インテリジェント クラウドからインテリジェント エッジまで、ユビキタス コンピューティングを実現し、セキュリティで保護する

2019年11月5日 に投稿済み

Corporate Vice President, Azure Networking

企業は、ミッションクリティカルなワークロードの実行にクラウドを採用しています。オンプレミスやオフプレミスの接続されているデバイスの数や、そこから生成されるデータは増え続けており、新しい企業向け仕様のネットワーク エッジ アーキテクチャが必要となってきています。Microsoft はこれをインテリジェント エッジと呼びます。データ ソースにより近いところでコンピューティングが行われ、ユーザーは待ち時間を減らすことができます。大規模なコンピューティング能力を備えたインテリジェント クラウドでは、類似のプログラミング モデルを使用することでストレージとさまざまなサービスがインテリジェント エッジと連携して動作し、革新的なシナリオとユビキタス コンピューティングが実現します。ネットワーキングは、インテリジェント クラウドとインテリジェント エッジの統合における重要な成功要因です。

Azure ネットワーキングのミッションは、お客様のワークロードに対して、インテリジェント クラウドからインテリジェント エッジまで提供し管理される、最も安全かつ信頼性とパフォーマンスの高いネットワークを提供することです。Microsoft は、お客様のサービスをクラウドとエッジに接続して拡張し、保護し、最適なパフォーマンスを提供し、豊富な分析情報に基づいた監視を提供できるように、引き続き革新を続けてまいります。

マイクロソフトのグローバル ネットワーク

Microsoft は世界で最も大規模な Wide Area Network (WAN) を運営し、そこで Azure、Dynamics 365、Microsoft 365、LinkedIn、Xbox、Bing などのすべての Microsoft クラウド サービスを提供しています。WAN はクラウド サービスを実行しているすべての Microsoft データセンターに接続し、エッジ サイトを通じてお客様やパートナーにつながっています。これらのエッジ サイトは世界中に戦略的に配置されており、ここでインターネットのトラフィックをインターネット サービス プロバイダーと交換し、ExpressRoute パートナーとプライベート接続のトラフィックを交換します。Microsoft はエッジ サイトで Azure Front Door と Azure Content Delivery Network サービスも使用しており、Microsoft 365 などの独自サービスのエクスペリエンスを強化し、スピードアップを図っています。グローバルなカバレッジを実現するため、WAN は 130,000 マイルを超える海底、地上、地下の光ファイバーを敷設しており、これは社内の SDN (ソフトウェアによるネットワーク制御) テクノロジを利用して Microsoft が完全に管理しています。これにより、最高のネットワーキング エクスペリエンスを提供いたします。Thousand Eyes などの業界のリーダーが、2018 年に Microsoft のグローバル ネットワークのパフォーマンスについて報告し、その調査で Microsoft のグローバル ネットワークが最も堅牢で安定していることが明らかになりました。優れたエクスペリエンスを提供するための Microsoft の基本原則は、できるだけお客様の近くの Microsoft ネットワーク上にトラフィックを配置し、それをできるだけ長期に Microsoft のネットワーク上に留めることです。Microsoft のサービスとデータセンター間のすべてのトラフィックは、Microsoft のネットワーク上に完全に維持され、インターネットに渡ることはありません。

Azure ネットワーキングの主要な柱を示す図。

図 1.Azure ネットワーキングの主要な柱

接続と拡張

最適なインターネット エクスペリエンスを実現するには、データはお客様のユーザーのできるだけ近くの Microsoft ネットワークを出入りする必要があります。Microsoft は現在 160 を超えるエッジ サイトを保有しており、サイト数を増やす積極的なプランもあります。詳細については、エッジ サイトの拡大についてのブログをお読みください。ExpressRoute meet-me サイトの数も増やしており、お客様の Azure ワークロードにさらに柔軟かつプライベートに接続することができます。

