Azure Virtual WAN と Azure Firewall のパブリック プレビューを開始


執筆者: Yousef Khalidi (CVP, Azure Networking)

このポストは、2018 年 7 月 12 日に投稿された Announcing public preview of Azure Virtual WAN and Azure Firewall の翻訳です。

 

SD-WAN (ソフトウェアで定義されたワイド エリア ネットワーク) などのネットワークの最新技術では、各ブランチに経路選択ポリシーを適用することで、ブレークアウト ポイントを選択するバックホールをなくしてインターネット トラフィックを直接クラウドに送信できるため、パフォーマンスが向上します。このトラフィックは、優れたネットワーク エクスペリエンスを実現するインテリジェント ルーティングにより、迅速にマイクロソフトのグローバル バックボーン ネットワークに到達することができます。しかし、すべてのブランチがインターネットに直接アクセスできるようになると、ブランチの接続を管理したり、大規模にネットワークやセキュリティのポリシーを統一したりするなど、新たな課題が生まれます。国や地域ごとに異なる厳格なセキュリティ、プライバシー、コンプライアンスなどのポリシーが設定される中で、多くの従業員が離れた場所で働くようになり、ネットワーク ポリシーの管理はますます複雑化しています。

ネットワーク セキュリティは、ユーザー、データ、アプリケーションを保護するうえで重要な役割を果たします。クラウド開発者や IT チームは、日々サイバー攻撃を未然に防ぐために努力しています。クラウド ネイティブなネットワーク セキュリティ ソリューションは、アプリケーションの構築やデプロイにおける最新の DevOps モデルとの相性がよく、さらにクラウドの経済性や規模といったメリットも活用することができます。お客様が必要としているのは、高可用性と自動スケーリング機能を備えた、デプロイ、使用、管理が容易なターンキー ソリューションです。

このような最先端のソリューションを実現するために、大規模なブランチ間接続を簡素化する Azure Virtual WAN (英語) と、ネットワーク セキュリティ ポリシーに準拠しながら大規模かつシンプルにクラウドを活用できる Azure Firewall (英語) をリリースしました。
 

Azure Virtual WAN

Azure Virtual WAN サービスでは、最適化、自動化されたグローバルなブランチ間接続を提供します。自動で接続および構成管理を行う便利な機能が組み込まれており、SD-WAN や VPN デバイス (CPE など) を使用してブランチを Azure にシームレスに接続することができます。


図 1: Azure Virtual WAN を構成するハブに SD-WAN と VPN デバイスを接続

Virtual WAN は、優れたネットワーク エクスペリエンスを実現するために、マイクロソフトのグローバル ネットワークを活用しています。ブランチからのトラフィックは、マイクロソフトの最寄りのエッジ サイトからマイクロソフトのネットワークに接続されます。このエッジ サイトやポイント オブ プレゼンスは、130 以上存在します。このグローバル ネットワークに接続されたトラフィックの終端は仮想ハブです。Azure Virtual WAN は、複数の仮想ハブで構成されており、異なる Azure リージョンに作成することもできます。パブリック クラウド プロバイダーの中で最もグローバルなネットワークを保有している Azure では、世界中のあらゆるブランチに近接した仮想ハブを利用することができます。

西ヨーロッパ (オランダ) と北ヨーロッパ (アイルランド) の仮想ハブの例をご紹介します。この 2 つのハブは、お客様の Azure Virtual WAN 構成の一部です。各ブランチは、近接した仮想ハブに接続してパフォーマンスを最大化することができます。

プレビュー版 Azure Virtual WAN では Citrix (英語)Riverbed (英語) の協力を受けて、完全に自動されたブランチ間接続エクスペリエンスを実現しました。新しく急速に成長する SD-WAN と VPN のパートナー エコシステムに向けて、マイクロソフトは今後さらにオプションを拡充してまいります。近いうちに Check Point (英語)Nokia Nuage (英語)Palo Alto (英語)Silver Peak (英語) ともパートナーシップを締結する予定です。ぜひプレビューにご参加いただき、機能、パフォーマンス、エコシステム、パートナーシップなどのさまざまなご意見をお聞かせください。

