180529-仮想化環境のあらゆる脅威対策(VMware NSX+Juniper vSRX_QFX)(VMwareセミナ)

© 2018 Juniper Networks
仮想化環境のあらゆる脅威対策に、
ハイパフォーマンスに投資効果の
高い
インフラをつくるならこれ！
.
～ JUNIPER + VMWARE NSX SOLUTION ～
2018/5/29
VMWARE
NSXセミナー

ジュニパーネットワークス
ROUTING SWITCHINGSECURITY
VIRTUAL PHYSICAL
Engineering. Simplicity.
&
Self-Deiving Network

AGENDA
3
• セキュリティ市場とJuniper SDSN
• Juniper セキュリティプロダクトの特徴
• VMware NSX連携セキュリティ連携
• VMware NSX + Juniper 連携
• まとめ

AGENDA
4
• まとめ

80%
ブラックハット
ハッカーが犯罪
組織の一員であ
る割合
230¥
サイバー犯罪損害額予想
兆
2019年
357億
新しいマルウェア数
1IN131
過去5年間で最多のマルウェアメール
1100億
2017年に漏えいした個人情報数
36万
ランサムウェア攻撃数
Source: Symantec Internet Security Threat Report 2017, Verizon 2016 Data Breach Investigations Report
サイバー犯罪の脅威拡大
※2016
※2016

サイバーセキュリティ人材の不足
情報システム部門におけるサイバーセキュリティ人材の
不足状況
(a) 不足している（概ね10人以上の不足）
(b) 不足している（概ね5人以上の不足）
(c) 不足している（概ね5人未満の不足）
(d) 既に人材が配備されており、不足していない
(e) わからない
内閣サイバーセキュリティセンター
平成28年度「企業のサイバーセキュリティ対策に関する調査」
http://www.nisc.go.jp/inquiry/pdf/kigyoutaisaku_gaiyou.pdf
85パーセント以上の企業でセキュリティ人材が不足
(a)9.4%
(b)20.0%
(c)55.3%

無意識のうちに感染
!
Arrivals Departures
www.pdf.com

!
気づいたら感染拡大

© 2018 Juniper Networks 9
拡大・多様化するネットワークを
いかに守るか？
線で守る境界防御から、ネットワーク全体を面で守る
SDSN –Software Defined Secure Network -

SDSNはこれらの脅威拡散防止
C&C サーバー
隔離
Security Director +
Policy Enforcer
01010101010101010 01110101 01101110 01101001 01110000
SRX/vSRX
Sky ATP
スイッチ連携
感染ホストの特定
ボットネット
ワーム/ トロイの木馬
エンドポイン
トに最も近い
位置で
アクセス制御

ネットワークを全体を面で守るSDSN
“脅威は内部にも侵入する”という前提へ
C&Cサーバ
指令サーバ
フィッシング攻撃
ウィルス攻撃
ハッキング
攻撃
文書埋め込み型
攻撃
内部感染の対策ができな
い
感染した
システム
今までのセキュリティは
社内ネットワークの安全が前
提
内部感染も対策
感染した
システム
ロトラストセキュリティモデル～ネットワーク全体をセキュアなネットワーク
フィッシング攻撃
ウィルス攻撃
Off Network
Walk-in Threats
Off Network
Walk-in Threats
文書埋め込み型
攻撃
ハッキング
攻撃
C&Cサーバ
指令サーバ
外部(アントラスト)
内部(トラスト)
外部(アントラスト)
内部(アントラスト)

脅威の検出  対策の遅延
ベンダー固有の脅威フィー
ドと
管理者による内容の把握
複数チームにまたがる対策
脅威対策の自動化
ネットワークとセキュリティを横断し
た自動化
オープンAPIと 3rd パーティーの脅威フィード
対応
結合した脅威管理システム
SDSN: 脅威の自動修復～セキュリティ人材枯渇対策に
も～
インシデント
発生
ネットワーク管
理者
セキュリティ管
理者
エンドポイン
ト
セキュリティ
マルウェ
ア
発見
チケッ
ト
フィー
ド
フィー
ド
手動による脅威対策
チケッ
ト

