Azure Firewall とネットワーク仮想アプライアンス

執筆者: Yair Tor (Principal Program Manager, Azure Networking) このポストは、2019 年 5 月 14 日に投稿された Azure Firewall and network virtual appliances の翻訳です。   ネットワーク セキュリティ ソリューションの提供形態には、オンプレミスのアプライアンス、クラウドで運用されるネットワーク仮想アプライアンス (NVA)、クラウド ネイティブ サービス (サービスとしてのファイアウォール) の 3 種類があります。 お客様からの問い合わせで特に多いのが、Azure Firewall とネットワーク仮想アプライアンスの違い、Azure Firewall は他のソリューションと共存が可能かどうか、Azure Firewall の方が優れている点、不足している機能、期待される TCO 上のメリットなどについてです。この記事では、これらの質問にお答えしたいと思います。 ネットワーク仮想アプライアンス (NVA) Azure では、サードパーティ製ネットワーク サービスも重要な役割を果たしており、お客様が以前から信頼を寄せていて、製品知識や管理スキルを持っているブランドやソリューションを使用することができます。サードパーティ製ネットワーク サービスの大半は NVA として提供されており、これにはファイアウォール、WAN オプティマイザー、アプリケーション配信コントローラー、ルーター、ロード バランサー、プロキシといったさまざまな機能が揃っています。多くのハイブリッド ソリューションに対応したこれらのサードパーティ製サービスの機能は、Azure Marketplace で一般提供されています。NVA をデプロイする前に検討すべきベスト…


Azure Application Gateway で HTTP ヘッダーを書き換える

執筆者: Abhave Sharma (Program Manager, Azure Networking) このポストは、2019 年 4 月 16 日に投稿された Rewrite HTTP headers with Azure Application Gateway の翻訳です。   この記事では、Azure Application Gateway で HTTP ヘッダーを書き換える機能についてご紹介します。この機能を使用すると、要求または応答のパケットがクライアントとバックエンド アプリケーションの間を移動している間に、HTTP 要求ヘッダーと HTTP 応答ヘッダーを追加、削除、更新できます。また、条件を追加して、その条件が満たされた場合にのみ指定したヘッダーを書き換えることもできます。要求と応答に関する補足的な情報が格納されるサーバー変数もサポートされているため、それを利用した効果的な書き換え規則を設定することも可能です。 図 1: Application Gateway で要求の X-Forwarded-For ヘッダーからポート情報を削除し、応答の Location ヘッダーを変更 ヘッダーを書き換えると、重要なシナリオに対応できるようになります。一般的なユースケースの一部をご紹介しましょう。 X-Forwarded-For ヘッダーからポート情報を削除する Application Gateway では、要求がバックエンドに転送される前に、すべての要求に X-Forwarded-For ヘッダーを挿入できます。このヘッダーは、IP とポートをコンマで区切った形式となっていますが、バックエンド アプリケーションでは IP アドレスのみのヘッダーしか必要でないというシナリオもあります。たとえば、バックエンド アプリケーションがコンテンツ管理システム (CMS)…


Azure での高速かつ最適化された接続および配信のソリューション

本日、NAB 参加者の皆様が視聴者に対する将来のビジョンを実現するのに役立つ、革新的かつ業界最先端の Azure サービスが一般提供されたことを発表します。これらのサービスとは、Azure Front Door Service (AFD)、ExpressRoute Direct、Global Reach および AFD と Content Delivery Network (CDN) の新しい追加機能です。 日本語版のポストは、下記の URL よりご覧いただけます。 https://azure.microsoft.com/ja-jp/blog/fast-and-optimized-connectivity-and-delivery-solutions-on-azure/


Azure Front Door Service の一般提供を開始

執筆者: Sharad Agrawal (Senior Program Manager) このポストは、2019 年 4 月 4 日に投稿された Azure Front Door Service is now generally available の翻訳です。   インターネットに接続されている Web アプリは、利用者の規模やサービス展開しているリージョン数を問わず、どれも基本的にグローバル アプリと表現することができます。世界的に広く利用されている人気のニュース サイトも、販売チャネル管理用の B2B アプリも、町中の小さなケーキ屋向けアプリも、世界中のさまざまな場所にいるユーザーに利用されています。また、それらのアプリは高可用性やディザスター リカバリー目的で複数の場所にデプロイされている場合もあります。グローバル アプリのユーザーや展開地域は各地に分散しているため、エンド ユーザー向けにパフォーマンスを最大化させながらも、障害や攻撃が発生してもアプリの可用性を常に保持できるようにする必要があります。 マイクロソフトは本日、昨年からプレビューとして提供していた Azure Front Door Service (AFD) の一般提供を開始しました。AFD はグローバル アプリの迅速な配信を可能にするスケーラブルで安全なエントリ ポイントです。グローバルな Web サイトおよびアプリ向けのワンストップ ソリューションとして以下の機能を提供します。 アプリと API の高速化: Anycast 方式を採用し、マイクロソフトの大規模なプライベート グローバル ネットワークを介して Azure 上のバックエンドに直接接続することで、レイテンシの短縮とスループットの向上を実現します。 グローバル…