マイクロソフトは、グローバルなブランチ間接続の課題を解決するために、お客様と緊密に協力しています。Sword Group の例をご紹介します。

「多国籍企業の Sword では、世界中の支社を相互接続する必要があります。Riverbed の SteelConnect とマイクロソフトの Azure Virtual WAN を組み合わせると、数ステップの操作だけで、わずか数分で簡単に場所をデプロイしてアクセスを制御できるようになります。複雑で高価なソリューションは不要で、クラウド ワークロードを手軽に利用することができます。おかげで、Sword はきわめて迅速かつ俊敏に新規市場にアプローチできるようになりました」

SwordGuillaume Mottard 氏 (Sword Group、COO、スイス)

 

 

パブリック プレビューで使用できる機能

  • 仮想 WAN と仮想ハブ: あらゆる Azure パブリック リージョンで仮想 WAN を作成し仮想ハブをデプロイできるため、各ブランチの近くにハブを設置することができます。このハブはネットワーク トラフィックが最初に到達する終端となり、ここから他のブランチや Azure Virtual Network (VNet) に転送されます。
  • 自動接続: 多数の VPN トンネルを手動で確立し管理するのは困難です。Azure Virtual WAN では、用途に応じた CPE をまとめて SD-WAN コントローラーや VPN デバイスとして使用し、ブランチのプロビジョニング、構成管理、接続セットアップを自動化することができます。これにより、仮想 WAN のデプロイや管理が簡素化されます。
  • VNet 構成の自動化: VNet 構成を自動化することで、VNet を簡単にハブに接続して各ブランチから Azure リソースにアクセスできるようになります。
  • トラブルシューティングと監視: 仮想 WAN と Azure リソースの管理エクスペリエンスを統合して、プラットフォームでオンプレミス接続を監視することができます。

パブリック プレビューへの参加をご希望のお客様は、Azure Virtual WAN のページからご登録ください。

Azure Firewall

Azure Firewall は、高可用性と自動スケーリングが組み込まれた、Virtual Network リソース向けの完全にステートフルでネイティブなファイアウォール サービスです。また、アプリケーション レベルとネットワーク レベルのフィルタリング ルールを利用して、接続ポリシーを作成および適用することができます。接続ポリシーは、複数のサブスクリプションや仮想ネットワークにまたがって適用可能です。Azure Firewall サービスは、Azure プラットフォーム、ポータルの UI、サービスに完全に統合されています。


「規制が厳格な銀行では、ネットワークまたはアプリケーションのレベルでの境界セキュリティなど、パブリック クラウドにおけるセキュリティをすべての側面から備えておく必要があります。Azure Firewall は、NSG や UDR などの Azure の既存ソリューションを補完して第 7 層で送信トラフィックをフィルタリングするため、セキュリティを大幅に強化することができます。セットアップやログの確認も容易です。今後の拡張も予定されており、非常に心強いです」

Societe GeneraleVictor Martins 氏 (Societe Generale、IT アーキテクト)

 

 

パブリック プレビューで提供される機能

  • FQDN による送信トラフィックのフィルタリング: HTTP/S の送信トラフィックを完全修飾ドメイン名 (FQDN) のリストに含まれる顧客のみに制限することで、データをインフラストラクチャ内で保持して、インターネット トラフィックへの送信やデータ流出を防ぎます。
  • ネットワーク トラフィックのフィルタリング ルール: 送信元および送信先のアドレス、ポート、プロトコルに基づくステートフルなフィルタリング ルールを一元的に作成、適用、管理することで、複数サブスクリプション間のトラフィックを可視化して制御性を高めます。