SDSN:統合されたサイバーセキュリティ―プラット
フォーム
ユーザーとプリケーションモビリティ対応ユーザーとプリケーションモビリティ対応
ネットワークとファイアウォールレイヤーのエン
フォースメント
ネットワークとファイアウォールレイヤーのエン
フォースメント
オンプレミスとクラウドの一貫したセキュリティポ
リシー
オンプレミスとクラウドの一貫したセキュリティポ
リシー
多様なエコシステムアプローチ多様なエコシステムアプローチ
アクセス
ユーザー
パブリッククラウド
SaaS
データセンタ
プライベートクラウド
デバイス
コネクティビ
ティ
マルチドメイン・ハイブリッドクラウド環境での物理と仮想環境の脅威拡散を防止
複雑さを排除し一貫したセキュリティモデルの適用

SDSN
SDSNのサードパーティ連携
CBの脅威情報を自動的に取得
し、最新の攻撃手法を検知
CBの脅威情報を自動的に取得
し、最新の攻撃手法を検知
JATPの脅威情報に基づいて、
感染ホストを自動的に隔離
JATPの脅威情報に基づいて、
感染ホストを自動的に隔離
レイヤ7および脅威対策を含む
高度なマイクロセグメンテーション
を提供
レイヤ7および脅威対策を含む
高度なマイクロセグメンテーション
を提供
AWSの仮想化環境で
感染した仮想マシンを隔
離
AWSの仮想化環境で
感染した仮想マシンを隔
離
NACを活用して、サードパー
ティ製スイッチで感染ホストを
隔離
NACを活用して、サードパー
ティ製スイッチで感染ホストを
隔離
Contrail 配下のネット
ワークにおいて、脅威対策
の自動化
Contrail 配下のネット
ワークにおいて、脅威対策
の自動化

検知
• クラウドと連携したリアルタイムセキュリティ
脅威検出
• 広範囲のセキュリティサービス適応と検討
• 外部からの攻撃だけでなく、内部の情報流出に
も対応
.
ポリシー
ユーザーインテントベースポリシーモデル
複数のドメインをまたがった一貫したポリシー
堅牢で一元化されたか可視性と管理
.
試行・エンフォースメント
• 高スケール・高パフォーマンスのエンフォース
メントポイント
ネットワークの様々なポイントでエンフォース
メント
エンドトゥーエンドのセキュリティポートフォリオ
Network as a single enforcement domain - Every element is a policy enforcement point

AGENDA
16
• まとめ

Branch Campus Data Center Service Provider
SRX5800
100,000
SRX5600
70,000
SRX340/SRX345
1,000/2,000
SRX1500
10,000
SRX550M
5,000
SRX4100
20,000
SRX4200
35,000
SRX5400
50,000
1RU
5Gb/s
1RU
20Gb/s
1RU
40Gb/s
5RU
480Gb/s
8RU
960Gb/s
2RU
5.5Gb/s
vSRX
200～20,000(10M～4Gb/s)
4Gb/s (2 vCPU)
25Gb/s (16 vCPU)
Cloud
Security Director
Policy Enforcer
16RU
2Tb/s
Sky Advanced
Threat Prevention
&
JATP
Secure Analytics
管理、可視化、自動化 SIEM アンチマルウェア・ゼロデイ攻撃
cSRX*
1RU
1.7/3Gb/s
Juniper アドバンスドセキュリティポートフォリオ
SRX4600
60,000
1RU
95Gb/s
前例の無いスケーラビリティー
ルーティング、スイッチング、セキュリティを
１台に集約

広範囲なセキュリティサービスをご提供
SRX 基本サービスSRX 基本サービス
次世代
ファイアウォールサービス
次世代
ファイアウォールサービス
ファイアウォールアドレス変換（NAT） VPN ルーティング
アプリケーションの
可視化と制御
ユーザベース
ファイアウォール
UTM
(既知の脅威に対する対策)
UTM
(既知の脅威に対する対策)
アンチウィルス
不正侵入防御（IPS)
ウェブ/コンテンツ
フィルタリング
アンチスパム
脅威インテリジェンス
プラットフォーム
脅威インテリジェンス
プラットフォーム
ボットネット/C&C
GEO-IP
独自のリスト, APT
マネージメントレポーティング分析
自動化（オートメーショ
ン）
高度な脅威防御
(ゼロデイ)
高度な脅威防御
(ゼロデイ)
サンドボックス
マルウェア回避
豊富なレポーティングと
分析機能
NGFW SRX Sky ATP・JATP