現在の高度に分散化されたアプリケーション環境で、接続を維持して、データへのアクセスとデータの取得を実現することは、あらゆる企業において最重要事項です。多くの企業は、非常に予測困難かつ厳しい条件の中で業務を行う必要があります。たとえば、エネルギー関連、農業、鉱業、船舶などの業種では多くの場合、ネットワーク接続が困難な遠隔地、不便な土地、その他の隔離された場所で業務を行っています。衛星接続用 ExpressRoute の一般提供が開始され、衛星接続を使用して Microsoft クラウド サービスにアクセスできるようになりました。企業向けの衛星コンステレーションが広く利用可能になってきており、新しいソリューション アーキテクチャでは、パフォーマンスが改善され、手頃な価格で Microsoft にアクセスすることができます。

MACsec はポイント ツー ポイント接続向けの業界の暗号化標準で、プレビュー機能として ExpressRoute Direct をサポートするようになりました。ExpressRoute Direct をご利用のお客様は、物理的な接続と ExpressRoute ルーター間のデータの機密性と信頼性を確保することができ、セキュリティとコンプライアンスの要件を満たすことができます。Azure Key Vault を使用して、お客様が MACsec キーのライフサイクルを完全に所有し、管理します。

地下ネットワークのコストを大幅に削減するため、Microsoft は光ファイバー テクノロジに投資してきました。このようにして節約できたコストを、ExpressRoute Local と呼ばれる新しい種類の ExpressRoute 回線に投入しています。これは ExpressRoute パートナー経由で入手できます。Microsoft データセンター近くの ExpressRoute サイトを選択し、そのデータセンターからのみデータにアクセスする場合、エグレス料金が ExpressRoute Local 回線料金に含まれます。同じ geo 内のリージョンに接続するには ExpressRoute Standard を使用し、世界中のどこからでも利用するには ExpressRoute Premium を使用できます。

Microsoft クラウドの新しいピアリング サービスのプレビューが開始され、企業向け仕様のインターネット接続を使用して Azure、Dynamics 365、Microsoft 365 にアクセスすることができます。これは、インターネット プロバイダーおよびインターネット相互接続プロバイダーとのパートナーシップにより実現しました。ピアリング サービスはインターネットの待機時間テレメトリ、ルート監視、ハイジャック、情報漏えい、その他のボーダー ゲートウェイ プロトコルの設定ミスに対するアラートも提供します。

ピアリングのロゴ - 更新 2 - MR

図 2. 新しいピアリング サービスをサポートするローンチ パートナー

Microsoft は、最大 10 Gbps の暗号化済み総帯域幅、すべての VPN ゲートウェイ SKU での IKE v1、構成の問題をデバッグするためのパケット キャプチャをサポートできるよう、VPN サービスを強化しました。Azure Active Directory と多要素認証をサポートできるよう、ポイント対サイト VPN サービスも強化しました。また、どこからでも VNet にアクセスできるよう、OpenVPN クライアントをダウンロードして実行できるように対応中です。

Azure Virtual WAN と主要な SD-WAN パートナーが連携することで、Azure 接続サービスを 1 つの運用インターフェイスで利用できます。Azure Virtual WAN を使用すると、グローバルに分散したスポークのセット (VNet、サイト、アプリケーション、ユーザーなど) 間をユビキタスに接続することにより、グローバル転送ネットワークが実現します。この重要な機能強化には、ハブ対ハブ、Any-to-Any の接続のプレビューが含まれます。Virtual WAN のユーザーは、複数のハブを接続することでフル メッシュの接続を利用することができ、ネットワーク アーキテクチャをさらに簡素化することができます。さらに、ExpressRoute とポイント対サイトが Virtual WAN で一般提供開始されました。

