ブログ | CTO オフィス

AI アプリケーションの配信とセキュリティに関する包括的なガイド

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2024年8月11日公開

どれが必要で、どこに保存すればよいでしょうか? 

アプリケーション アーキテクチャの新しい世代はすべて、ネットワーク トラフィックに影響を与えます。 私たちがこれに注目するのは、アプリケーション アーキテクチャの大きな変化ごとに、発生する課題に対処するためにアプリケーションの配信とセキュリティにも補完的な変化が生じるためです。 

運用上の課題に対処するための変化とネットワークの対応を詳しく調べると、AI アプリケーションによって実際に新たな課題は発生していないことがわかります。 もちろん、規模、パフォーマンス、セキュリティ、複雑さは増大しますが、これらは私たちが 10 年以上にわたって解決してきた課題と同じです。 

しかし、AI はワークロードとトラフィック パターンの分散を変更します。 これは、ネットワーク トラフィックの大部分がアプリケーション トラフィックであり、API トラフィックも増加しているため重要です。 これが違う点です。 コア、クラウド、エッジにわたる新しいトラフィック パターンと分散を理解することで、どのようなアプリケーション配信およびセキュリティ サービスが必要になるか、また、最大の効果と効率を得るためにそれらをどこに配置できるかについての洞察が得られます。 

新しいトラフィック パターン

新しい交通パターン

AI アプリケーションの最も重要な結果の 1 つは、EW トラフィックと NS トラフィックの両方が増加することであり、NS トラフィックの多くは AI から発生し、従来の受信 NS データ パスに加えて、戦略的な制御ポイントとして送信 NS データ パスが導入されることに注意することが重要です。 

AI アプリケーションは今後 2 ~ 3 年間、既存のポートフォリオに追加され、組織が NLI (自然言語インターフェース) に対する消費者の需要を理解するにつれて統合が進むでしょう。 

N-S データ パスでの分散が増加すると、企業境界でのセキュリティ サービスに対する需要が高まり、環境間での E-W データ パスでの分散が増加すると、マルチクラウド ネットワーキングの必要性が高まります。 内部的には、E-W データ パス上のデータの機密性により、セキュリティとアクセス機能の必要性が高まっています。

その結果、AI アプリケーション アーキテクチャにアプリケーション配信とセキュリティが重要となる 2 つの新しい挿入ポイントが生まれ、効率、コスト削減、有効性を考慮してアプリケーション配信とセキュリティを展開する場所を再検討する機会が生まれます。 

推論サーバーに対して CVE が記録され始めていることを考えると、これは重要です。 これは、API を介してクライアントと通信する「モデル」層のサーバー部分です。ここでの API セキュリティの使用は、AI モデルとサーバーを検査、検出し、悪用から保護する機能が最適に展開される場所であるため、全体的な AI セキュリティ戦略において重要です。 これは「最後の防衛線」であり、プログラム可能な API セキュリティ ソリューションがあれば、AI モデルに対する新たな攻撃を軽減する最速の手段となります。 

アプリ配信とセキュリティの挿入ポイント

AI 推論パターンに関するこの投稿を覚えているかもしれません。この投稿では、今日の AI 推論の 3 つの主要な展開パターンについて説明しています。 これらのパターンに基づいて、アプリケーション サービスの拡張アーキテクチャ内で 6 つの異なる挿入ポイントを特定し、セキュリティ、スケール、効率を最適化するためにそれらのサービスをどこに展開するのが最適かを特定できます。 

  1. グローバル サービス (会社ごと)この層のアプリケーション配信とセキュリティは、一般的にはセキュリティ サービスですが、DNS、GSLB、マルチクラウド ネットワーキングなどの企業レベルの配信サービスも含まれます。 DDoS やボット保護などのセキュリティ サービスは、攻撃者が IT 資産の奥深くにある重要な (そしてコストのかかる) リソース、特にパブリック クラウドでホストされているアプリケーションを消費するのを防ぐため、ここでは最適です。 
  2. 共有サービス (場所ごと)この層でのアプリケーション配信とセキュリティは、攻撃者に対するさらなる保護として機能するほか、アプリケーション、API、インフラストラクチャ サービス (ファイアウォール、SSL VPN など) の負荷分散などの可用性サービスも提供します。  
  3. アプリケーション サービス (アプリケーションごと)この挿入ポイントでのアプリケーションの配信とセキュリティは、配信および保護するアプリケーションまたは API により類似しています。 これには、WAF、ローカル負荷分散、最新のアプリケーション向けのイングレス制御などのアプリ サービスが含まれます。 これらのアプリ サービスは、「ユーザーからアプリ」への通信を提供し、保護します。 
  4. マイクロサービス ネットワーキング (クラスターごと)この挿入ポイントでのアプリケーション配信とセキュリティは、通常、Kubernetes インフラストラクチャの一部として展開され、 mTLSとサービス メッシュが含まれます。 これらのサービスは、「アプリ間」通信を配信および保護するためのものです。 
  5. AI 推論サービス (AI コンピューティング コンプレックスごと)この新しい挿入ポイントは AI アプリケーションに固有であり、AI 推論サービスを特別に提供および保護するように設計された配信機能とセキュリティ機能が含まれています。 負荷分散は一般的であり、 AI 推論 API を保護するためのアプリケーション層のレート制限も一般的です。 詳細については、 「AI 推論がデータ センター アーキテクチャに与える影響」を参照してください。 
  6. AI インフラストラクチャ サービス (AI サーバーごと)この新しい挿入ポイントは AI ネットワーク ファブリックに組み込まれており、アプリケーション配信とセキュリティが DPU に展開され、配信サービスとセキュリティ サービスのオフロードが容易になります。 この挿入ポイントは、CPU から必要な配信とセキュリティをオフロードし、推論サーバーが「単にサービスする」ことを可能にすることで、推論投資の効率を向上させるのに役立ちます。 F5 の「Scaling Inferencing from the Inside Out」では、この層についてさらに詳しく説明しています。

実際のところ、ほとんどのアプリケーション配信およびセキュリティ サービスは、これらの挿入ポイントのいずれかに展開できます。 例外となるのは、Kubernetes デプロイメントにバインドされている Ingress コントローラーやサービス メッシュなど、環境と統合するように特別に設計されたサービスです。 

重要なのは、有効性、効率、コストといった変数を最大化できる挿入ポイントを特定することです。 これには、当該サービスの運用コストだけでなく、IT 資産のより深い部分でトラフィックを処理することに関連するコストも含まれます。 

また、アプリケーション配信とセキュリティを挿入ポイントと一致させるためのベスト プラクティスは存在しますが (それぞれに特定のサービスについて言及されている)、2 つのエンタープライズ アーキテクチャが同じではないため、逸脱する理由も常に存在します。 これは、アプリケーション配信とセキュリティのプログラム可能性の主な理由の 1 つでもあります。2 つの環境、アプリケーション、またはネットワークが同じになることはなく、固有のユースケースに合わせてカスタマイズできることは重要な機能だからです。 

環境や挿入ポイント全体にわたるアプリケーション配信とセキュリティの必要性から、F5 はあらゆる環境において、できるだけ多くの挿入ポイントでアプリケーション配信とセキュリティの導入をサポートすることにこだわっています。 これにより、環境、アプリケーション、ネットワークの設計方法に関係なく、組織が効果、効率、コストを最適化できるようになります。