SRXとセキュリティテクノロジーの関係
アプリケーション・
コントロール
IPS/IDS
アンチウィル
ス
ブラックリストサンドボックス
アプリケーションの
可視化・制御
ネットワーク攻撃
不正アクセス
既知マルウェア
システムと
C&Cサーバ
既知マルウェア
未知マルウェア
ジュニパー
SRX
アプリケーション・コ
ントロール
AppSecure
IPS/IDS
IDP
アンチウィルス
Anti-Virus
SkyATP
ブラックリスト
Spotlight
Secure/GeoIP
SkyATP
サンドボックス
Sky ATP
JATP
SRXは様々な脅威に対応することができる業界最高水準のセキュリティサービス・ゲートウェイ

3,600種類以上の
アプリケーション
を識別
App Tracking
App QoS
App Firewall
App Routing
トラフィックを可視化したい
特定のアプリケーションの経路を変更したい
特定のアプリケーションをブロック
したい
特定のアプリケーションにQoSを適用した
い
アプリケーションの可視化とコントロール
Juniper NetworksのSRXは識別したアプリケーションに対して
可視化、経路制御、ポリシー、QoSを適用させることが可能。

SRX & Junos
仮想化環境
VM1 VM2 VM3 VM4
vSRX
仮想アプライアンス型サービス・ゲートウェイ
集約されたセキュリティ機能を提供
VSRX –SRXの仮想アプライアンス

• 最小2コアのvCPUから構成
• コントロールプレーンとデータプ
レーンでvCPUを分割
• データ転送用のcore数は1, 4, 8,
16と追加することでパフォーマ
ンスをリニアに加速
VSRX –SRXの仮想アプライアンス
vSRX VM
低リソースで高パフォスーマンスを実現
～サーバーリソース投資削減し高い投資効果
仮想Coreの割り当てを増やすことで
最大100Gまで拡張可能なアーキテクチャ

VSRX パフォーマンス試験 (VMWARE 5.5 SRIOV有効)
10.5
19.7G
40
78.8G
0
20
40
60
80
100
0 2 4 6 8 10
FWTHROUGHPUT
GBPS(1514B)
# OF VSRX INSTANCES
vSRX 2.0
割り当てるvCPUによりリニアにパフォーマンスはスケール
All the Above numbers are tested on Dell servers
• VMware5.5+SRIOV-2.4Ghz Server – R820- 24 cores *2.393Ghz
※KVM
12vCPUで100G
サーバー一台あたり
~80G ファイアウォール

• 脅威状態の可視性
• ルールの自動配置
• ユーザーエラーの軽減
• 修復時間の改善
Security Director – ネットワークセキュリティ管理 -
多数のSRXを一元的に設定管理・可視化
ダッシュボード
アプリとユーザーの可視化
イベントとログの管理
脅威の可視化

SECURITY DIRECTOR & POLICY ENFORCER
vSRX or
SRX
Security
Director
Juniper
SKY
ATP
3rd Party
EMS
3rd パーティ
エンフォースメ
ント
パブリッククラウド
プライベートクラウド
• ドメインを超えたデータノーマライゼー
ション
• 複数ドメインのポリシー拡大
• 異なるドメインにまたいだワークフロー
Policy Enforcer
Switch Micro-
Service
EX/QFX
• SRX, vSRX and cSRXの一元管理
• 同一セキュリティーポリシーの展開
モニタリング、ロギング、etc.
Security Director
同一セキュリティポリシーをマルチドメインで共通ポリシーとして

SKY ADVANCED THREAT PREVENTION
クラウドベース
• クラウドサーバとファイアウォールがリアルタイム連携
• クラウドリソースを活かした分析とレポーティング
• 全世界で共有・蓄積されるセキュリティ脅威情報
多段的な検知スキーム
• 未知のマルウェアを検出するための複数の検知方法
• 独自の誘発メカニズム(特許技術)を使用した挙動解析
• 最新のボットネットデータを使用した通信の識別
• IPアドレスの国別情報によるフィルタリング
SkyATP
インターネット
SRX
悪意のあるファイルをクラウドにて分析し、
予測不可能なゼロデイ攻撃や未知のマルウェアに対応す
る
強固なネットワークセキュリティを実現

