Mais conteúdo relacionado Semelhante a 211101_LiBRA_インフラ (20) Mais de Masanori Saito (18) 211101_LiBRA_インフラ4. クライアント (=PC) の誕生
メインフレーム クライアントサーバー
巨大な計算機に全てのリソースを持たせ、
全ての処理を実行する。
クライアントは文字の入力と結果の表示
をするだけのダム・ターミナル。
一定の計算能力と記憶能力を持った高
機能なクライアント (PC) が中規模の
サーバーと処理を分担し、高度なUIと操
作性を実現。
クライアント≒Windows PC
22. ユビキタスからアンビエントへ
ユビキタス アンビエント
ケータイ スマホ
テレビ スマホ/音声認識デバイス
M2M IoT
様々なモノがシステムに接続
され、人間からそれらに働き
かけ、情報を得る
システムが人間を見えない
形で取り巻き、必要に応じて
情報を提供
2G/電灯線ネットワーク 4G/5G/WiFi/光
クラウド無し クラウド前提
電話
ゲートウェイ
機械間通信
特徴
ネットワーク
クラウド
27. PC/AT Mac
Windows Linux MacOS
クライアント毎に専用のプログラム (ネイティブアプリ) を用意する必要があり、開発効率が良くない
クライアント・プラットフォームの変遷
PC/AT Mac
Windows Linux MacOS
RIA/Ajax
ひとつのプログラムコードで全てのプラットフォームに対応、コストを最少化して売上を最大化できる
44. 仮想化 や ソフトウエア化 のための仕組み
使いたい機能や性能の組合せや変更の自由を実現
ソフトウェア化された情報システムの機能や性能を使うサービス
簡単・便利・いつでも/どこでもITの機能や性能をサービスとして使える仕組み
実質的に使える機能や性能
ネットワーク
専門的な
スキルや
ノウハウ
大規模・集中化・一元化・標準化
自動化などを駆使して、魅力的な
コストパフォーマンスを実現する
物理的なハードウェアや設備
インフラストラクチャー
プラットフォーム
アプリケーション
運用管理者
特定の業務処理
を行うためのソフトウェア
アプリケーションで共通に使う機能
を提供するソフトウエア
オペレーティングシステム
データベース管理システム など
販売管理システム
会計管理システム など
ソフトウエアを動かすための
ハードウェアや設備
48. 仮想化の役割
48
必要とされるシステム(機能)構成A 必要とされるシステム(機能)構成B 必要とされるシステム(機能)構成C
分割 集約 模倣
仮想化
実質的機能
使用目的に応じて必
要とされるシステム
を調達・構成する。
物理的な設置・据え付
け作業を必要とせず、
ソフトウエアの設定だ
けで、必要とするシス
テム構成を調達・変更で
きる。
柔軟性とスピード
演算 データ管理 ネットワーキング
サーバー ストレージ
システム資源
ネットワーク機器
物理的実態
ハードウェア
プラットフォーム
設備
標準化されたハード
ウェアやソフトウエア
を大量に調達してシス
テムを構成し、運用を
自動化・一元化する。
コスト・パフォーマンス
物理時実態から
実質的な機能や
性能を取り出す
52. システム利用形態の歴史的変遷
OS
OS
AP AP AP
AP AP AP
3 2 1
1950年代~/バッチ 1960年代~/タイムシェアリング
メインフレーム メインフレーム
ミニコン
OS
AP AP AP
OS OS
VM VM VM
1970年代~/仮想化(仮想マシン)
メインフレーム
ミニコン
OS
AP AP AP
OS OS
1980年代~/分散化
ミニコン
PCサーバー
OS
AP AP AP
OS OS
VM VM VM
2000年代~/仮想化(仮想マシン)
PCサーバー
クラウド
(IaaS)
OS
AP
設定
AP
設定
AP
設定
コンテナ コンテナ コンテナ
2015~/コンテナ
PCサーバー
クラウド
(PaaS)
メインフレームの時代
オープン・システムの時代
クラウドの時代
55. SDI(Software-Defined Infrastructure)
55
WAN高速化装置 ファイヤウォール
スイッチ ロードバランサ ルーター
SDI(Software Defined Infrastructure)
仮想化
物理的なシステム資源
システム構成や構築には設置や接続などの物理的な作業が必要
ソフトウェアによる操作や設定でシステム構成や構築を実現する
ソフトウェアによる操作や設定でシステム構成や構築を実現する
