クラウドサービスは、高い機密性が求められる政府組織、グローバルにビジネスを展開している事業組織に対しても、最新のイノベーションと機能をもたらします。Microsoft、Amazon、Google等が提供する商用クラウドコンピューティングプラットフォームは、クラウドコンピューティング革命をリードし、スケーラブルでカスタマイズ可能な商用クラウドオプションを組織に提供しています。
本稿「ハイブリッドクラウド環境構築 導入・実装編」では、働き方の再考とデジタルサービスの提供を加速させる新しい常識としてのクラウドについて、また、クラウド導入時に考慮すべきデジタルサービスの技術領域に触れ、具体的にAzureを使ったハイブリッドクラウド環境構築の導入・実装の際に必要な経験や作業量をまとめてみました。イントラネット環境とインターネット環境の両方のネットワークサービスについて、注目すべき重要な項目を取り上げます。
- 働き方の再考と新しい常識となりつつあるクラウド
- ハイブリッドクラウド導入時に考慮すべきデジタルサービスの技術領域
働き方の再考と新しい常識となりつつあるクラウド
2020年7月、政府の経済財政諮問会議が「経済財政運営と改革の基本方針2020~危機の克服、そして新しい未来」(骨太方針2020)を公表しました。目玉に「デジタルニューディール」を据えており、その関連で掲げられているのは次の4つです。
- 次世代型行政サービス
- デジタルトランスフォーメーション
- 新しい働き方・暮らし方(少子化対策・女性活躍)
- 制度・慣行の見直し(書面・押印・対面主義からの脱却)
この4点について、集中的なデジタル投資を行い、「年内に実行計画を策定」「10年かかる変革を一気に進める」としています。
出典:骨太方針2020の概要(出典:内閣府「経済財政運営と改革の基本方針2020」)
COVID-19のパンデミックは、とりわけ、私たちの生活や働き方を再考する機会をもたらしました。同時にクラウドは新しい常識になりつつあり、ますます多くの政府機関、事業組織が高度な機能をデジタルに組み込むために商用クラウドサービスに移行しています。
既にサービスの提供形態、事業活動のデジタル化に対し、既存の事業資産を改修、再構築するのではなく、一足飛びにデジタルサービスに高度な機能を組み込むために商用クラウドサービスに移行し、最終的にはデジタルサービスの提供を加速させています。
商用クラウドへの移行により、クラウドネイティブなセキュリティサービスを利用してセキュリティを強化できるだけでなく、クラウドネイティブなオートスケーリング機能により高い耐障害性を実現しながら、DevOpsを実現しうるデプロイメントの最新化とセキュリティ強化を図ることができます。
ハイブリッドクラウド環境構築の導入・実装における作業量は、以下のデジタルサービスの技術領域に対応します。
ハイブリッドクラウド導入時に考慮すべきデジタルサービスの技術領域
IDおよびアクセス管理
クラウドを活用するための基本的な要素の1つはクラウドベースのID管理であり、Azure IAM (Identity and Access Management)によって可能になります。考慮すべきAzure IAMの主なサービスは以下のとおりです。
- Azure ADは、包括的なID管理と認証のフレームワークを提供し、クラウドサービスプロバイダーのサービスだけでなく、SaaS(Software-as-a-Service)アプリケーションへの安全なアクセスを提供します。
- Active Directory Federation Service ( AD FS)は、イントラネット環境のユーザーとオンプレミスのドメインコントローラの認証をサポートします。AD FSは、セキュリティや企業の境界を越えてデジタル・ID管理とエンタイトルメント権を安全に共有することで、連携したID管理とアクセス管理を可能にします。
ネットワーキング
全てのデータはネットワークインフラを通過します。クラウド上のネットワークインフラを流れる全データは可視化され、また、攻撃者がネットワーク境界を超えて侵入するのを防ぐ重要な制御機能を担います。
異なる階層、ゾーン(インターネット/イントラネット)、拠点間のネットワーク通信は、さまざまなネットワークサービスと構成を考慮して設定されます。Azureにおける考慮すべき主なネットワークサービスは以下の通りです。
- Azure Virtual Network (VNet)は、インターネットとイントラネットのゾーン間のプライベートネットワークの基本的な構成要素です。インターネット向け、イントラネット向けに提供するアプリケーションは、通常、異なる仮想ネットワークにホストされており、接続の必要性があれば、VNetピアリングを通じて接続します。