Azure に接続している顧客サイトとクライアント間の Azure Virtual WAN のフル トポロジの概要を示す図。

図 3.Azure に接続している顧客サイトとクライアント全体の Azure Virtual WAN のフル トポロジの概要

Microsoft は業界のリーダーと緊密に連携して、Virtual WAN のエコシステムのサポートを拡大しています。本日、Cisco と Microsoft が、クラウドのネットワークの最新化についてパートナー契約を締結したことをお知らせします。Cisco は世界で最も大きな Microsoft の戦略的パートナーのうちの 1 社で、Microsoft と協力して Cisco SD-WAN テクノロジを Azure Virtual WAN と Office 365 に組み込んでいます。これにより支社は、分散化され、最適化された形式でシームレスに Azure や Office 365 に接続することができます。

さらに、CloudgenixFortinetNokia-NuageSilver Peak などのパートナーも Virtual WAN との統合を完了しており、すぐにご利用いただけます。

IPv6

デュアル スタック (IPv4 + IPv6) VNet の一般提供が、今月下旬に開始されます。クラウドで初めて、Azure ではお客様独自の IPv6 プライベート スペースを VNet で利用できるようになり、ルーティングを変更する必要がなくなります。IPv6 を使用することにより、IPv4 の枯渇に対応し、規制要件を満たすことができ、成長を続けるモバイルや IoT の市場に Azure ベースのアプリケーションで進出することができます。

VM、サブネット、ロード バランサー間で IPv6 を使用した Azure VNet ルーティングのアーキテクチャ図。

図 4. VM、サブネット、ロード バランサー間で IPv6 を使用した Azure VNet ルーティングのアーキテクチャ図

保護

ゼロ トラストのネットワーキングを達成する

クラウド アプリケーションとモバイルで作業する従業員により、セキュリティ境界の再定義が起こっています。新しい境界は組織の物理的な場所によって定義されるのではなく、組織がホスト、保存、アクセスするリソースやサービスのすべてのアクセス ポイントにまで拡大しています。

企業のファイアウォールの中にあるすべてのものが安全であると信じるのではなく、ゼロ トラスト モデルにより、侵害は起こるものであると仮定され、各リクエストがコントロールされていないネットワークから発生したものであるかどうかが検証されます。リクエストが発生した場所や、リクエストがアクセスしているリソースにかかわらず、ゼロ トラストは "信頼するな、常に検証をする" ということを私たちに教えてくれます。

Azure ネットワーキング サービスには、可視性を高めるための重要なコントロールが備わっており、ネットワークを横断して移動するときの問題を防ぐことができます。ソフトウェアによるさらに詳細なマイクロセグメンテーションなど、ネットワークはセグメントに分ける必要があります。また、リアルタイムの脅威保護、エンドツーエンドの暗号化、監視、分析を導入する必要があります。

Azure Private Link – すべての Azure リージョンに拡大

Azure Private Link により、Azure のサービスをお使いのプライベート仮想ネットワークで利用することができます。サポートされている Azure サービス (Storage、SQL Database、Azure Synapse Analytics など) をプライベート IP アドレスから使用することができ、パブリック インターネットに対してアクセス制御リスト (ACL) を公開する必要はありません。Private Link 経由のトラフィックは常に Microsoft がサポートするネットワーク上にあり、パブリック インターネットに流れることはありません。VPN または ExpressRoute プライベート ピアリングを通じてオンプレミスからサービスとしてのプラットフォーム (PaaS) リソースにプライベートにアクセスすることができるため、ACL をシンプルに保つことができます。本日より、Private Link はすべての Azure パブリック リージョンでご利用いただけます。

クロスプレミスでデプロイされた Private Link のアーキテクチャ図。

図 5. クロスプレミスでデプロイされた Private Link のアーキテクチャ図

Azure Private Link を使用すると、Azure がデータ ガバナンスとコンプライアンスを提供する最初のクラウドになり、これは組み込みのデータ窃盗保護を実装することで実現します。これにより、ゼロ トラスト ネットワーキングの目標に向けて一歩前進します。この時点で、信頼されたネットワーク内にいる悪意のあるアクターは、セキュリティ保護されていないアカウントにデータを密かに持ち出すことができなくなります。これは、サービスのフロントエンドの代わりに各 PaaS インスタンスがプライベート エンドポイントとしてマップされるからです。Private Link を使用すると、Azure のサービスとしてのソフトウェア (SaaS) プロバイダーが、そのお客様に対して同じ機能を提供できるようになります。Snowflake とはプログラムの早期導入者のことであり、さらに多くのパートナー向けサービスを利用できるようになります。

