Azure Network Watcher を発表: Azure のネットワーク パフォーマンス監視および診断サービス

  • Article

執筆者: Yousef Khalidi (CVP, Azure Networking)

このポストは、2 月 22 日に投稿された Announcing Azure Network Watcher – Network Performance Monitoring and Diagnostics Service for Azure の翻訳です。

 

皆様は、重大な問題を診断する必要があり、そのために仮想マシンのパケット データにアクセスしなければならなかったことはありませんか? その場合、仮想マシンのパケット データをわずか数クリックでキャプチャできたら便利だと思いませんか? あるいは、Network Security Groups のフロー データをログに記録し、その情報を好きなツール プラットフォームで視覚化して解釈できたらどうでしょう?

これらのことを実現してくれるのが、Azure Network Watcher です。Azure Network Watcher では、さまざまなログ機能や診断機能を利用してネットワークのパフォーマンスと正常性を判断するための情報を入手できます。これらの機能は、ポータル、PowerShell、CLI、REST API、SDK から利用できます。

Azure Network Watcher の機能

Topology (トポロジ)

わずか数回のクリックでデプロイメントのネットワーク トポロジを表示することができます。たとえば以下の図は、Azure にデプロイされた単純な Web アプリケーションのネットワーク トポロジを示したものです。このように、Azure Network Watcher を使用するとアプリケーションの完全なネットワーク トポロジを視覚化できます。

Sample topology view of a web application

Web アプリケーションのトポロジ ビューの例

IP flow verify (IP フロー検証)

一般的に、診断におけるニーズは、仮想マシンとの間のフローが許可されたか拒否されたかを確認することです。IP flow verify を使用すると、フロー (送信元 IP、送信先 IP、送信元ポート、送信先ポート、プロトコルの組み合わせ) が許可されたか拒否されたかを検証できます。また、該当するフローを許可/拒否する特定の Network Security Group とセキュリティ ルールも表示されます。

Validate IP

ポータルから IP フローを検証

Next hop (次ホップ)

ネットワーク接続で問題が起きる一般的な原因は、ユーザーが定義したルートの構成ミスです。Next hop は、指定された仮想マシンに基づいて次ホップの種類と IP アドレスを取得する機能で、ブラックホール化したルートや不適切な構成によって生じた状況を調査することができます。

Next Hop

ポータルから次ホップを取得

Security group view (Security Group ビュー)

ネットワークの脆弱性を検出し、IT セキュリティおよび規制ガバナンス モデルへのコンプライアンスを確保するためには、ネットワークのセキュリティの監査が不可欠です。

Security group view では、構成した Network Security Group とセキュリティ ルール、および有効なセキュリティ ルールを取得できます。適用済みのルール一覧に基づいて、開いているポートを特定し、ネットワークの脆弱性を評価できます。

さらに、IT セキュリティおよびコンプライアンス ガバナンス担当者が定義した規範的なセキュリティ ルールは、この機能を使用してプログラミングによって監査できます。

たとえば、PCI DSS に準拠するためには、ファイアウォールなどのセキュリティ機能の実行ログを保存し、レビューする必要があります。その主な目的は、異常や疑わしい動作を特定することであり、フロー ログ、Security group view、Azure Automation を組み合わせることで、プログラミング (英語) を通じて定期的かつ頻繁に監査を実施し、疑わしい異常な動作を検出して警告することができます。

Security Group view

ポータルから仮想マシンの Security group view を表示

Packet capture (パケット キャプチャ)

パケット データをキャプチャしてアクセスすることで、接続に関する問題の診断からネットワークのセキュリティおよびコンプライアンスまで、さまざまなニーズに対応できます。Azure Network Watcher を使用すると、仮想マシンのパケット キャプチャをトリガーできます。高度なルール一致オプションを適用すると、特定の送信元 IP、送信先 IP、送信元ポート、送信先ポート、バイト オフセット (パケットの先頭からのバイト数) のパケットをキャプチャできます。さらに、これらすべての条件を組み合わせて指定することも可能です。この機能は、Windows 仮想マシンと Linux 仮想マシンの両方でサポートされています。

Packet capture

ポータルから Packet capture を構成

Network Subscription limit (ネットワーク サブスクリプションの制限)

サブスクリプションの制限に対するネットワーク リソースの使用量を表示することができます。

Network Sub Limit

リージョン内のサブスクリプションのネットワーク リソースの制限を表示

NSG flow logs (NSG のフロー ログ)

フロー データは、Network Security Group の構成を診断、検証するうえで重要なコンポーネントです。Network Security Groups の設定に応じて許可または拒否される NSG のフロー データのログを有効化することで、これらのニーズを満たすことができます。NSG のフロー データには、タイムスタンプ、送信元 IP、送信先 IP、送信元ポート、送信先ポート、プロトコル、Network Security Group、セキュリティ ルールが含まれます。これらのデータは、Power BI などのマイクロソフト製ツールや、サードパーティのパートナーが提供するセキュリティ情報およびイベント管理ツール、オープン ソースのツールで取り込み、視覚化することができます。