- Azure Firewallは、クラウドベースのネットワークセキュリティサービスです。トラフィックの入口/出口に位置付けられ、Azure仮想ネットワークリソースを保護します。Azure Firewallは、高可用性と無制限のスケーラビリティを備えた、ステートフルなファイアウォールです。これにより、仮想ネットワーク上のアプリケーションやネットワーク接続に対するポリシーを一元的に定義、適用、管理することができます。
- ネットワークとアプリケーションのセキュリティグループは、Azure仮想ネットワーク内に配置されたAzureリソースとの間のネットワークトラフィックをフィルタリングします。複数種類のAzureリソースへのインバウンドトラフィックや、Azureリソースからのアウトバウンドトラフィックを許可または拒否し、さらに上位層でのネットワークルールを適用することができます。
- Azure Front Doorは、Microsoftのグローバルエッジネットワークを使用して、高速、安全かつ広範囲にスケーラブルなWebアプリケーションを作成できます。Azure Front Doorは、アプリケーションレベル(HTTP/HTTPS)で動作し、TCPおよびMicrosoftが有するグローバルネットワークを使用したエニーキャスト通信方式を使用して、グローバルに接続サービスを提供します。Traffic Managerと同様にAzureリージョン全体の障害にも強い耐久性を持つのが特徴です。
- Application Gatewayは、仮想ネットワーク内のWebアプリケーションへのトラフィックを管理するWeb通信の負荷分散に対応しています。また、OWASPのセキュリティ脆弱性トップ10に対する保護機能も備えています。
- Azure Load Balancer と Traffic Managerは、アプリケーションの高可用性とネットワークの高速処理により、アプリケーションの応答速度を高めます。Azure Traffic Managerは、DNSレイヤーで動作し、選択した制御方法に基づいて、受信するDNSリクエストを迅速かつ効率的に誘導します。
セキュリティ
ゼロトラストとは、「何も信頼しない」ことを前提に対策を講じるセキュリティの考え方であり、ネットワーク内外からのリソースへのアクセスに対して、信頼の有無が検証されない限りは、全てアクセスを遮断するアプローチを採るセキュリティアーキテクチャモデルです。考慮すべき主なAzureのセキュリティサービスは以下の通りです。
- Azure Sentinelは、クラウドネイティブなSIEMプラットフォームです。AIを使い、利用する組織全体の大量なデータを迅速に分析します。Microsoftはゼロトラストアーキテクチャをサポートするフレームワークを有し、Azure Sentinel:Zero Trust(TIC 3.0)ワークブックでは、Microsoft製品によるゼロトラストモデルの適用と、視覚化による測定・監視機能も提供しています。
- Azure DDoS Protectionは、広範な分散型サービス拒否(DDoS)攻撃を緩和し、Azureリソースを保護します。常時有効化されたトラフィック監視により、DDoS攻撃をほぼリアルタイムで検出し、攻撃が検出されると即座に自動的に作動し、被害を軽減します。
- Azure Key Vault は暗号化キーを安全に保存および管理するために提供されています。FIPS 140-2で検証されたハードウェアセキュリティモジュール(HSM)に暗号化キーを保存できます。
ゼロトラスト原則を踏まえたセキュリティセキュリティモデルとして、 MicrosoftはMCRA(Microsoft Cybersecurity Reference Architecture)を提示しています。適用領域、実装する技術は必要に応じて選択します。
出典:Microsoft社 HP 「Microsoft サイバーセキュリティのリファレンス アーキテクチャ」より抜粋
https://docs.microsoft.com/ja-jp/security/cybersecurity-reference-architecture/mcra
Azure Management ServicesとAzure DevOps
Azure Management Serviceは、サービス提供用ホストが配置されている仮想ネットワーク(VNet)とは別の仮想ネットワーク上に構築することが好ましく、ピアリングを介してインターネットゾーンとイントラネットゾーンの両方に接続するようにします。考慮すべき主要なAzure管理およびAzure DevOpsサービスは次のとおりです。
- Azure Monitorは、クラウド環境とオンプレミス環境の両方からテレメトリを収集、分析、および操作するための包括的なソリューションを提供することにより、アプリケーションの可用性とパフォーマンスを最大化します。
- Azureポリシーは、組織の標準ベースラインを適用します。コンプライアンスを大規模に評価し、インターネット/イントラネット領域のセキュリティポリシーが遵守されていることを確認します。