SKY ATP マルウェア検知の詳細
危険度レベルによって感染ホストとして
認識しアクション(e.g.SRXの通信遮断)
・キャッシュ情報による検知 → １秒以内
以前の検知情報を即座に照合
ファイルのダウンロードが終わる前に遮断
・シグネチャ照合による検知 → ５秒以内
常に最新のシグネチャ情報を使用した照合
複数のアンチウイルスエンジンでスクリーン
・静的分析による検知 → ３０秒以内
ソフトウェアコードを構造的に解析
高度な機械学習アルゴリズムを利用
・動的分析による検知 → ７分以内
仮想クライアント環境を使用した動的分析
マルウェアを誘発させる独自の技術を導入
Sky ATP での処理の流れと対応時間
未知の脅威でも最大7分(他社は最大30程度を要す)

JUNIPER ADVANCED THREAT PREVENTION/CYPHORT
先進的な分析
他社を含む複数のデータソースをサポートデータ取込蓄積分析可視化
最適化された記録
無限のスケール
汎用ハードの利用
挙動分析
(オブジェクト、ネットワー
ク、ML)
異常動作検出
(ルール、ML)
優先順位、リスク分析
相関付け
時系列
脅威の移動
事象ビュー
脅威の駆逐
他
SmartCore
ANALYTICS ENGINE
SmartCore
ANALYTICS ENGINE
ポリシ適用・感染確認
サードパーティ
フィード
他社ソリューショ
ン
Collector
未知の脅威検知迅速な対応
JATP のセンサーとサードパーティ
製品の両方からネットワーク全体
の情報を収集
ふるまい検知サンドボックス、機械学習機
能、脅威インテリジェンスによる高度分析に
より、リスクレベルと優先順位を判断
分析結果を元に自動的
に感染範囲の特定、感
染端末の隔離
オンプレ環境で様々な脅威をサードパーティ含め情報収集し脅威の可視化と制御
が可能

JATPによるキルチェーン
31
フィッシングメールの
受信を検知
フィッシングメールにある悪意のある
URLをクリックし、マルウェアをダウ
ンロード
PC端末 (エンドポイント）の
Symantec がマルウェアをブ
ロック
マルチベンダ環境でのネットワーク全体の脅威状況と影響範囲を可視化
エンドポイントがブロック
したため他に影響が
無いことがわかる

AGENDA
32
• まとめ

VMWARE NSX連携セキュリティ連携
1. NSXチェイニング vSRX連携 – 次世代FW.
マイクロセグメンテーションに、L7やIPS(18,000以上攻撃パター
ンシグニチャを
検知&防御)による高レベルのセキュリティを提供
2. SkyATP metadata連携 – マルウェアや未知の脅威対
策
.
既知・未知のマルウェなど、高度な脅威を検知し、
metadata/security TAGにより拡散マシン単位で拡散防止

1. VSRX INTEGRATION WITH NSX
L4-L7のアドバンスドセキュリティ(Appsecure & IPS)セキュリティの強化
オーバーレイ
ネットワーク VM
ESXi
VM VM
ESXi
VM
NSX
vSRX vSRX
クラスタ単位で
vSRXを自動展開
仮想NW管理者セキュリティ管理者
分散FWが通信を
vSRXにリダイレクト
Security Director/Policy Enforcer
低リソース消費(2vCPU, 4G メモリ)で容易に展開

グループベースインテントポリシー
インター
ネット
Finance
Sales
CEO
 全アプリ許可
 IPS有効
 Skype最優先
 P2Pはブロック
 YouTubeは許可
 IPS有効
 P2P, YouTubeはブロック
 IPS有効
部署や役割グループを元にSecurity Groupを設定し、
役割に応じた異なるアプリケーションセキュリティポリシー
Security
Group情報
vSRX・SRX
NSX
Dynamic Address
Group
ベースのセキュリティポ
リシー
Security Director/
Policy Enforcer