物理的な構成や機能を理解し、そこから「仮想的=実質的」にシス
テムを構成して必要な性能や機能を調達する。
物理的な構成や機能を理解していなくても、「ポリシー=目標値・
制約事項」を設定すれば必要な性能や機能を調達する。
物理的システムイメージ
利用目的・利用イメージ
56. SDI(Software-Defined Infrastructure)
56
WAN高速化装置 ファイヤウォール
スイッチ ロードバランサ ルーター
組織・企業 組織・企業 組織・企業
ポリシーで機能や性能を管理
処理能力、対障害性能、セキュリティなど
SDI(Software Defined Infrastructure)
「抽象化」とは、思考に
おける手法のひとつで、
対象から注目すべき要素
を重点的に抜き出して他
は無視する方法である。
仮想化されたシステム資源
物理的なシステム資源
システム資源
機能や性能
抽象化
抽象化
仮装化されたシステム資源で構
成や運用を管理
物理的なシステム資源で構成や
運用を管理
58. DMZ FW
スイッチ 負荷分散装置 ルーター
ネットワーク仮想化
サーバー仮想化 ストレージ仮想化
SDI(Software-Defined Infrastructure)/仮想システム
58
組織・企業 組織・企業 組織・企業 組織・企業
仮想化されたシステム資源から、ユーザーの要望に応じて運用管理者が個別に構成・調達
運用管理者が個別にシステム資源を構成・調達
物理的なシステム資源をプール(リソース・プール)
59. SDI(Software-Defined Infrastructure)
59
DMZ FW
スイッチ 負荷分散装置 ルーター
物理的なシステム資源をプール(リソース・プール)
組織・企業 組織・企業 組織・企業 組織・企業
仮想化されたシステム資源から、ユーザーの要望に応じて自動で構成・調達
ポリシー
• 処理能力
• 対障害性能
• セキュリティ
ポリシー
• 処理能力
• 対障害性能
• セキュリティ
ポリシー
• 処理能力
• 対障害性能
• セキュリティ
ポリシー
• 処理能力
• 対障害性能
• セキュリティ
SDIを構築し運用するソフトウエア
プロビジョニング
Provisioning
ネットワーク仮想化
サーバー仮想化 ストレージ仮想化
60. 仮想化されたシステムの構成
60
物理システム
製品ベースでの調達・運用
物理性能・物理構成・物理作業
仮想システム
実質ベースでの調達・運用
実質性能・実質構成・ソフトウェア設定
サーバー ストレージ ネットワーク
メモリ容量
CPU性能
ディスク容量
ネットワーク機能
ネットワーク接続
仮想サーバー 仮想ストレージ 仮想ネットワーク
オーケストレーション
ポリシーベースでの調達・運用
規則・条件・基準による設定
ポリシー
• 処理能力
• 対障害性能
• セキュリティ
システム構成
01
ポリシー
• 処理能力
• 対障害性能
• セキュリティ
システム構成
02
ポリシー
• 処理能力
• 対障害性能
• セキュリティ
システム構成
03
コントロール
パターンやルール・ベースでの運用管理・調達管理
構成管理・稼働管理・問題解決
監視
自動/自律制御
制
御
67. Infrastructure as Codeの特徴(1)
67
環境構築手順書
① AをBする。
② CをDにする。
③ FをGにする。
・・・
+#!/bin/sh+yum
install -y httpd httpd-
devel php php-
mbstring php-pdo
php-mysql mysql-
インフラ設定
インフラ構築手順作成
環境構築手順書 1
① AをBする。
② CをDにする。
③ FをZにする。
・・・
環境構築手順書 2
① AをBXする。
② CをDYにする。
③ FをZにする。
・・・
環境構築手順書 3
① AをBXする。
② CをDYにする。
③ FをGZにする。
・・・
+#!/bin/sh+yum
install -y httpd httpd-
devel php php-
mbstring php-pdo
php-mysql mysql-
手作業で作業ミスが心配
変更を繰り返すと管理が大変
実際の環境と履歴が一致しない
対象が増えると管理しきれない
設定に手間がかかる
テスト・確認が複雑
68. Infrastructure as Codeの特徴(2)
68
変更履歴
① XXXXXXXXX
② XXXXXXXXX
③ XXXXXXXXX
・・・
クラウド
個別システム
×
×
システム資源が物理的に固定さ