Azure Firewall Manager は、クラウドベースのセキュリティ境界に対して集約型のセキュリティ ポリシーとルート管理を提供する、新しいセキュリティ管理サービスです。Azure は現在、トラフィックのガバナンス、ルーティングの制御、Azure Firewall および Firewall Manager からサード パーティ統合セキュリティを提供する、唯一のクラウド プロバイダーです。グローバル管理者は、ハブ アンド スポーク アーキテクチャを一元的に作成し、そのようなハブにセキュリティやルーティングのポリシーを関連付けることができます。これを、セキュリティ保護付き仮想ハブと呼びます。

セキュリティ保護付き仮想 WAN ハブ内にデプロイされた Azure Firewall Manager の図。

図 6. セキュリティ保護付き仮想 WAN ハブ内にデプロイされた Azure Firewall Manager の図。

信頼されたセキュリティ パートナーと連携して、使い慣れ、業界をリードするサードパーティの "サービスとしてのセキュリティ (SECaaS)" オファリングを使用することで、ユーザーのインターネット アクセスを保護することができます。ZScaleribossCheckpoint (準備中) と、信頼されたセキュリティ パートナーとしてパートナー契約を締結したことをお知らせします。

Azure Firewall の脅威インテリジェンスベース フィルター処理の一般提供が開始

Azure Firewall では、脅威インテリジェンスベースのフィルター処理を使用して、既知の悪意ある IP アドレスとドメインとの間で送受信されるトラフィックに対して、ほぼリアルタイムでアラートを生成し、そのトラフィックを拒否するよう構成できるようになりました。この IP アドレスとドメインのソースは、Microsoft の脅威インテリジェンス フィードです。

Web アプリケーション ファイアウォール (WAF) に 3 つの新機能 (WAF ボット保護、WAF サイトごとのポリシー、geo フィルタリング) が追加されました。Azure Front Door の Azure マネージド ボット保護ルール セットは、さまざまなカテゴリのボットを検出し、お客様はそれに応じてアクションを設定することができます。お客様は悪意のあるボットをネットワークのエッジでブロックすることができ、正常なボットはアプリケーションのバックエンドにアクセスすることができ、不明なボットについてはログに記録したり別のサイトにリダイレクトしたりすることができます。Azure マネージド ボット保護ルール セットは、Azure Application Gateway v2 SKU のプレビューとしても提供されます。WAF サイトごとのポリシーと Application Gateway を組み合わせると、お客様は 1 つの Application Gateway 上でホストされているさまざまな Web アプリケーションに対し WAF ポリシーを指定することができます。これにより、より細かくセキュリティ ポリシーを設定することができ、サイトごとに追加のデプロイを作成する必要がなくなります。Azure Application Gateway では、geo フィルタリングと、既存のカスタム ルール (プレビュー) が v2 SKU で導入されます。この機能により、既存の IP/IP 範囲ベースのカスタム ルールを拡張し、一致基準として国を含めることもでき、またそれに応じてアクションを実行することができます。これにより、特定の国からのトラフィックを制限したり、設定した国からのトラフィックのみを許可したりすることができます。

先日、Azure Bastion の一般提供開始についてお知らせしました。Azure Bastion サービスはお使いの Virtual Network に直接プロビジョニングされ、VNet 内のすべての仮想マシンに対しリモート デスクトップ (RDP) および Secure Shell (SSH) でシームレスにアクセスできます。パブリックの IP アドレスは必要ありません。サブネット全体でシームレスに統合され、1 回限りの簡単な ACL の設定により、その後の継続的な管理が不要になります。