  • SNAT のサポート: 送信元ネットワーク アドレス変換 (SNAT) で、他のセキュリティ デバイスやアプライアンスなどの外部通信を確立することができます。VNet とパブリック IP の間のアドレス変換が可能で、既存のセキュリティ境界やポリシー共有とも容易に統合することができます。
  • Azure Monitor にログを記録: すべてのイベントを Azure Monitor に統合して、単一の共有インターフェイスでログの確認や分析を行うことができます。これにより、ブロックや承認などのトラフィック インシデントのログを安全に記録して、Azure ストレージ アカウントにアーカイブしたり、Event Hubs にイベントをストリーミングしたり、Log Analytics で詳しく分析したりできるようになります。


 

既存のセキュリティ機能との互換性に優れた Azure Firewall

Azure Firewall は従来の Azure セキュリティ ポスチャを強化するように設計されており、既存の Azure セキュリティ サービスとシームレスに併用することができます。

  • ネットワーク セキュリティ グループ (NSG) と Azure Firewall は相互補完的な機能で、組み合わせることでネットワーク セキュリティをさらに強化することができます。NSG の分散型ネットワーク階層トラフィック フィルタリングでは、仮想ネットワーク内のリソースへのトラフィックを制限することができます。Azure Firewall は、完全にステートフルで一元的なサービス型ネットワーク ファイアウォールで、仮想ネットワーク全体をネットワークまたはアプリケーション レベルで保護します。
  • Application Gateway WAF は、Web アプリケーション (第 7 層) の受信トラフィックを一元的に保護します。Azure Firewall はすべてのプロトコル、すべてのポートの送信トラフィックをネットワーク レベル (第 3 層、第 4 層) で保護すると同時に、HTTP/S の送信トラフィックをアプリケーション レベル (第 7 層) で保護します。
  • Azure DDoS Protection では、マイクロソフトのグローバル ネットワークの規模と弾力性を活用して、あらゆる Azure リージョンで大規模な DDoS 攻撃を軽減することができます。不正なトラフィックを Azure ネットワークの境界で排除し、Azure アプリケーションを保護します。
  • サービス エンドポイントは PaaS サービスへのアクセスを保護する機能で、仮想ネットワークのプライベート アドレス空間と ID を VNet から Azure サービスに拡張します。Azure Firewall では、Azure Firewall サブネット内でサービス エンドポイントを有効化し、接続されているスポーク型 VNet では無効化することができます。これにより、サービス エンドポイントのセキュリティ機能を使用しながらすべてのトラフィックのログを一元的に記録することができます。
  • ネットワーク仮想アプライアンス (NVA) を使用すると、サードパーティ製 NVA と Azure Firewall を併用することができます。現在、パートナー様と協力してさまざまなシナリオに対応できるように取り組んでいます。

詳しくは、Azure Firewall の製品ページ (英語) をご覧ください。

マイクロソフトのネットワーク サービス ポートフォリオに Virtual WAN と Firewall が加わったことで、Azure の可能性がさらに広がりました。さまざまなプラットフォームとインフラストラクチャを統合しながら、シンプルかつ簡単にデプロイして使用できるようになります。
 

まとめ

Azure ネットワークは、ミッション クリティカルなサービス向けに、パフォーマンスと信頼性の高い安全なグローバル ネットワークをクラウドで構築できるようにするため、より優れたネットワーク サービスを提供してまいります。ぜひ Virtual WAN および Firewall をお試しのうえ、ご意見をお寄せください。また、使いやすい完全統合型の各種 Azure ネットワーク サービスについてのご意見もお待ちしております。今後も最新の情報をお届けしてまいりますので、ぜひご注目ください。

Web セミナーと関連資料のご案内(オンデマンドでもご覧いただけます)

2018 年 7 月 18 日に開催されます Web セミナー (英語) で、Azure Virtual WAN と Azure Firewall のデモを披露いたします。また、パートナー様やお客様の新しいサービスもご紹介いただきます。

 

Comments (0)

Skip to main content