れるので、インフラ構築はその
制約の下で行われる。
物理サーバーを構成変更しなが
ら使い続ける。
システム資源が仮想化されるの
で、インフラ構築に物理的な制
約をうけることはない。
仮想サーバーの追加・破棄を頻
繁に繰り返すことができる。
変更履歴を管理 動作している状態を管理
構成は不変
Imutable Infrastructure
構成は変化し続ける
69. Infrastructure as Codeを実現するソフトウェア
69
仮想マシン 仮想マシン 仮想マシン
Orchestration: 複数サーバーの管理を自動化
Configuration: OSやミドルウェアの設定を自動化
Bootstrapping: OSの起動を自動化
OS OS OS
Virturization: 仮想マシンの構築・起動
ミドルウェア
アプリケーション
OSや仮想化ソフトウェアのインストール/設定作業を自動化
データベースサーバ/Webサーバ/監視エージェントなどのミドル
ウエアのインストールやバージョン管理、OSやミドルウエアの設定
ファイルや、OSのファイアウォール機能などの設定などを自動化
複数台のサーバ群を監視し、新しいサーバをシステムに登録したり、
障害のノードをシステムから取り除いたり、サーバへのアプリケー
ションのデプロイをサポート
KickStart
73. 物理システム・仮想化・コンテナの比較
物理サーバー
(ハードウェア)
ミドルウェア
アプリ アプリ アプリ
ハイパーバイザー
仮想サーバー 仮想サーバー 仮想サーバー
物理システム 仮想化されたシステム
ミドルウェア ミドルウェア
物理サーバー
(ハードウェア)
物理サーバー
(ハードウェア)
ストレージ
CPU
メモリ
ストレージ
CPU
メモリ
ストレージ
CPU
メモリ
物理サーバー
(ハードウェア)
ミドルウェア
アプリ アプリ アプリ
ミドルウェア ミドルウェア
OS
コンテナ・システム
物理サーバー
(ハードウェア)
ミドルウェア
アプリ アプリ アプリ
ミドルウェア ミドルウェア
ライブラリ ライブラリ ライブラリ
コンテナ・エンジン
(コンテナ管理システム)
コンテナ コンテナ コンテナ
カーネル
OS
OS
OS OS
OS
OS
1つのサーバー
として振る舞う
1つのプロセス
として振る舞う
74. コンテナの動作原理
74
OS
物理サーバー
(ハードウェア)
ミドルウェア
アプリ アプリ アプリ
ミドルウェア ミドルウェア
ライブラリ ライブラリ ライブラリ
コンテナ・エンジン
(コンテナ管理システム)
コンテナ コンテナ コンテナ
カーネル
システムコールはカーネルを共有
ハードウェア機器へのアクセス、割り込みの
可/不可の変更、プロセッサの特権状態の変
更、メモリ管理ユニットへのアクセスなど
動作環境の違い(ファイルシステムやライブ
ラリなど)再現するために必要
Linux系OS群には、RedHat Enterprise
Linux(RHEL)やCentOS、Ubuntuなど様々
なディストリビューション(各社の配付パッ
ケージ)が存する。
それらは、共通のカーネルを使用してるため、
アプリケーションの実行に必要なライブラリ
さえあれば、どのディストリビューションで
もアプリケーションを動作。
85. Chromebook
85
インターネット
データ
文書作成 表計算
プレゼン ・・・ ブラウザ
画面表示・入出力操作
通信
画面表示・入出力操作
通信
オフィス・アプリ
データ
文書作成 表計算
プレゼン ・・・
オフィス・アプリ
クラウドサービス Google G Suite、Office365など
ブラウザ
文書作成 表計算
プレゼン ・・・
PC / Windows・Mac OS など Chromebook / Chrome OS
87. ストレージ仮想化
ストレージの業界団体であるSNIA(Storage Network Industry Association)
による
「ストレージ仮想化技術の分類」
Disk Virtualization (ディスクの仮想化)
Block Virtualization (ブロックの仮想化)
File System Virtualization (ファイル・システムの仮想化)
File Virtualization (ファイルの仮想化)
Tape Virtualization(テープの仮想化)
90. SD-WAN(Software-Defined Wide Area Network)
90
IP-VPN インターネットVPN
(IPsec VPN) 4G LTE
専用回線