Azure Portal を介した VNet への SSL アクセスを示す Azure Bastion アーキテクチャ図。

図 7 Azure Portal を介した VNet への SSL アクセスを示す Azure Bastion アーキテクチャ図

配信

本日は、新しい機能であるコンテンツ配信ネットワーク ルール エンジンについてもお知らせします。これを使用すると、お客様は Azure Content Delivery Network を使用して http リクエストの処理方法をカスタマイズすることができます。ルール エンジンを使用すると、デバイス検出、HTTP プロトコル、ヘッダー値などの非常に強力な一致条件を利用することができ、適切なアクションをトリガーすることができます。すべての http ルールはエンド ユーザーの近くのエッジ サイトで実行され、これによりお客様のオリジンでルールを実行することと比較して、大幅にパフォーマンスが向上します。

Application Gateway イングレス コントローラーを使用すると、Azure Kubernetes Service (AKS) に対するイングレスとして Azure Application Gateway を使用できます。 イングレス コントローラーは AKS クラスター内のポッドとして実行されます。これは Kubernetes イングレス リソースを使用し、それを Azure Application Gateway 構成に変換します。これにより、ゲートウェイは Kubernetes ポッドへのトラフィックを負荷分散することができます。Application Gateway イングレス コントローラーを使用すると、お客様は 1 つのインターネットにアクセスできるエンドポイントを公開することで、AKS クラスターと通信することができます。Application Gateway はプライベート アドレスを使用してポッドと直接やりとりするため、Kube-proxy により発生する追加の DNAT が必要なくなり、ポッドにルーティングされるトラフィックの効率とパフォーマンスが改善します。Application Gateway イングレス コントローラーは、WAF 機能を含む Application Gateway のすべての機能をサポートし、AKS クラスターに安全にアクセスすることができます。

AKS と比較した App Gateway イングレス コントローラーの説明を示す図。

図 8. AKS と比較した App Gateway イングレス コントローラーの説明を示す図

Azure Key Vault はプラットフォーム マネージド サービスで、クラウド アプリおよびサービスにより使用される暗号化キーやその他のシークレットをセキュリティで保護することができます。Azure Application Gateway v2 では、HTTPS 対応リスナー向けに Key Vault に保存された TLS 証明書の直接統合がサポートされるようになりました。これにより、証明書管理プロセスが Application Gateway およびバックエンドの Web アプリケーション管理と明確に切り離されるため、より適切に TLS 証明書のセキュリティを維持することができます。Application Gateway は、新しいバージョンのトランスポート層セキュリティ (TLS) 証明書に対し、数時間ごとに Key Vault をポーリングするため、証明書を自動的に更新することができます。

監視

Azure Internet Analyzer はクライアント側の新しい測定サービスで、プレビューが開始されました。Internet Analyzer では、ネットワーキング インフラストラクチャ、およびそれが顧客のパフォーマンスに与える影響について、A/B テストを行うことができます。オンプレミスから Azure にアプリやコンテンツを移行する場合でも、新しい Azure サービスを評価する場合でも、Internet Analyzer を使用すると、ユーザーのデータと Microsoft の豊富な分析から学習し、移行する前に Azure を使用してネットワーク アーキテクチャについて理解を深め、最適化することができます。Internet Analyzer は、クラウドの移行、新規または追加の Azure リージョンへのデプロイ、Azure での新しいアプリケーションおよびコンテンツ配信プラットフォーム (Azure Front Door や Microsoft Azure CDN など) のテストなどに関する、パフォーマンス関連の問題に対応できるよう設計されています。

ネットワーク用 Azure Monitor サービスのプレビューが開始されました。ネットワーク用 Azure Monitor を使用すると、お客様は主要なメトリックとネットワーク リソースの正常性を監視することができ、問題を発見し、トラブルシューティングの支援を受けることができます。ネットワーク用 Azure Monitor は既定で有効になっており、カスタムのセットアップは必要ありません。クラウドやハイブリッド ネットワークの監視でもトラブルシューティングでも、ネットワーク用 Azure Monitor を使用すると、アラートの設定、リソース特有の診断、リソース間の構造と機能依存関係の視覚化を行うことができます。

