コンテンツに移動
データ分析

Confluent Cloud で Private Service Connect を使用して、ストリーミング データをセキュリティで保護する

2022年10月13日
Google Cloud Japan Team

※この投稿は米国時間 2022 年 10 月 6 日に、Google Cloud blog に投稿されたものの抄訳です。

データのスピードとセキュリティは両立できなければなりません。この理由から、Apache Kafka の創設者たちによって、Confluent Cloud というクラウドファーストのデータ ストリーミング プラットフォームが構築されました。Confluent Cloud はデータを保存時に暗号化してセキュリティを確保し、安全なデータの移動を可能にします。

しかし、金融サービスや医療などの規制の厳しい業界の組織が生成するデータをはじめ、ほとんどのセンシティブ データについては、完全に分離された非公開のパイプラインでしかスピードとセキュリティを両立できません。この課題に対処すべく、Confluent Cloud で Google Cloud Private Service Connect(PSC)を使用してネットワークに安全に接続できるようになったことを発表いたします。

より強力なデータ セキュリティ ソリューション

多くの企業では、データの多層セキュリティ ポリシーの出発点として、公共のインターネットにさらされるネットワークの攻撃ベクトルを最小限に抑えるところから始めます。Apache Kafka クラスタなどの重要なリソースへのインターネット アクセスをブロックすれば、セキュリティ侵害、DDoS 攻撃、スパムといった問題を防止できるからです。インターネット アクセスをブロックした状態で通信を可能にするために、組織はこれまで Virtual Private Cloud(VPC)ピアリングに依存してきました。VPC ピアリングによって、自社のネットワークと相手の組織のネットワークとの間でネットワーク アドレスを共有し、プライベート ネットワーク接続を確立するわけですが、この方法には短所があります。

VPC ピアリングを使用するには、両方の当事者が 2 つのネットワーク間で通信するための IP アドレス ブロックを調整する必要があります。しかし、多くの企業には限られた IP 空間しかなく、使用可能な IP アドレス ブロックを見つけるのは困難なため、2 つのチーム間で何度もやり取りしなければなりません。このような調整は、高度なトポロジで数百ものネットワークを接続している大規模な組織にとっては特に難題となります。このような組織では Kafka にアクセスする必要のあるアプリケーションが多数のネットワークに分散している場合が多いため、それらのネットワークのすべてを Confluent Cloud とピアリングするにはかなりの作業が必要になるからです。

VPC ピアリングでは、それぞれの当事者による相手のネットワークへのアクセスも懸念事項となります。Confluent Cloud のユーザーは、自社のクライアントに Confluent Cloud への接続を開始させたいと考える一方、Confluent から自社のネットワークへのアクセスは制限したいと考えるからです。

以上の不備を克服できるのが、Google Cloud PSC です。PSC により、VPC から Confluent Cloud への安全な一方向のプライベート接続が可能になります。お客様は、Confluent が新しいネットワークごとに公開するサービス アタッチメントに対応する PSC エンドポイントを、Google Cloud 上の独自の VPC 内に作成できます。クライアントはこの PSC エンドポイントを使用して接続するため、IP アドレス ブロックをあれこれ調整する必要はありません。また、お客様のネットワークから Confluent Cloud に一方向で接続するということは、ネットワーク セキュリティ チームが安全を確保しなければならない攻撃対象領域が小さくなることを意味します。1 つの Confluent Cloud ネットワークに対して数十あるいは数百の PSC 接続を確立するとしても、Confluent での調整や組織内での調整が追加で必要になることはありません。

このネットワーキング オプションは、高度なデータ セキュリティながらも簡単に設定して使用できます。Confluent Cloud ネットワークで Private Service Connect を使用すると、次のメリットがあります。

  • お客様の VPC ネットワークからしか開始できない Confluent Cloud への一方向のゲートウェイ接続で、トラフィックを Private Service Connect を介して安全に Confluent Cloud に送信できます。

  • Google Cloud コンソールでプライベート エンドポイントの DNS の解決を構成して一元管理できます。

  • Google Cloud プロジェクト ID を登録して、信頼できるプロジェクトだけにアクセスを許可できます。

  • お客様のネットワークと Confluent Cloud の間で CIDR 範囲を調整する必要はありません。

Confluent Cloud ネットワークで Private Service Connect を使用する方法については、confluent.com に用意されているデベロッパー向けドキュメントをご覧ください。

Google Cloud 上のマネージド Kafka がもたらす力

法外な費用をかけ、技術的課題に対処して自社製ソリューションを構築しなくても、Google Cloud 上の Confluent を使用すれば、組織はリアルタイム データ ストリーミングを活用できます。Confluent が成長してさまざまな業界にリーチを広げるにつれ、適用対象となる規制の厳しいユースケースやその他のリスク回避が必要なユースケースも増え続け、さらに多くのお客様を支援していくでしょう。規制の厳しい業界のお客様にとって、Confluent の SaaS サービスにアクセスするには、仮想ネットワークからのプライベート接続が理想的なソリューションとなります。現在、Confluent ではこのニーズに対応すべく、Google Cloud でアーキテクチャと接続を簡素化するとともに、データの引き出しのリスクを排除できるよう、Private Service Connect を提供しています。

Private Service Connect がサポートされるようになったことに加え、プライベート接続を必要とする組織は、Google Cloud 上でこれまでよりも簡単に Confluent のフルマネージド クラウド サービスを利用して、Kafka を自己管理する負担とリスクを排除し、ビジネスを差別化するアプリの構築に注力できます。

今すぐ Google Cloud Marketplace で無料トライアルをご利用ください。Private Service Connect のリリースについて詳しくは、cnfl.io/psc にアクセスしてください。


- Google Cloud グループ プロダクト マネージャー Mark Church
投稿先