ソフトウェアによって統合・一括管理された仮想的なWAN
負荷分散、セキュリティ管理、アプリケーションによるネットワークの振り分けなど
一括管理
コントロール
オーケストレーション
SD-WANソリューション
拠点LAN 拠点LAN 拠点LAN 拠点LAN 拠点LAN 拠点LAN
エッジ端末 エッジ端末 エッジ端末 エッジ端末 エッジ端末 エッジ端末
GUI
97. サーバーの仮想化 / BCP対策・仮想マシン・レプリケーション
VM A VM B
物理
マシン
仮想化ソフトウェア
データ
AP AP
仮想マシン・イメージ
のレプリケーション
データの
レプリケーション
ネットワーク
VM A VM B
物理
マシン
仮想化ソフトウェア
データ
AP AP
クラウド基盤へのレプリケーション
VM A VM B
物理
マシン
仮想化ソフトウェア
データ
AP AP
個別基盤へのレプリケーション
107. リスク・マネージメントの考え方
107
事故の発生 事故の影響 受容
脅威 ぜい弱性 機密性
完全性
可用性
対策
受容レベル
説明責任
コスト 影響
どこまでやればよいのかを?
対策コスト負担
3要件への影響
業務の受容レベル
最適な組合せ
情報セキュリティの3項目
機密性:情報を盗まれない。
完全性:情報をデタラメな内容に書き換えられない。
可用性:システムを停止・破壊され業務継続を妨げられない。
114. ゼロ トラスト ネットワークとは何か
トラスト ネットワーク
ファイアウォールで守られたローカル・ネットワーク/VPN
信頼できなくなりました・・・
理由その1:ファイアウォールはIPアドレスとポート番号でフィルタリングしている
理由その2:攻撃はウェブやメール経由で行われている
理由その3:VPN経由で内部に侵入することが難しくなくなってきた
ゼロ
131. 本人認証の方法と多要素認証
知識認証
What you know?
あなたが知っている何か
所持認証
What you have?
あなたの持っている何か
生体認証
What you are?
あなた自身の何か
ID/パスワード など
ICカード
ワンタイムパスワード用トークン
携帯電話(デバイス)認証 など
指紋認証
顔認証
静脈パターン認証
虹彩認証
声紋認証
網膜認証 など
認証方式 方法例
組合せの例
1234
暗証番号
銀行カード
静脈認証
多要素認証
MFA/Multi Factor Authnetication
3要素のうち2つ以上を
正しく組み合わせること
137. FIDO2とSSO
137
FIDO2認証デバイス 認証サーバー クラウド・サービス
Azure ADなど
リスク軽減
パスワードの盗用という不正な手口が利用できなくなり、また生体情報などで本人確認の厳密化を行う
ため、リスクが軽減する。
コスト削減
「パスワードを覚える」「パスワードを複雑化する」「パスワードを絶えず変更する」「パスワード忘
れによる新しいパスワードの設定」などが不要となる。パスワードレスになれば、人がかける時間を削
減、漏洩による損害がなくなる。
ユーザーエクスペリエンス向上
「普段利用している端末ブラウザーでパスワードを保存しているため、他のPC端末やスマートフォンか
らサービスにアクセスしようと思ってもパスワードが思い出せない」「サービスごとに文字種別や桁数
の規則が違うため、何のサービスにどのパスワードを設定しているかすぐに忘れてしまう」「定期的な
変更で違うパスワードを設定したのはいいが、それを思い出せない」などがなくなり、利便性が向上し、
業務の生産性も向上する。
140. Microsoft 365Security Center での対応
140
標的型メール受信
未知のマルウェア、フィッシング
PC への
侵入行為
ID の窃取
侵入範囲の拡大
偵察
情報への
不正アクセス
被害発覚
PC への侵入検知・隔離
Microsoft Defender ATP
標的型メールの検出と排除
Office 365 ATP
自動的な分類・保護・追跡
Azure Information Protection
メールからの保護
デバイスの保護 ID の保護 (オンプレミス)
ID の保護 (クラウド) 機密情報の保護(監視)
機密情報の保護
なりすまし検知・防止 (クラウド)
Azure Active Directory Premium
なりすまし検知・防止 (オンプレミス)
Azure ATP
未許可アプリ、不正な操作の監視
Cloud App Security
セキュリティ統合監視:Microsoft 365 Security Center
