txt_h1.png

革新的な技術的ポイントを含め、 Azure Stack HCI の優位点と特長をユーザー視点でさらに掘り下げる後編の今回は、④ハイブリッド性と⑤セキュリティについて、これまで同様、日本マイクロソフト クラウド&エンタープライズ本部 佐藤 壮一氏/パートナー事業本部 高添 修氏のご協力の下、革新的な技術的ポイントを含め、優位点と特長をユーザー視点で掘り下げていく。前編を読む


④ Azure ファミリーとしてのハイブリッド性
~双方向、インタラクティブな 一貫性のあるハイブリッド クラウドを提供~

■ Azure と連携する独自のハイブリッド機能

Azure Stack HCI はその名に Azure と冠していることからもわかる通り、オンプレミスのHCIを、 Azure によるクラウドといつでも連携できるように設計されている。ここでも橋渡し役となるのは、 Windows Server 2019 である。そして、ここでもWindows Admin Centerが重要な役割を担うことになる。

図:Azure と連動する独自のハイブリッド機能

概要編でお伝えしたとおり、バックアップや仮想マシンの災害対策、 Windows Server の更新管理などが、あたかも Azure 管理サービスと同化したかのように連携する。

図:Azureサービスとの連携

マイクロソフトは2020年1月までに、 Windows Server 2019 利用環境の80%をハイブリッドクラウド化する目標を掲げ、企業のデジタルトランスフォーメーション(DX)を支援する姿勢を鮮明にしている。

他社メガクラウドベンダーや仮想化ベンダーとの違いは、一方通行なクラウド移行、すなわち一度移行したら元には戻せない、のではなく、双方向、インタラクティブ性にある。ユーザーのニーズと選択に添い、一貫性のあるハイブリッド クラウドを提供すること。それがマイクロソフトのコミットメントである。

総務省が発表した『平成30年版 情報通信白書』では、企業のクラウドサービス利用率は2017年で56.9%と、2016年の46.9%と大幅に上昇している。一方で、マイクロソフトの調査によれば、ハイブリッドクラウドの導入を検討している企業は84%と、1年前の55%から大きく上昇している。ミッションクリティカルかつレガシーなITインフラのすべてを一気にクラウド移行するのはハードルが高いため、ハイブリッドクラウドでワンクッションを置きたいという企業は多い。ハイブリッドクラウド環境を通じ、どれがクラウドに移行できて、どれが移行できないのかを検証したい、というニーズもある。日本マイクロソフトにおける Windows Server ライセンス契約が2018年4月以降、ハイブリッドクラウドでの活用が前年同期比40%以上の成長を遂げていることからも、日本におけるハイブリッドクラウド活用が加速していることは明らかだ。

それでは、具体的な連携手法を見ていこう。

■ハイブリッドファイルサーバー ―オンプレファイルサーバを Azure に連携

Azure File Sync によりオンプレミスのファイル サーバーで管理されているファイルを Azure Files に同期するサービス。SMB、NFS、FTPSなどのプロトコルを使用して、オンプレミスのサーバーと連携する。オンプレサーバーの運用を維持しつつ、コールドデータへの対処、キャパシティマネジメント、BCP(事業継続計画)やDR(災害対策)、バックアップとリストアのオペレーション、物理スペースや電源確保などのウィークポイントをカバーできるサービスと言える。さらに、 Azure File Sync にはデータ重複除去、ウィルス対策ソリューション、バックアップソリューション、暗号化ソリューションといった機能を追加利用することも可能だ。

図:ハイブリッドファイルサーバー

■Storage Migration Service ― 記録域移行サービス

また、 Windows Server 2019 にはSMB(Server Message Block)共有間のファイル一括移行が可能な新機能「Storage Migration Service(記憶域の移行サービス)」が追加された。この機能は Windows Admin Center の「サーバーマネージャー」の「記憶域の移行サービス」を利用して、GUIで直感的に実行できる。

図:「サーバーマネージャー」の「記憶域の移行サービス」

図:記憶域の移行サービス


⑤セキュリティ
~最新の攻撃と“ゼロトラストネットワーク時代”に適合する、「多層防御」

巧妙化、高度化、そして膨大化するサイバーセキュリティについて、自社の知見とリソースだけではもう対応できず、メガクラウドベンダーの方が安全、という見方が一般化してきつつあるが、マイクロソフトのセキュリティ対応について、この機会にしっかり解説しておこう。

前々回の概要編でご紹介したとおり、マイクロソフトはセキュリティ関連に年間10億ドルを投資。それはクラウドのみならず、ベースとなる Windows Server 2019 において「 Windows Defender 」による高度なマルウェア検知および、「 Windows Defender Advanced Threat Protection(ATP) 」によるサイバー攻撃やデータ漏えいの検出に加え、「BitLocker」で仮想マシンの保護を実装するなど、先進のテクノロジーによりデータセンター仮想基盤を保護するセキュリティを提供している。