NSG Flow

ポータルから NSG flow logs を構成

Power BI Dashboard

Power BI ダッシュボードにフロー ログを取り込んだ例

Diagnostic logs (診断ログ)

単一のウィンドウからリソース グループ内のすべてのネットワーク リソースの診断ログを構成できます。

Diagnostic logs

リソース グループ内のネットワーク リソースの Diagnostic logs の構成

Virtual Network Gateway の接続に関するトラブルシューティング

Virtual Network Gateway は、オンプレミス サイトと Azure VNET 間の接続を可能にするものです。Azure Network Watcher を使用すると、接続を原因とする問題のトラブルシューティングを行うことが可能で、包括的な組み込みテストが実行され、15 種類以上の障害状態が分離され、お客様が指定したストレージに結果のログが記録されます。ログには、接続状態、送受信バイト数、IKE エラー、WFP ログなどの情報が含まれます。

Azure サービスとの統合

Azure Network Watcher のネイティブ機能を使用して、Azure Automation (英語)Azure Functions (英語)Azure Log Analytics などの Azure サービスを使用した強力なエンドツーエンドのネットワーク監視シナリオを構築できます。

VPN Connection

Azure Automation と Azure Network Watcher を使用した VPN 接続のプロアクティブな監視

パートナーおよびエコシステムとの統合

以下のサードパーティのツール プロバイダーとのパートナーシップにより、これら各社の製品を Azure Network Watcher と統合して、Azure で包括的なネットワーク監視エクスペリエンスを提供しています。

Splunk は、Azure Network Watcher で生成されたデータを有用なインサイト (英語) に変換する運用インテリジェンス プラットフォームを構築しました。

Observable Networks は、Azure Network Watcher の Packet capture 機能を同社の ONA (Observable Network Appliance) プラットフォーム (英語) と統合して、仮想マシンのセキュリティ問題を検出できるようにしました。

Observable Networks CEO を務める Bryan Doerr は次のように述べています。「マイクロソフトとの継続的かつ緊密な共同作業の成果を両社共通のお客様にお届けできることをたいへん嬉しく思っています。デジタル改革と急速に広まる Azure を始めとするクラウド プラットフォームへの移行により、新しいクラウド ネイティブなセキュリティ サービスの需要が高まっています」。

Sumo Logic は、Network Security Groups のフロー データを取り込み、ネットワークの脆弱性 (英語) を理解するうえで役立つマシン データ分析プラットフォームを提供しています。

Sumo Logic の製品マーケティング担当バイス プレジデントを務める Kalyan Ramanathan は次のように述べています。「クラウドによって IT 環境は変化しており、新しいビジネス モデルが確立され、イノベーションやオペレーションのあり方が急速に変化することで新たなニーズが生まれています。今回マイクロソフトとの協力体制を築くことができ、共通のお客様のクラウド エクスペリエンスをさらに強化できるようになったことを嬉しく思っています。Sumo Logic のマシン データ分析ソリューションは、Microsoft Azure との緊密な統合によって今日の最先端のアプリケーションに運用上のインサイトをリアルタイムで提供し、お客様がクラウドから生成されるデータの量、多様性、スピードに対応できるように支援します」。

オープン ソースのツール

ネットワーク監視のニーズを補完するために、CapAnalysis、Suricata、Elastic Stack (Elasticsearch、Logstash、Kibana) といったオープン ソースのツールを利用できます。パケット キャプチャの視覚化 (英語)ネットワークへの侵入検出 (英語)フロー ログの視覚化 (英語) といった統合シナリオのサンプルをぜひ活用、応用してみてください。

Network Watcher

ネットワークへの侵入を示すダッシュボードの例 – Network Watcher、Suricata、Elastic Stack を統合

Azure Network Watcher の提供状況

Azure Network Watcher のプレビューは現在、米国中西部、米国中北部、米国西部の各リージョンでご利用いただけます。その他の世界各地の Azure リージョンでも今後 Network Watcher のロールアウトが予定されています。

価格について

マイクロソフトでは、Azure Network Watcher の現在の機能は、診断からセキュリティ、コンプライアンスに至るお客様のさまざまなニーズを満たすために不可欠なものと認識しています。そのため、これらの機能はサブスクリプションを所有されているお客様に対し無料で提供しています。ただし、条件によっては標準のストレージ料金が適用される場合があります。

この Azure の高度なネットワーク監視機能を構築するにあたって欠かせないのが、ソリューションやツールとの統合に関する皆様の要件やご要望を把握することです。今後の製品開発とエコシステムの成長のために、Azure Network Watcher をご利用いただいたご感想をフィードバック (英語) としてお寄せいただければ幸いです。

ぜひご活用ください!