Azure Monitor と App Gateway メトリックと診断を示しているスクリーンショット。

図 9. Azure Monitor と App Gateway メトリックと診断を示しているスクリーンショット

マルチアクセス エッジ コンピューティング (MEC) のプレビューが開始

マルチアクセス エッジ コンピューティングにより、アプリケーション開発者向けクラウドコンピューティング機能をカスタマー プレミスで利用することができます。この環境の特徴は、非常に少ない待機時間と高帯域幅、および無線ネットワーク (プライベート LTE や 5G など) へのリアルタイム アクセスです。MEC 機能を Azure に統合することで、インテリジェント クラウドからエッジまで、途切れることのないコンピューティングとネットワーク機能が提供されます。スマート ファクトリーや Mixed Reality などの重要かつイマーシブな新しいシナリオでは、低待機時間で高帯域幅の信頼できる接続とローカル コンピューティングを組み合わせる必要があります。

Azure を使用したマルチアクセスおよびネットワーク エッジ コンピューティングの概念図。

図 10: Azure を使用したマルチアクセスおよびネットワーク エッジ コンピューティングの概念図

これらのニーズに対応するため、Microsoft はカスタマー プレミスにデプロイされた Azure Stack Edge を基にして、マルチアクセス エッジ コンピューティングの技術プレビューを導入しています。これにより、可能な限り少ない待ち時間を実現しています。MEC の主な特徴には、次のようなものがあります。

  • 開発者が GitHub および Azure DevOps CI/CD ツールセットを使用してコンテナーベースのアプリケーションをカスタマー プレミスで作成し、実行できるようにする。一貫性のあるプログラミングモデルにより、Azure で直接アプリケーションを開発し、それを Azure Stack Edge に移行することができます。
  • Private Long-Term Evolution (LTE)、LTE ベースの市民ブロードバンド無線サービス (CBRS)、近日公開予定の 5G テクノロジなど、無線テクノロジの統合。MEC プラットフォームの一部として、Microsoft はテクノロジのイノベーターとパートナー契約を結び、モバイルの仮想ネットワーク機能 (Evolved Packet Core)、デバイス統合、SIM 管理、無線アクセス ネットワークを提供しています。
  • MEC は Azure から管理されます。選別された仮想ネットワーク機能 (VNF) イメージが Azure からダウンロードされ、プライベート モバイル ネットワークのデプロイと実行が簡素化されます。プラットフォームでは、パッチ適用、構成、監視などの VNF のライフサイクル管理もサポートされます。
  • お客様のネットワークにエンドツーエンドのソリューションをデプロイするためのマネージド サービス プロバイダーなどのパートナー エコシステム。

MEC 統合の早期テクニカル プレビューやオプションに関してご興味のある方は、MEC-Networking@microsoft.com までご連絡ください。

Azure Multi-edge Compute (MEC) パートナー エコシステムの概要を示す図。

図 11. Azure Multi-edge Compute (MEC) パートナー エコシステムの概要

今後の展望

Microsoft は、お客様が Azure に接続できるよう、全力で取り組んでまいります。ワークロードを保護し、優れたネットワーキング エクスペリエンスを実現し、幅広い監視機能を提供することで、お客様のデプロイと運用のコストを削減し、お客様がお客様の顧客をより適切にサポートできるように支援いたします。Microsoft Ignite では、Microsoft からのお知らせについてより詳細に説明します。また、こちらからテクニカル セッションをご覧いただき、詳細を確認することもできます。今後も、革新的なネットワーク サービスとクラウドを最大限に活用するためのガイダンスを提供してまいります。Microsoft のネットワーク サービスによって可能になったお客様の新しいシナリオについて教えていただくことを楽しみにしています。引き続き、皆様からのフィードバックをお待ちしています。


Azure。目的を持って創造する。