IPv6対応クラウドサービスワークショップ

IPv4 インターネット IPv6 インターネット

NGN

1

2

5

4

RST

3

SYN

A/AAAA

records

フォールバック

IPv4IPv4 / IPv6

デュアルスタックIPv6 Native

IPv4 ○ ○ ×

IPv4 / IPv6 デュアルスタック

○ ○ ○

IPv6 Native× ○ ○

http://blogs.msdn.com/b/b8/archive/2012/06/05/connecting-with-ipv6-in-windows-8.aspx

境界で守ればひとまず安心

アドレスA アドレスB アドレスC アドレスD

途中経路では何も分からない

IPv4環境 IPv6環境

IPv6環境

正規のデータ

通信路

攻撃対象

盗聴通信路

偽の

ルータ広告

会員・

外部組織・一般

外部組織・

標準化団体

【セキュリティ検証基盤の構築】

IPv6 技術検証協議会

【課題・対策手法の整理】• 未知の課題の抽出と検証

• 対策技術の検討と評価

会員 IPv6対応製品

会員 IPv6対応製品

会員 IPv6対応製品

NICT IPv6 セキュリティ検証ツール

テストベッド＠マイクロソフト大手町テクノロジーセンター

持ち寄り 模擬攻撃

Management

Segment

Backbone

External Segment

DMZ

Client SegmentServer Segment

VM02

Single Chassis

of PA-4020 D-U1

VM01

VM05

(S-V1) VM04 (C-V1)

VM06 (B-V1)

ISP 0 ISP 1

Wireless Segment

Brocade

ServerIron

ADX1216-4

(DHCP Server)

Microsoft

2008 Server

(DNS / DHCP

Server)

F5

BIG-IP 3900

(Load Balancer)

NICT

Attacker /

Victim

(FreeBSD)

Palo Alto

PA-4020

(IDS)

Buffalo

WAMP-APG300N

(Wireless AP)

NICT

Manager

/Observer

(FreeBSD)

NICT

Attacker

(FreeBSD)NICT

Victim

(Windows7)

NICT

Attacker

(FreeBSD)

TOYO Tech

Codenomicon

(Attacker)

Microsoft

Windows 7

(Client)

Palo Alto

PA-4020

(FireWall)

Palo Alto

PA-4020

(FireWall)

TOYO Tech

Avalanche

TestCenter

(Attacker)

Microsoft

(L2 Switch)

SharedTestbed

MonitoredManagement

NICT

Attacker / Victim

(FreeBSD)

D-R1D-S1D-S2

Brocade

ServerIron

ADX1216-4

(Load

Balancer)

D-F1

D-I1

C-B1

E-R1

M-B1

C-T3

C-C1

C-C2 C-T1 C-T2S-S3

S-S1

S-C1

W-C1

W-C2

E-C1

M-S1

TOYO Tech

Manager

(Windows 2008S)M-S2

Buffalo

WLI-TX4-AG300N

(Media Converter)W-A1

Buffalo

WZR-AMPG300NH

(Wireless AP)M-A1

Brocade NetIron

CER 2048CX

B-R1

p2P17(~24)

P9(~16)

p2 p2

p1 p1

p1

p1

p1 p1p1

p1

p27 p26

p15 p14

p13p15 p2

p1

p9

P5(~8)

p25 (~36)P9(~12)

P1

P33 (~p36)

p3P4

p1

p1 p1

Buffalo

WS-Q2.0TL/R5

(NAS Server)

S-S2

p1

p14

p1

p1

p1

p3

p2

P2

P3

P4

P6

P5

P7

p1

D-F2

P1

VLAN 1401

M-R1x0p1

NICT

SonicWALL

TZ100

VLAN 1202

VLAN 1201

TOYO Tech

Manager

(Windows 2008S)M-S3

p1

p4

TOYO Tech

Manager

(Windows 2008S)M-S4

p1

p16

p13 (~p24)

p25 (~p32)

Buffalo

BS-G2016MR

(L2 Switch)

D-V1

S-V1 C-V1 VM03 (C-V1)W-V1

VM07 (E-V1)E-V1

M-V2

M-V1

D-U1

NICT

Catalyst 3560

NICT

ProCurve 6600

p3

p2

p6

Microsoft IIS ( Web Servers )

NICT

Attacker / Victim

(FreeBSD)

D-S4 D-S3

D-C1p1

p1 p1

p2

p1

p28

p16

p13 (~24)