NSX INTEGRATION – VSRXの初期セットアップ
NSX
Manager
Security
Admin
Cloud Admin
Security Director
Policy Enforcer
ESXi Host-1
NSX Virtual Switch
VM VM
ESXi Host-2
NSX Virtual Switch
VM VM
ToR Switch
1 SDがvSRXサービスをNSXに登録
1
vSRX vSRX
2
2 NSXがvSRXをClusterに展開
4
4 SDがvSRXに初期configとライセンスを配布
この段階ではvSRXでトラフィック
は検査されない
DFW DFW DFW DFW
vSR
X
vSR
X
vSR
X
vSR
X
3
3 NSXからvSRXへのリダイレクトルールを設定
0 NSXとSD/PEのインストール
初期セットアップ完了
各ホストにvSRXを自動展開

NSX INTEGRATION – ポリシー管理
NSX
Manager
Security
Admin
Cloud Admin
ESXi Host-1
NSX Virtual Switch
VM VM
ESXi Host-2
NSX Virtual Switch
VM VM
ToR Switch
1
NSX管理者はvSRXへのリダイレクトルールを作成
SRC=Any, DEST=PCI_SG, ACTION=REDIRECT-vSRX
1
vSRX vSRX
4
DFW DFW DFW DFW
vSR
X
vSR
X
vSR
X
vSR
X
2
0 NSX Security Groups = VM groups
NSXのSG更新があればPE & SDに対して随時同期される
2 NSXはvSRXへのリダイレクトポリシーを設定
3
NSXはSGとSGメンバーの情報をPEに配布
PEはDAG(Dynamic Address Group)をSDに作成
セキュリティ管理者はNSXのSGをポリシーに使用可能
ポリシーは N-S (Physical SRX) と E-W (NSX vSRX)に適用可
3
4 SDはvSRXに対してポリシーを配布
Security Director
Policy Enforcer
NSXがリダイレクトし、SDでセキュリティーポリシー管理

SD上でNSX上で作成済のSecurity Group情報一覧確認
クラウド管理者がvCenter側でSecurity Groupを設定(例:Marntiniという文字列のVMグループ)
SG-Martini
SG-Martini
SD上でも該当VM確認
NSX Inventory確認 on Security Director

Dest.Addressに
nsxmgr-SG-Martiniを指定
Security Groupを送信元や送信先として指定し、
アドレスを意識せず動的にセキュリティーポリシーを適用
Security Policy with NSX Security Group

Application FW IPS
• 18,000以上攻撃パターンシグニ
チャを検知&防御
• IPS Policy Templateとして指定
• 3600種類以上のアプリケーションを識別
• アプリケーションごとにアクション指定可能
Application FW & IPS Policy with vSRX for NSX

2.AUTOMATED THREAT REMEDIATION WITH NSX
 SkyATPによるランサムウェアな
どの
高度なマルウェアからの保護
 感染ホスト情報をSecurity
DirectorからNSXに伝搬し、
動的に仮想マシン単位での
脅威拡大の防止
 マイクロセグメンテーションの
さらなら強化を実現
SkyATP連携により多様な脅威から仮想マシン単位で動的に制御
Security Director/Policy Enforcer
DMZ
VLAN
SRX or vSRX
NSX
SkyATP
セキュリティ
タグ
感染ホストの
フィード
ポリシー適用

AUTOMATED THREAT REMEDIATION WITH NSX
ワークフロー概要
1. エンドポイントのVMがマルウェアのダウン
ロードやC&Cサーバへの接続を試みる
2. 境界FWのSRXがファイルをスキャン
3. SRXがSky ATPにファイルを送る
4. Sky ATPがマルウェアを検知し、SRXと
Policy Enforcerに通知する
5. SRXがファイルのダウンロードを制御
6. Policy EnforcerがVMware NSX Manager
に”Infected”(脅威)のような適切なセキュリ
ティタグを通知し、必要なセキュリティグ
ループに該当のVMを配置
7. セキュリティ管理者は、NSXのセキュリティ
グループをSRXまたはvSRXで利活用し、さら
ならアクションを行うことも可能。
8. 加えて、NSXのパートナーにリストされてい
る他のエンドポイントプロテクションを活用
しエンドポイントセキュリティのワークフ
ローを活用することも可能

セキュリティ
タグ
SDSN_BLOC
K
Security Tagベースフィルター
セキュリティタグをベースにしたフィルターやチェイ
ニング
感染したホスト情報をタグ情報と共にNSXに通知
該当VM
SkyATP感染ホストの検出