Windows Server 2019 で強化されたセキュリティ機能は以下の通り。

図:Windows Server2019の主なセキュリティ機能

最新の攻撃と“ゼロトラストネットワーク時代”に適合する、「多層防御」がキーワードだ。「ゼロトラストネットワーク(セキュリティ)」とは、「(ファイアウォールなどの境界型セキュリティで守られた社内やデータセンターであっても)安全ではない=信頼しないことを前提とし、全てのトラフィックを検査、ログ取得を行う」というアプローチを指す。マイクロソフトは Azure AD と Windows 10 による二要素認証や、 Windows Defender ATP での監視などで具体的な対策を提供している。

■侵入の早期検知

マルウェア感染しても早期に発見できず、攻撃者はその間にリモートアクセスツールを端末にインストール、長期に渡ってシステム内を探り、機密情報を盗み取ろうとする。感染から検知までの期間は100~200日以上とも言われ、感染が発覚した際には、もう手遅れなのだ。 Windows Server 2019 であれば、侵入された、マルウェアに感染した時点ですぐに検知可能で、被害を最小限に食い止めることができる。

図:侵入の早期検知

■感染時の対策強化

これが Windows Defender Advanced Threat Protection (ATP) である。ATPは、 Windows 10 にエージェントレスで実装されるEDR(Endpoint Detection and Response)製品だが、Windows Server 2019にも標準搭載された。エージェントレスでエンドポイントの動作を監視し、機械学習に基づいたセキュリティ分析によってサイバー攻撃を検出、警告し、人の介在なしでの自動修復までも可能だ。

■仮想化基盤の保護

仮想マシンはTPM(Trusted Platform Module:情報漏えい防止チップ)などの物理セキュリティの恩恵が受けられておらず、仮想基盤の管理者権限が侵害されると、仮想マシン内のデータやシステムへのアクセスが可能となってしまう。ゼロトラストネットワークの観点からは、データセンター内のネットワークへの攻撃も考えられる。そのため、仮想化基盤となる物理ホストや仮想マシン、ネットワーク通信も保護していく必要があるのだ。

図:仮想化基盤の保護が必要な理由

Windows Server 2019では、ハイパーバイザーのブートをセキュアにすることからセキュリティ対策が始まっている。さらに、仮想マシンに対して有効なのが「シールドされた仮想マシン」である。これは、仮想TPMを使った「BitLocker」暗号化によりハードディスクやSSDなどのセキュリティを確保する機能で、ファイル単位でなく、ボリューム全体を暗号化の対象とする。そのため、ファイルシステムのタイプに関わらず利用でき、悪意のある仮想化基盤担当者が仮想マシン用のファイルをデータセンター外に持ち出しても中身にアクセスできない。そして、暗号化された仮想マシンを、正しく認証されたHyper-V上でのみ稼働させるための認証局の役割を果たすのが、ホスト ガーディアン サービス (HGS)である。

Windows Server 2019 のSDN機能に新しく実装された仮想ネットワークの通信暗号化技術を含め、Windows Server 2019 をベースにした Azure Stack HCI には、多くのセキュリティ機能が標準搭載されている。

また、マイクロソフトは企業が対応するべきコンプライアンス、各種認証についても対応している。詳しくは下記を参照して欲しい。


まとめ

いかがだろうか。前編・後編といささか盛りだくさんではあったが、これでも「 Azure Stack HCI がオンプレミスをマイグレーションする最適解ソリューションである」理由のすべてをお伝えできたわけではない。それでも、 Azure Stack HCI はクラウド時代に最初に検討するべきHCIであり、オンプレミスへ最新のハードウェア、ソフトウェアの価値を最大化する仮想基盤であり、オンプレミスにクラウド時代のスピードとアジリティ、そして管理性をもたらすソリューションであることが、ある程度おわかりいただけたのではないだろうか。

マイクロソフトの Windows Server および Azure ファミリーは、インテリジェントクラウドとインテリジェントエッジの自由な往来を可能にする、唯一無二の存在であり、そしてそれこそが、マイクロソフトの統一メッセージなのである。

さらに Windows Server 2019 に続き、間もなく登場する SQL Server 2019 でも、オンプレミス環境でより多くの可能性をもたらす機能追加が予定されている。

クラウドの利活用とオンプレミスの進化は、どちらかを選択するのではなく、企業にとっては両方とも必要なもの。 Azure と Azure Stack 、 Azure Stack HCI はそれぞれを補完する存在である。

これからのITインフラを支えるエンジニアには、エッジからクラウドまでの最新かつ奥深い知識が必要となる。真のハイブリッドを求めるのであれば、マイクロソフトのテクノロジーを検討してもらいたい。

次回はシリーズのまとめとして、「タイプ別ITインフラのモダナイゼーション 早わかりチャート」をお届けする。