VLAN 1203

VLAN 1501VLAN 1601

VLAN 1102

VLAN 1101 VLAN 1

p1

p2

p1

p8

p7

p29

p17

TOYO Tech

Avalanche

TestCenter

(Attacker)

em0 1 2 3

C-T3

C-T2

NICT

Attacker / Victim

(FreeBSD)D-C2

p18

p10

em2

em1

em0

p16

x1

D-C3

p19

BlueCoat

SG210LAN

提供企業 機種名 図中番号

F5 BIG-IP 3900 (Load Balance) D-S1

Palo Alto PA-4020 (IDS) D-I1

Palo Alto PA-4020 (Firewall) D-F1

Palo Alto PA-4020 (Firewall) D-F2

Brocade ServerIron ADX 1216-4(DHCP Server) S-S1

Brocade ServerIron ADX 1216-4(Load Balance) D-S2

Brocade NetIron CER 2048CX(Multi-service Router) B-R1

Microsoft Windows 2008 Server (DNS/DHCP Server) S-S3

Microsoft Windows 7 (Client) C-C1

Microsoft L2 Switch M-B1

Microsoft IIS (Web Servers) D-S3, DS-4

東陽テクニカ Codenomicon Defensics C-T1

東陽テクニカ Spirent TestCenter, Avalanche3100 C-T2, C-T3

東陽テクニカ Manager (Windows 2008S) M-S2

東陽テクニカ Manager (Windows 2008S) M-S3

東陽テクニカ Manager (Windows 2008S) M-S4

Blue Coat SG210 (Proxy Server) D-C3

Buffalo WAMP-APG300N (Wireless AP) W-A1

Buffalo WU-TX4-AG300N (Media Converter)

Buffalo WZR-AMPG300NH (Wireless AP) M-A1

Buffalo WS-Q2.0TL/R5 (NAS Server) S-S2

Buffalo BS-G2016MR (L2 Switch) C-B1

NICT FreeBSD (Attacker / Victim) E-C1

NICT FreeBSD (Manager/Observer) M-S1

NICT FreeBSD (Attacker) W-C2

NICT Windows 7 (Victim ) W-C1

NICT FreeBSD (Attacker) C-C2

NICT FreeBSD (Attacker/Victim) S-C1

NICT SonicWALL TZ100 (Router) M-R1

NICT Catalyst 3560 (Router) D-R1

NICT Procurve 6600 (Router) E-R1

NICT FreeBSD (Attacker/Victim) D-C1

検証対象外シナリオ, 5

一部機器で攻撃成

功, 17

全機器で攻撃成功, 5

全機器で攻撃失敗, 13

その他, 35

検証結果一覧○：攻撃成立

×：攻撃不成立

Computing in the 21st century Conference 2016 23

Computing in the 21st century Conference 2016 24

Computing in the 21st century Conference 2016 25

ISP ISP ISP

NAP NAP

Sprint, MCI, AGIS, UUnet, PSINet

変わるインターネットアーキテクチャ

Computing in the 21st century Conference 2016 26

IXP IXP IXP

ISP ISP

爆発するデータ、変わる流れ

稼働中

アナウンス済み / 構築中

32 の地域でサービス中、38の地域まで拡大予定

世界最大のインフラストラクチャー

100カ所以上のデータセンター AWS の 2 倍、Google 6 倍の地域サポート 米国国防総省 (US DoD) も採用

(2017年 2月 1日現在)

https://azure.microsoft.com/en-us/regions/

マイクロソフトのネットワークは、世界第 2 位の規模(上にいるのは、米国政府のネットワークのみ)

Platform Services

Infrastructure Services

Web Apps

MobileApps

APIManagement

API Apps

Logic Apps

Notification Hubs

Content DeliveryNetwork (CDN)

Media Services

BizTalkServices

HybridConnections

Service Bus

StorageQueues

HybridOperations

Backup

StorSimple

Azure SiteRecovery

Import/Export

SQL Database

DocumentDB

RedisCache

AzureSearch

StorageTables

DataWarehouse

Azure AD Health Monitoring

AD PrivilegedIdentity Management

OperationalAnalytics

Cloud Services

BatchRemoteApp

ServiceFabric

Visual Studio

AppInsights

Azure SDK

VS Online

Domain Services

HDInsight MachineLearning

StreamAnalytics

Data Factory

EventHubs

MobileEngagement

Data Lake

IoT Hub

Data Catalog

Security & Management

Azure ActiveDirectory

Multi-FactorAuthentication

Automation

Portal

Key Vault

Store/Marketplace

VM Image Gallery& VM Depot

Azure ADB2C

Scheduler

The Azure Platform

10 年を超えるオープンソースへの取り組み

31

32

Microsoft Azure = オープンクラウド

33

+Hundreds of community supported images on

VM Depot

SQL Server

オープンかつ柔軟なクラウドで幅広い選択肢をご提供してきました

Web App Gallery Dozens of .NET & PHP

CMS and Web apps

Microsoft Azure

Azure 内の3分の1以上の仮想マシンがLinuxで稼働

マイクロソフトのクラウドソリューションマップ

データ データ

ゲスト O/S

ミドルウェア

データ

お客様 管理

Microsoft 管理

サーバーストレージネットワーク

O/S

ミドルウェア

データ

オンプレミス(レガシー型) IaaS PaaS SaaS

運用 / 管理

アプリケーションアプリケーションアプリケーション

ミドルウェア

データ

プライベートクラウド(ホスティング含む)