メタデータベースダイナミックマルチクラウドセキュリ
ティー
 メタデータをベースに直観的なセキュリティポリシー
 セキュリティレベルによりメタデータの割り当て
※NSX ロードマップ
 他のドメインのメタデータを用いたセキュリティ
ポリシーを利用したマルチドメインセキュリティ
 仮想ネットワークの情報をベアメタル環境や
パブリッククラウド環境にも適用
SDSN + マイクロセグメンテーション
脅威拡大を早期に対応し自動的に隔離
仮想環境はもちろん物理やパブリッククラウドをセキュアに
ベアメタルデータセ
ンタ
パブリッ
ク
クラウド
VMware
SDDC

JUNIPER SRX + NSX
単一管理ポイント
東西・南北の
タグベースセキュリ
ティ
低リソース(2vCPU)
フットプリント
高スループット
次世代ファイア
ウォール
vCenter
タグベース連携
POWERED BY
SDSN + NSX
SDSNでNSXマイセグをよりセキュアに、かつネットワーク全体をセキュアに
Advanced Threat
Intelligence
DC Micro-
Segmentation
Multi domain
Entire Network

AGENDA
47
• まとめ

オーバーレイネットワークに適したアンダーレイとは？
 サーバー接続数の増加やパフォーマ
ンスの増加の対応
 データセンタ間にもオーバーレイの
ネットワークの拡張やSLAを実現
 オーバーレイに影響を与えない充
分なパフォーマンスと耐障害性
 ストレージやデータベースなど仮
想化していない高パフォーマンス
が求められる環境への接続
ジュニパーファブリック + HW-VTEP + DCI
物理インフラ
VMware NSX
VXLAN
パフォーマンス/耐障害性拡張性
 オーバーレイの一元管理と
アンダーレイの一元管理
 増設時にサーバーエンジニアに
も容易なスイッチの追加
管理性

JUNOS アーキテクチャー
オートメーション
シンプルに展開高スケール/DIY
Juniperファブリックソリューション

リーフ
スパイン
VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM
Bare Metal
Hypervisor
Node #1 Node #28Node #3Node #2 Node #4
Master Backup
シングル管理インタフェー
ス
運用・管理の簡素化
シングル管理インターフェース
スパイン&リーフ：高パフォーマンス
L2,L3,MPLSの実装と最適経路
ゼロタッチによる機器追加
Node #1 Node #28Node #3Node #2 Node #4
オーバーレイに必要なパフォーマンス、容易な管理、高い拡張性を実現
JUNIPER ファブリック (VC/VCF/JFD/CFM)
スイッチ追加時も最低限の設定追加
論理的に
1台のスイッチ

オーバーレイ
ネットワーク
アンダーレイ
ネットワーク
VM
仮想化していないリソースとの接続をどうするか
NSX連携 - Hardware VTEP機能対応スイッチ
VM VM VM NSX
仮想化インフラ
物理的なインフラ
プロビジョニング
VXLANVXLAN
51広帯域・高パフォーマンス、高拡張性、高可用性、設定画面の統一などが必要な場合に
は、
物理スイッチによるハードウェアVTEPとの連携ソリューションが活用できる基盤
VM VM
非仮想化サーバーも
L2で高速接続非仮想化サーバー
VLANVLAN

NSX HARDWARE VTEP統合 –コントロールプレーン/BUM
VXLAN環境におけるBUMトラフィックのレプリケーションに応じた設定が必要
JuniperはMulticast−VXLAN、OVSDB−VXLAN(unicast)、2種類の方法でNSXと接続可能
OVSDB-VXLAN(unicast)
BUMトラフィックはNSXコントローラが制御を行い、
代表ノードが各VTEPへパケットの転送を行う
・アンダーレイでマルチキャストルーティングは不要
・NSX ManagerからJuniperの設定変更が可能 (L2)
・DLRによる分散論理ルーターとの併用が不可
DLRなしのCentralized Routingのみサポート）
・ネットワークデバイス毎の証明書の管理が必要
※OVSDB-VXLANはNSX6.2.2より正式サポート
Multicast-VXLAN
BUMトラフィックはMulticastルーティングにより
Rendezvous Point(RP)がパケットの複製を行う
（メリット）
・DLRによる分散論理ルーターとの共存が可能 (L2)
・証明書の管理は不要
・ネットワーク管理とNSXの管理境界をある程度わけることが
できる
・アンダーレイでマルチキャストルーティングが必要
・NSX ManagerからJuniperの設定変更が不可
メリッ
ト
デメ
リット
メリッ
ト
デメ
リット
お客様の環境、運用方法、管理性などによる最適な選択が可能