141. Microsoftのセキュリティ・プラットフォーム
Azure AD
Azure Sentinel
Azure Sentinel : SIEM(Security Information and Event Management)。Office 365 ATP、Windows Defender ATP、Azure AD、Azure ATP、Microsoft
Cloud App Security、Azure Security Centerなどの脅威検知エンジンで収集したログ、サードパーティのセキュリティソリューションのログ、Deviceログ、Emailロ
グなどを1つに集め、ビルトインされた機械学習モデルやAIを使って脅威の検知を行う
Azure ADなどの様々なログから、機械学習モデル
やAIを使って脅威の検知を行う
ID およびアクセス管理サービス。様々なリソースへのサイ
ンインとアクセスを管理し、シングルサインオン環境を提供
Azure AD : ID およびアクセス管理サービスであり、リソースへのサインインとアクセスを支援。Microsoft Office 365、Azure portal、その他何千という SaaS アプ
リケーションなど、外部リソース。企業ネットワークとイントラネット上のアプリや、自分の組織で開発したクラウド アプリなどの内部リソース。
AD(オンサイト)
Microsoft
Defender ATP
(オンサイト)
Microsoft
Defender ATP
(モバイル) インターネット
クラウド・サービス
Microsoft Defender ATP(Advanced Threat Protection) : 企業のネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計された
プラットフォーム。
フェデレーション(認証連携)
同期
146. 何を評価するのか
146
ルール通りに作業はできている。しかし・・・
このやり方でビジネス・スピードに追従できているか?
生産性は向上しているのか?
だれかが「遅くまで仕事をする」ことで、効率の悪さが帳消しに
なっていないか?
締め切りを遅らせる「コミュニケーション」が多すぎないか?
無駄な会議、無駄なメールのやり取りなど・・・
確かに「作業」はしている。しかし・・・
評価の「指標」が明確になっているか?
「目的」は何か
その目的を達成するための「目標」は明確か
「目標」達成にはどれだけのことをやらなければならないのか
誰がやればどれくらいで終わらせることができるか
全体の作業工数は明確になっているか
「目的」は達成されたか?
151. こんなことになってはいないだろうか?
151
情報セキュリティ対策が効率や利便性の向上の障害に
なっていないか?
ノートPCを購入した → 危ないので持ち出し禁止
Office 365を契約した → 危ないので外部からの利用禁止
当初の導入目的は何だったのか。それが満たされているか
利用者に負担をかけない対策を行っているか?
不審なメールは開かない → 開いた人の責任
複雑なパスワードを定期変更する → パスワードをつけた人の責任
IT利用によってビジネスは成長しているか?
導入前と導入後で業績は変わらない
期待していた効果が得られない
業務効率は低下している
突発的な損失が起こる可能性を想定しているか?
セキュリティ事故や社内不正によって突発的な事故が起きた時の影響
について分からない、検討していない
事故対応(インシデントレスポンス)の準備はしていない
157. サイバー・セキュリティ対策の目的
157
どのような「心配事」があるかをリストアップする。
「リスク需要レベル」を明確にし、関係者と合意する。
重要度・緊急度を明確にして優先順位を決め対策する。
ITを最大限に活用するための最小限のセキュリティ
ITを活用する上での心配事を解消し業務の効率や利便性を高めること
サイバー・セキュリティの目的は「情報資産の保護」ではない。
リスクを適正に管理し業務の効率や利便性を高めること。
機密性:情報を盗まれないようにすること。
完全性:情報をデタラメな内容に書き換えられないようにすること。
可用性:システムを停止・破壊され業務継続を妨げられないようにすること。
安心・安全に、便利に効率よく仕事ができるようにする取り組み
問題を回避する対策:USBメモリー使用禁止
目的を達成する対策:安心・安全なファイル共有・交換サービスを提供
ファイルを受け渡したい
160. ISP ISP ISP ISP
インターネットの構造
海底ケーブル
バックボーン バックボーン
ラストマイル