3. Multicloud is the New Normal
Copyright 2019 FUJITSU LIMITED
https://www.cisco.com/c/dam/global/en_uk/solutions/cloud/overview/cloud_business_cloud_advisor_infobrief_eng_FY18Q3.pdf
2
10. 既存技術は2パターンに大別
1. ネットワークで統合する … VPN, 専用線
2. サービス(API)をインターネットに公開する … API Gateway
Internet
ネットワーク越しにどうサービスをつなげるか?
Copyright 2019 FUJITSU LIMITED
Data Center #A Data Center #B
IPsec-VPN
サービス(API)
Internet
Data Center #A Data Center #B
サービス(API)
VPN GatewayVPN Gateway
API Gateway
クライアント
クライアント
9
19. 既存技術は2パターンに大別
1. ネットワークで統合する … VPN, 専用線
2. サービス(API)をインターネットに公開する … API Gateway
Internet
(再掲)ネットワーク越しにどうAPIをつなげるか?
Copyright 2019 FUJITSU LIMITED
Data Center #A Data Center #B
IPsec-VPN
サービス(API)
Internet
Data Center #A Data Center #B
サービス(API)
VPN GatewayVPN Gateway
API Gateway
クライアント
クライアント
18
20. VPNを使った接続を考える
リモートにあるAPIを呼び出したいだけなのに考慮することは沢山ある
① ルーティング :ルーティングやIPサブネットの設計が必要(サブネット重複はNG)
② VPN Gateway :ハードであれば調達リードタイム有、場合によってFW穴あけや固定IPも必要
③ 名前解決(DNS) :クラウドだとVPN先からPrivate DNSが引けないことも多い
* この問題にフォーカスしたソリューションもある(HashiCorp Consul Connect)
④ アクセス制御 :低レイヤ(L2/3)の接続であり、不要なアクセスはSecurity Groupでブロックすべき
Copyright 2019 FUJITSU LIMITED
インフラの判るエンジニアが必要不可欠!
Internet
Data Center #A Data Center #B
IPsec-VPN
サービス(API)
VPN GatewayVPN Gateway
クライアント
DNS RouterSecurity Group DNSRouter Security Group
19
21. 既存技術は2パターンに大別
1. ネットワークで統合する … VPN, 専用線
2. サービス(API)をインターネットに公開する … API Gateway
Internet
(再掲)ネットワーク越しにどうAPIをつなげるか?
Copyright 2019 FUJITSU LIMITED
Data Center #A Data Center #B
IPsec-VPN
サービス(API)
Internet
Data Center #A Data Center #B
サービス(API)
RouterRouter
API Gateway
クライアント
クライアント
20
22. リモートにあるAPIを呼び出したいだけなのに考慮することは沢山ある
① DMZ構築 :セキュリティの専門家を交えて構築する必要、インターネットからの攻撃対策
* DoS attack, SQL injection, XSS, Brute force attack …
② セキュリティ監査 :セキュリティ的に問題が無いことを証明する必要があり、時間もかかる
③ 証明書管理 :Internet経由となるためHTTPS化したいが、サーバ証明書の取得・維持管理が伴う
④ 認証・認可 :場合によっては個人情報の管理ポリシーも必要
Data Center #A Data Center #B
API Gatewayを使った接続を考える
Copyright 2019 FUJITSU LIMITED
Internet
サービス(API)
API
Gatewayクライアント
セキュリティの判るエンジニアが必要不可欠!
Firewall
DMZ
SSL
Certificate
21