Azure Front Door Service の Web Application Firewall

執筆者: Teresa Yao (Principal Program Manager, Azure Networking) このポストは、2019 年 4 月 4 日に投稿された Web application firewall at Azure Front Door service の翻訳です。   優れた Web アプリが開発され、世界中で愛されているとしたら、それは悪意のある攻撃者にとって恰好のターゲットです。サイバー攻撃の頻度が増し、巧妙さも年々上がっていることから、対策を講じずにいればサービス中断、データ損失、評判の低下といったさまざまなリスクにさらされることになります。 Web アプリをクラウドに移行する際、何を最優先に考えているかお客様に尋ねたところ、その答えはほとんどが「セキュリティ」でした。こうしたことを受け、本日マイクロソフトは、Azure Front Door Service で Web Application Firewall (WAF) のパブリック プレビューを開始しました。グローバルなアプリやコンテンツ配信ネットワークとネイティブに統合された WAF エンジンの組み合わせにより、Web アプリを世界中に安全かつ迅速に配信できる高可用性プラットフォームを提供します。 Front Door Service の WAF には、Azure エッジのスケーラビリティと多大なセキュリティ投資が活用され、インジェクション攻撃や Volumetric DDoS 攻撃などの多様な攻撃ベクトルからお客様を保護するよう設計されています。Azure のネットワーク エッジで受信した各要求を検査し、不要なトラフィックがバックエンド サーバーに流入する前に阻止することで、パフォーマンスを犠牲にすることなく大規模な保護を実現します。Front…


Azure Firewall の新機能の発表

本日、Azure Firewall に 2 つの重要な新機能が追加されました。 日本語版のポストは、下記の URL よりご覧いただけます。 https://azure.microsoft.com/ja-jp/blog/announcing-new-capabilities-in-azure-firewall/


ネットワーク仮想アプライアンスをデプロイする前に検討すべきベスト プラクティス

執筆者: Reshmi Yandapalli (Principal Program Manager, Azure Networking) このポストは、2019 年 2 月 5 日に投稿された Best practices to consider before deploying a network virtual appliance の翻訳です。   ネットワーク仮想アプライアンス (NVA) とは、主にネットワーク機能の仮想化を目的とする仮想アプライアンスです。一般的なネットワーク仮想アプライアンスは、ファイアウォール、WAN オプティマイザー、アプリケーション配信コントローラー、ルーター、ロード バランサー、IDS/IPS、プロキシ、SD-WAN エッジといった機能を 4 ~ 7 つ備えています。これらの機能の中にはパブリック クラウドがネイティブに提供しているものもありますが、お客様が独立系ソフトウェア ベンダー (ISV) のネットワーク仮想アプライアンスをデプロイしているのが一般的です。パブリック クラウド向けのこれらの機能はハイブリッド ソリューションにも対応


2018 年秋の Azure ネットワーク関連の最新情報

執筆者: Yousef Khalidi (CVP, Azure Networking) このポストは、2018 年 9 月 24 日に投稿された Azure Networking Fall 2018 update の翻訳です。   発表事項: パブリック クラウドで最も高速な 100 Gbps 接続、ブランチ接続の提供開始、新しいクラウドネイティブ セキュリティ機能、アプリケーション パフォーマンス サービス 企業がかつてないほど高負荷のミッションクリティカルなワークロードをクラウドに移行している中、マイクロソフトは、デプロイ、管理、スケーリング、監視が容易で包括的なネットワーク サービスの提供に取り組んでいます。お客様は、クラウドへの接続方法の改善、クラウド ワークロードの保護の強化、最適なアプリケーション パフォーマンスの提供、包括的な監視サービスを常に求めています。 接続方法に関しては、きわめて帯域幅が広いソリューションが必要だとお客様から声が上がっています。これは、お客様が高度な分析と機械学習を利用するために、クラウドに大量のデータを転送しようとしているからです。SD-WAN (ソフトウェア定義 WAN) は、より多くのトラフィックをインターネットにインテリジェントにルーティングし、ブランチ オフィスへの接続をお客様が適切に管理し、コストを削減できるようになる大きな可能性を秘めています。仮想データセンターのコンセプトは定着しつつありますが、こうしたソリューションをグローバル規模で構築することは依然として容易ではありません。Azure では現在 54 のリージョンを展開しており、今後さらに多くのリージョンを追加する予定であることなど、マイクロソフトのグローバル ネットワークは拡大の一途をたどっており、全体的なキャパシティも増加しています。お客様からは、新しい方法でマイクロソフトのグローバル WAN を活用できるようにしてほしいという声が寄せられています。これに関してマイクロソフトは、ExpressRoute 100 Gbps Direct、ExpressRoute Global Reach、Azure Virtual WAN の一般提供開始と、Virtual Network と DNS の機能強化を発表します。…