アプリケーション

他社 管理

Windows ServerSystem Center / SQL Server

アプリケーション

パブリック クラウド

Microsoft Azure

仮想化

運用 / 管理

サーバー / ストレージ / ネットワーク

ゲスト O/S

ミドルウェア

ゲスト O/S

仮想化

サーバーストレージネットワーク

運用 / 管理

Office 365Dynamics

365

35

Cognitive Services：人工知能サービス API 群画像認識、音声認識、テキスト認識など、ディープラーニング手法による大きなコンピューティングパワーを必要とする処理などを Azure の API Service として提供。 https://www.microsoft.com/cognitive-services/

36

Cognitive Services：Emotion API画像や動画を分析し、人の感情を自動的に認識。怒り・軽蔑・嫌悪・怖れ・幸福・中立・悲しみ・驚きの８つの要素を確率で回答

https://www.microsoft.com/cognitive-services/en-us/emotion-api

感情を自動認識

専用線によるプライベートクラウド化Azure ExpressRoute (専用線サービス) を利用することで、完全閉域網でプライベートクラウドとして利用することが可能になります

Azure 仮想ネットワークとのピアリング

パブリック IP を持つサービスへのピアリング

Office 365 とのピアリング

Microsoft Edge

Customer’s network

ExpressRoutePartner Edge

Traffic to public IP addresses in Azure

Traffic to Virtual Networks

Traffic to Office 365 Services

ネットワークセキュリティグループ (NSG)

38

仮想ネットワーク上のトラフィックを制御することでより、セキュアなクラウド環境を提供

仮想ネットワーク (VNET)

VM01

VM03

DMZ

Frontend

VM02

NSG_3 NSG_3

NSG_1

NSG_2

Azure Active Directory による ID 管理Azure Active Directory (Azure AD) は、マルチテナントに対応したクラウド ベースのディレクトリと ID の管理サービスによって、優れた使い勝手とコンプライアンスを実現します

Azure AD を既存の Windows Server Active Directory と統合が可能

Azure AD ReportAzure AD Report により、以下のレポートを行うことが可能です

41

Azure IoT Platform

LoB Apps

Third-party

Systems

External

Analytics Tools

Device Actions through Agent Capabilities Command and Control

Data Ingress Data Egress (Visualize + Decide)Data Processing (Transform + analyze / Capture + manage)

Agent

Gateway

0011010111000101

Agent 0011010111000101

Agent

Agent

• Accepts Commands

• Selectivity Transmits Data

0011010111000101

0011010111000101

953:00 PM

25% humidity

70 preset

IoT Hub

Data Factory

Azure Storage / Data Lake

HDInsight & Spark

Notification HubWeb Site

Stream Analytics

Machine Learning

IoT Platform

011010110101

Data Management Gateway

Azure SQL DB / Data Warehouse

Rest

AP

I

PowerBI.com

Real-time Dashboard & Mobile

HoloLens

Windows 10

IoT

Cognitive

Services

Bot Framework

>> Cloud AI Platform

Cloud Robotics Azure Platform

42

Pepper × Azure

デバイスエコシステム

Power BI を始めとした

データ活用エコシステム

DeviceController

DeviceRouter

ApplicationRouter

32 インスタンスまでスケール可能

Microsoft Azure

繰り返し学習

Power BIService

Cloud AIの利用

API Call

API Call

Power BI のアーキテクチャMicrosoft Azure

Microsoft Excel

オンプレミス環境

SQL Server AS

Power BI Desktop

Spark

on HDInsight

Stream Analytics

SQL DB / DW

DocumentDB

非 Azure 上のソフトウェアシステム(例. SaaS 型アプリケーション,

IoT シナリオ, データストリーム)

Azure 上のソフトウェアシステム(例. 顧客のアプリケーション,

1st パーティサービス)

モバイルアプリ iOS, Android, Windows リアルタイムダッシュボード 閾値アラート ビジュアル探索

Cortana for business

(Windows 10) Cortana – Power BI 連携

Embedded </> insights Power BI の埋め込み

データは Power BI Service の PowerPivot にキャッシュ、もしくは、ダイレクトにクエリ

ブラウザ リアルタイムダッシュボード 自然言語クエリ

Advanced Analytics & Machine Learning フロントエンド

ビジュアル探索

On-premises

Data Gateway

PowerPivot

PowerPivot Upload (PowerPivot)

Upload (Report Design)

分析用インメモリDB

PowerPivot ダイレクトクエリ

PowerBIService

44

End-to-End のアーキテクチャIngestor(broker)

Collection Presentation and action

Event producers

Transformation Long-term storage

Event hubs

Storage adapters

Stream processingCloud gateways

(Web APIs)

Field gateways

Applications

レガシー IOT (独自プロトコル)

各種デバイス

IP 通信デバイス(Windows/Linux)

低パワーデバイス(RTOS)

Search and query

Web/thick client dashboardsStream

Analytics

Devices to take action

Event Hubs

Azure DBs

Azure storage

Power BI Site

Power BI Site

DocumentDB

Azureマーケットプレイス*

*製品/サービスの一覧は網羅的なリストではありません。

Microsoft Azure

IPv6 サポートレベル