NSXに最適なアンダーレイの提供
QFX5100 Hardware Gateway Integration with VMware NSX-V 6.2.4 Implementation Guide
ジュニパーファブリック + HW-VTEP + DCI
Slide shareに構築手順、デザイン、検討ポイント掲載
https://www.slideshare.net/JuniperJapan

オーバーレイ
ネットワーク
アンダーレイ
ネットワーク
VM
仮想化していないリソースとの接続をどうするか
NSX連携 - Hardware VTEP機能対応スイッチ
VM VM VM NSX
仮想化インフラ
物理的なインフラ
プロビジョニング
VXLANVXLAN
54
VM VM
非仮想化サーバーも
L2で高速接続非仮想化サーバー
VLANVLAN
広帯域・高パフォーマンス、高拡張性、高可用性、設定画面の統一などが必要な場
合には、
物理スイッチによるハードウェアVTEPとの連携ソリューションが活用できる基盤

 新しいスイッチを接続して組み込むだけ
 変更作業と管理負荷を大幅に削減
監視システム
監視対象追加
55
Juniperファブリックを利用した場合のラック追加作業
正常性確認
設定追加
VLAN・IPアドレス設
計・ACL設計
ルーティング設計
サーバーラックの新設
1台で
設定するだけ
不要
最小化
論理的に
1台のスイッチ

国内外でNSX事例増加
56

A LEADER IN THE FORRESTER WAVE
Hardware Platforms for Software-Defined Networking, Q1 2018 See the Report
～SDNに求められるハードウェアとしてリーダーポジ
ション～
“データセンターからビジネスエッジまで、一貫性のあ
るOSでネットワーク全体を自動化したいお客様にジュ
ニパーネットワークスの自動化は最良のソリューショ
ンになる.”
The Forrester Wave™: Hardware Platforms For Software-
Defined Networking, Q1 2018
The Forrester WaveTM is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are
trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of
Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores,
weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in
the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at
the time and are subject to change.
“Programmability”, “Operating System”で最も高
い評価
Juniper Networks

JUNIPER-VMWAREにより更なる拡張も可能
Juniperだけが NSX環境に最適なアンダーレイ、セキュリティ、可視化を提供可能
オーバーレイ
ネットワーク
アンダーレイ
ネットワーク
VM
Hypervisor
VM VM
Hypervisor
VM NSX
vSRX vSRX通信可視化
L7/IPS
SkyATP
58
DC2DC1
WAN
統合監視
完全自動化
Junos
automation
セルフサービスポー
タル/API
SRX
Juniper
ファブリッ
ク

AGENDA
59
• まとめ

モニタリング
セキュリティ
SDSN & JUNIPERファブリックにより
VMWARE環境にも最適な投資効果の高いセキュアインフラを
TECHNOLOGY ALLIANCE本資料には一部ロードマップを含みます。
予定は予告なく変更することもあります。
詳細な情報が必要な場合はお問合せくださ
い。
ネットワーク

vSRX 60日間無料トライアル
https://www.juniper.net/us/en/dm/free-vsrx-trial/
定期セキュリティセミナー開催
~o365問題解決、マルウェア対策~
https://www.juniper.net/jp/jp/company/events/
Get Started ~Free Trial～
vQFX 無料トライアル
定期JUNOS(SRX/QFX)ハンズオンセミナー開催
https://www.juniper.net/us/en/dm/free-vqfx-trial/
https://www.juniper.net/jp/jp/dm/junos-handson/

180529-仮想化環境のあらゆる脅威対策(VMware NSX+Juniper vSRX_QFX)(VMwareセミナ)

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 180529-仮想化環境のあらゆる脅威対策(VMware NSX+Juniper vSRX_QFX)(VMwareセミナ)

Similar to 180529-仮想化環境のあらゆる脅威対策(VMware NSX+Juniper vSRX_QFX)(VMwareセミナ) (20)

Recently uploaded

Recently uploaded (8)

180529-仮想化環境のあらゆる脅威対策(VMware NSX+Juniper vSRX_QFX)(VMwareセミナ)