組みなので、従来のマネージドサービスでは移行できず、オンプレミスに残されてきたシステムでもクラウドに移行できるようになるだろう。

    インフラ管理の自動化でクラウドのもたらすメリットをフルに享受

     「日本では『機械よりも人の方が信用できる』という文化が根強いが、実際には人が介在する運用が多いほどリスクは増える」と、面氏は手作業による運用のリスクを指摘する。可能な限り、手続きは自動で行われるべきだという。仮想化やクラウドの登場によって、インフラはコードとして扱えるようになった。運用のみならず、新規のシステム構築にまつわる作業も自動が可能になっている。

     「クラウドは、短時間で調達でき、かつソフトウェアから扱いやすいというのが本質。しかし、その性質を生かすには、使う側も準備ができていないと」と森若氏。Red Hat SatelliteやOpenSCAP、Ansible、LifeKeeperやDataKeeperといったツールを活用して適切な準備を整えることで、AWSをはじめとするクラウドがもたらすメリットをフルに享受できるだろう。詳細はホワイトペーパーで紹介している。

    出典 : TechTargetジャパン 2016年11月28日掲載記事
    「クラウド指向」の影と希望 運用管理とセキュリティ対策を考える」
    ※本記事はTechTargetで掲載した、レッドハット社とのタイアップインタビュー記事の転載です。

     

    EC2環境でのHAクラスタ構築ガイド

    EC2環境でのHAクラスタ構築ガイド

    関連資料・製品

    AWSクイックスタートガイド 『SIOS Protection Suite の AWSへの配備』

    ミッションクリティカルなシステムをAWSに移行する場合などには、AWS上にHAクラスタ環境を構築して、アプリケーションの可用性、耐障害性を確保・向上させることを考慮したい。こうした目的に適したソフトウェアとは、どのようなものなのか、詳しく紹介しています。 
    ダウンロードページへ

     

    EC2環境でのHAクラスタ構築ガイド

    EC2環境でのHAクラスタ構築ガイド

    EC2環境でのHAクラスタ構築ガイド

    AWS上でのアプリケーションの可用性を確保するのに有効な手法は、障害の検知とリカバリーを自動的に実行してくれるHAクラスター製品を利用すること。オンプレミスと同様に利用できる製品が備えている機能と、利用するためのステップを詳しく紹介します。 
    ダウンロードページへ

     

    レッドハット社製品ページ

    Red Hat Satellite: https://www.redhat.com/ja/technologies/management/satellite
    Red Hat CloudForms: https://www.redhat.com/ja/technologies/management/cloudforms
    Ansible: https://www.redhat.com/ja/technologies/management/ansible

    SNSでもご購読できます。