Azure Virtual WAN と Azure Firewall のパブリック プレビューを開始

執筆者: Yousef Khalidi (CVP, Azure Networking) このポストは、2018 年 7 月 12 日に投稿された Announcing public preview of Azure Virtual WAN and Azure Firewall の翻訳です。   SD-WAN (ソフトウェアで定義されたワイド エリア ネットワーク) などのネットワークの最新技術では、各ブランチに経路選択ポリシーを適用することで、ブレークアウト ポイントを選択するバックホールをなくしてインターネット トラフィックを直接クラウドに送信できるため、パフォーマンスが向上します。このトラフィックは、優れたネットワーク エクスペリエンスを実現するインテリジェント ルーティングにより、迅速にマイクロソフトのグローバル バックボーン ネットワークに到達することができます。しかし、すべてのブランチがインターネットに直接アクセスできるようになると、ブランチの接続を管理したり、大規模にネットワークやセキュリティのポリシーを統一したりするなど、新たな課題が生まれます。国や地域ごとに異なる厳格なセキュリティ、プライバシー、コンプライアンスなどのポリシーが設定される中で、多くの従業員が離れた場所で働くようになり、ネットワーク ポリシーの管理はますます複雑化しています。 ネットワーク セキュリティは、ユーザー、データ、アプリケーションを保護するうえで重要な役割を果たします。クラウド開発者や IT チームは、日々サイバー攻撃を未然に防ぐために努力しています。クラウド ネイティブなネットワーク セキュリティ ソリューションは、アプリケーションの構築やデプロイにおける最新の DevOps モデルとの相性がよく、さらにクラウドの経済性や規模といったメリットも活用することができます。お客様が必要としているのは、高可用性と自動スケーリング機能を備えた、デプロイ、使用、管理が容易なターンキー ソリューションです。 このような最先端のソリューションを実現するために、大規模なブランチ間接続を簡素化する Azure Virtual WAN (英語) と、ネットワーク セキュリティ ポリシーに準拠しながら大規模かつシンプルにクラウドを活用できる Azure…


新しいゾーン冗長 VPN/ExpressRoute ゲートウェイのパブリック プレビューを発表

執筆者: Ashish Jain (Program Manager, Azure Networking) このポストは、2018 年 6 月 26 日に投稿された New zone-redundant VPN and ExpressRoute gateways now in public preview の翻訳です。   Azure の他の機能と同様に、仮想ネットワーク ゲートウェイもイノベーション、アップグレード、洗練が進み、信頼性や可用性が向上し続けています。 そして本日、ゾーン冗長に対応した VPN ゲートウェイおよび ExpressRoute 仮想ネットワーク ゲートウェイのパブリック プレビューが開始されました。Azure 可用性ゾーンのサポートが拡張され、仮想ネットワーク ゲートウェイの回復性、スケーラビリティ、可用性が改善されています。 パブリック プレビューでは、Azure 可用性ゾーンに VPN および ExpressRoute のゲートウェイをデプロイできるようになりました。可用性ゾーンが物理的、論理的に分離されるため、ゾーン レベルで障害が発生した場合には、オンプレミスから Azure へのネットワーク接続が保護されます。また、仮想ネットワーク ゲートウェイ作成時のデプロイ所要時間が短縮されるなど、基本的なパフォーマンスも向上しています。 各可用性ゾーンに仮想ネットワーク ゲートウェイを自動デプロイする場合、ゾーン冗長仮想ネットワーク ゲートウェイを使用できます。 ゾーン冗長仮想ネットワーク ゲートウェイでは、VPN ゲートウェイと ExpressRoute…