- Azure Backupは、データのバックアップおよびリカバリー機能を提供します。バックアップデータはMicrosoft Azureクラウド上に保持されており、シンプル、安全かつ費用効果の高いソリューションを提供します。
- Azure DevOpsは、最新の開発サービスを組み合わせ、適切な協業体制と、迅速なリリースを実現します。クラウド上のプライベートGitリポジトリをサポートし、ファイル管理機能を通して、適切なコード制作をサポートします。DevSecOpsベースのアプローチを提供し、DevOpsソリューションに不可欠なセキュリティ対策も保証します。
- 出典:Microsoft社 HP 「Microsoft サイバーセキュリティのリファレンス アーキテクチャ」より抜粋
- https://docs.microsoft.com/ja-jp/security/cybersecurity-reference-architecture/mcra
データ統合
最終的に、セキュリティチームはデータを保護することになりますが、可能であれば、組織が管理するデバイス、アプリケーション、インフラ、ネットワークからデータが移動された場合でも、データの安全性を確保する必要があります。具体的にはデータ分類、ラベル付け、暗号化、その属性に基づいたアクセス制限などです。
その際の、考慮すべき主なAzureのデータ転送/分離/暗号化および統合サービスは、以下の通りです。
- データ暗号化:Azureは、データ暗号化ポリシーを使用して、顧客データ保護を広範にサポートします。
- 転送中の暗号化されたデータは、他のネットワークトラフィックから分離されることで、データ傍受から保護します。Azureでは、Azureのデータリンクレイヤー暗号化、TLS、Azure StorageのトランザクションがHTTPSで行われるなど、送信元から宛先へのデータ移動の際にデータの機密性を保つための多くのメカニズムを提供しています。
- 格納時のデータ暗号化では、マイクロソフトが管理する暗号化キーと顧客が管理する暗号化キーの両方を使用して、顧客がデータを保護し、コンプライアンスを満たすことができます。このプロセスでは、複数の暗号化キーとAzure Key VaultやAzure Active Directoryなどのサービスを利用して、キーへの安全なアクセスとキーの一元管理を実現します。
- Azure Stack:Azureをデータセンターやエッジに拡張する製品とソリューションです。
- Azure Stack Edge (旧Azure Data Box):ネットワークデータ転送機能を備えたAI対応のエッジコンピューティングデバイスです。Azure Stack Edgeにより、顧客はエッジでデータを前処理し、データを効率的にAzureに移動させることができます。Azure Stack Edgeは、アプライアンスに統合された高度なFPGA(Field-Programmable Gate Array)ハードウェアを使用して、エッジ側で効率的に機械学習アルゴリズムを実行します。
- Azure Stack Hub:インターネットに直接接続できない顧客や、規制、コンプライアンス上の理由で特定の業務プロセスを国内でホスティングする必要がある利用者に、オンプレミスでクラウドとも整合性のとれる情報基盤環境を提供します。Azure Stack HubはIaaSとPaaSのサービスを提供し、パブリックAzureクラウドと同じAPIを共有しています。
- Azure Stack Hyperconverged Infrastructure(HCI):ハイブリッドなオンプレミス環境で仮想化されたWindowsやLinux OSとそのストレージを提供するハイパーコンバージドインフラストラクチャ(HCI)クラスタソリューションです。Azureハイブリッドサービスは、クラウドベースの監視、サイトリカバリー、仮想マシン(VM)のバックアップなどの機能でクラスターを強化します。
- Azure API Management:開発者、パートナー、従業員に対して、安全かつ大規模にAPIを公開するためのものです。Azure API Managementは、各APIリクエストをインターセプトし、一連のポリシーを実行してから、基礎となるサービスエンドポイントにリクエストを転送するという、多くの利点があります。
以上、イントラネット環境とインターネット環境の両方のネットワークサービスについて、注目すべき重要な項目に取り上げました。
さらに、ハイブリッドクラウド構築を進める企業にとってはシステム運用に関わる監視も必須の機能であり、利用するクラウドベースのサービスの性能、状態を確認するためにも非常に重要です。
次回、最終回のハイブリッドクラウド環境構築(運用編)では、統合モニタリング、アプリケーションインサイト、Azureアラート、ネットワークウォッチャーのネットワークパフォーマンスモニター、AKSクラスターモニタリングなど、問題を数秒でプロアクティブに特定するAzureネイティブのモニタリング機能のセットについて紹介します。