本稿は、Mirantis ケーススタディ「Defense Agency Cybersecurity Office Charts a New Course with Mirantis」を翻訳したものです。

防衛機関のサイバーセキュリティ対策チームでは、あるソリューションでセキュリティ面の失敗による痛手を経験しました。その後、セキュリティガイドラインを満たす唯一のマネージドコンテナサービスである Mirantis を導入し、セキュリティというクリティカルな業務から解放されました。

ミッションクリティカルなアプリケーションを扱う組織では、チームが総力を挙げて作業に取り組む必要があります。防衛機関のサイバーセキュリティ対策チームほどミッションクリティカルなアプリケーションを持つ組織はないでしょう。しかし開発チームがインフラストラクチャの管理に苦戦を強いられる状況では、効率的な継続的デリバリは困難となり、コストも高くならざるを得ません。

同機関の開発チームがコンテナ化に乗り出した際、特に OpenShift 上で Kubernetes を活用しようとすると、前述のような荒波にもまれました。コンテナオーケストレーションの管理は、それだけで非常に困難なプロジェクトとなり、イノベーションとデリバリに費やすべきリソースまでもがすべて取られてしまいました。OpenShift 3.11 のEOL（サポート終了）時期が近づくに連れ、別のソリューションが必要であることは自明の理でした。

同機関ではMirantisのマネージドコンテナプラットフォームによって、最も厳しいセキュリティ基準を満たしたコンテナ化サービスのための最先端な基盤を構築することに成功しました。その結果開発チームの負担が軽減され、イノベーションとデリバリに集中できるようになりました。

「安全性と運用の有効性を証明するために必要なことを、そのツールで実現できるかどうか。これに尽きます」と、同機関のアシスタントプログラムマネージャは言います。

仮想化レイヤーのセキュリティの課題

「日々の業務の中でインフラの心配をする必要がない。その分、価値の創造に集中できます」

同機関では、アプリケーションのホスティングに厳しい要件があり、それがコンテナ化サービスの構築を困難にしていました。急速なイノベーションとミッションクリティカルなアプリケーションのニーズに対応するために、同機関の開発者はコンテナの機能を活用せねばなりません。規制の厳しいインフラストラクチャ上でコンテナ化サービスを本番環境にデプロイするには、どうすればよいのでしょうか。

前述のアシスタントプログラムマネージャのチームでは、まず仮想化に目を向けました。OpenShift を使ってコンテナ化されたアプリケーションごとに仮想化された Kubernetes 環境、つまり仮想化されたデータセンターを作成したのです。しかし、この方法は理論的には容易でも、実行は難しいことがすぐに判明しました。開発者は業務が簡略化されるどころか、カスタムメイドの OpenShift 環境を管理することが業務時間の大半を占めるようになってしまったのです。

さらに良くないことに、このアーキテクチャはセキュリティ面でも頭痛の種でした。特注の仮想化レイヤーは、運用にさらなる複雑さをもたらしていました。そのうえOpenShift では、すべてのセキュリティおよびコンプライアンス要件への対応ができませんでした。OpenShift 3.11がサポート終了に近づき、チームは進むべき道について決断しなければなりませんでした。

「OpenShift 4.0に移行するか、アプリケーションのコンテナ化を元に戻すか、どちらもほぼ同等の労力が必要でした」と、アシスタントプログラムマネージャーは述べています。OpenShiftはセキュリティ要件を満たせないため、非コンテナ化はアプリケーションの安全性を高めるように思えました。しかしコンテナ化による迅速な開発とデプロイの可能性は犠牲にせざるを得ません。チームは時計の針を15年前に戻したくはありませんでした。前に進むための道が必要でした。そして Mirantis に勝機を見出したのです。

唯一の 安全なマネー ジドのContainers-as-a-Serviceプラットフォーム

開発チームはOpenshiftの代わりにMirantisと協働して、MKE を基盤とするCaaSとして提供されるセキュアマネージドコンテナプラットフォームを構築しました。このCaaS-G（Mirantis Containers-as-a-Service for Government platform）は、市場で唯一の安全で完全なマネージドコンテナプラットフォームです。政府機関がオンプレミスやクラウドなど複数の環境にわたって拡張でき、セキュリティとコンプライアンスの認証も取得しているプラットフォームです。

MKE では2つのオーケストレータがサポートされているので、チームは要件に応じて Swarm または Kubernetes を選択できます。アプリケーションの下にあるコンテナレイヤーが一貫しているため、運用上に必要なコンプライアンス認証のために行うアプリケーション検証の複雑さが軽減されました。そして最も重要なことは、Mirantisがインフラストラクチャを管理するので、チームはアプリケーションに集中できるようになったことです。

Mirantis と同機関は協力して、コンテナ化したアプリケーションのための “安全なマネージドコンテナプラットフォーム” を構築し、より迅速で効率的なデプロイとデリバリを実現しました。同機関のアシスタントプログラムマネージャーはこう述べています。「MKEによって私たちは雑用から解放され、本来すべき仕事に集中できます。そのうえアプリケーションに変更を加えずともセキュリティが強化されています。業務のうちの80%は、完全にアプリケーションの改善に集中することができるようになりました。このようなマネージドプラットフォームを得たことで、日々の業務でインフラストラクチャの心配をする必要がなくなりました。その分、価値の創造に集中できるようになったのです。」

挑戦した課題

• 最も高いセキュリティ要件に適したマネージドコンテナサービスを必要としていた

ソリューション

• Mirantis Kubernetes Engineを基盤にSwarmとKubernetesのデュアルオーケストレーターをサポートしたContainers-as-a-Service

導入の成果

• 開発チームの業務時間の80％が、インフラストラクチャ管理のためではなく、アプリケーション開発に集中するための時間となった

Mirantis製品に関するお問い合わせや、コンテナ化などDXに関するお問い合わせはこちらへ。