マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

FgCFは、MSKKがコンサル内容を、汎化して一般公開しているものらしい。

スコープ

クラウド利用者の責任範囲自システムの設計・運用に関する安全性(具体例: ネットワーク閉域性の維持)自社固有のルールとしての検討が必要
自システムの基本的な安全性(具体例: CIS Controls への準拠)Azure Security Centerで実装
クラウド事業者の責任範囲ファシリティ(データセンタ)とサービスの基本的な安全性(具体例: ファシリティスタンダード)各種の規制対応状況などの情報を Web 提供

※ CIS Controlsは、NISTのSP800-53で定義されている事項のサブセットで、
  「最初に最低限行わなければならない」ことに着眼してまとめられたフレームワーク

課題

海外の成功事例

  • 適切な技術回帰により自社の Tech Intensity (技術を自ら実践的に使いこなす力)を高める
  • 競争領域に関しては、内製型アジャイル開発にシフトして、継続的に企業競争力を強化する
  • 非競争領域に関しては、アウトソースを活用しながらも、開発の主導権は自社できちんと握って適切な開発を進める

国内の課題

  • 閉鎖的な IT 環境 : 境界セキュリティを前提とした IT 環境
  • 新技術導入がしにくい社内ルール : 最新技術の積極活用を拒む過度なルール
  • IT 人材の技術力不足 : 最新技術を利活用できない・手を動かせないレガシー人材の増加

解決

  • IT インフラ全体を
  • 目先の話に留まらず、
    • セキュリティ強化
    • サーバ環境のクラウド化
    • リモートワーク対応
  • 企業全体の DX 推進の礎とする。

詳細

  • 以下のようなコンテンツを含んでいる。
  • ゼロトラスト型マルチクラウド環境を念頭に置いて、
    どのように OA 環境や DC 環境を構成すべきかという全体構成論
  • 仮想ネットワークや Azure AD、IaaS VM など、
    Azure 技術に関する実践的な視点からの解説
  • より具体的に IaaS VM や PaaS Web Apps, AKS などを利用して、
    どのようにシステムを構成すべきかのリファレンス・アーキテクチャ

歩き方

すべての利用者

先ず「ゼロトラスト型マルチクラウド IT 環境」を確認する。

共通技術

更に「Azure による仮想データセンタ構築手法 - 共通技術」として以下を学習する。

IT インフラエンジニア向け

開発エンジニア向け

※ 開発環境については OA 環境と同列に語れない。

ゼロトラスト

  • どこかの団体で規定されるような、正式な定義が存在しない(アイディアでありコンセプトの収集)
  • 長いサイクルによる複数の手段で成り立つ(それは20年、30年かかるインフラかもしれない)
  • コンプライアンスは事業継続において必要不可欠であるが戦略ではない。
    • セキュリティ実装と投資をしてコンプライアンスを守っても侵入され結果につながらなかった。
    • セキュリティOutcomeではなくビジネスOutcomeにフォーカスする。
      侵害があった場合、損害と失敗を引き起こす、守るべき資産を考えることが重要になる。

境界型ネットワーク(従来型)

境界型ネットワークの問題

  • 「中は安全、外は危険」という、ある意味では非常に雑な、バルク(セグメンテーション)保護
  • ...と言う事で、クラウド活用が進む中、境界型ネットワークがアンマッチに。
    コレを維持しようとすると、「境界」をいたずらに肥大化させるようなアプローチになる。
  • 閉域縛り:オンプレのみ。
  • みなしオンプレ:VPN接続+閉域と同じセキュリティ・ポリシ等(オンプレ延伸
  • みなし閉域:XaaSに、IPアドレス制限をかける
  • ソリューションとして
    ゼロトラスト型ネットワーク」がある。
    ゼロトラスト化で、以下が期待できる。
    • 社内 LAN が閉域でなくても一定の安全性を保てるようになる。
    • セキュリティ向上だけではなく IT のアジリティ向上にも役立つ。
    • それ以外にも、回線やSaaS化によるコスト最適化につながる。

ゼロトラスト型ネットワーク

トラストのベースは、主体(ID)の信頼性(正当性)

  • 「ネットワーク経路」は、一要素でしかない
    様々な要素を総合的に判断できる仕組み・仕掛を導入
  • クレデンシャル情報
    • パスワード
    • 多要素認証(生体認証・ワンタイムパスワード)
  • ユーザ・コンテキスト(ユーザ・プロファイル情報)
  • ロケーションに基づくポスチャ(認証後の振る舞い)

Azure AD条件付きアクセスによりこれが実現されている。

新しい論理的なセキュリティ境界を作り出す技術要素

  • 情報保護・統制
    • サーバ
    • デバイス
  • ログ収集・監査

マイクロ・セグメンテーション

  • ≒ 自宅Wi-Fiの隔離機能
    SSIDに接続している無線機器はInternet側とだけ通信可能になる。
  • 注意すべきポイント
    端末系とサーバ系とで
  • 粒度が異なる。
  • 端末系
    端末単位でセグメンテーション
  • サーバ系
    論理的(業務的)な意味で管理し易い業務システム
  • 阻害要因が異なる。
  • 端末系
    ...
  • サーバ系
    システムの重要性などに応じて、認証・認可制御の選択が必要。

ラテラル・ムーブメントの防止

  • 要素
  • 構成要素
    • ラテラル・ムーブメント = 水平攻撃・水平移動
    • マイクロ・セグメンテーション戦略による抑止
    • その他
      ・堅牢な認証基盤による主体(プリンシパル)の確実な特定(否認の抑止)
      ・SIEM(Azure Sentinelなど)による遠隔監視・制御の仕組み

参考

既存環境からの移行ステップ

現実的な

  • ロー・セキュアゾーンの拡張を原則として禁止

オンプレ延伸

※ IPアドレスの枯渇や、ラテラル・ムーブメントの防止などが課題

ゼロトラスト拡張

Hub & Spoke 構成の仮想ネットワークマイクロ・セグメンテーションした構成

  • DaaS活用
    ユーザは
    • ゼロトラスト・ゾーン → ハイ・セキュアゾーンの境界越えにDaaSを利用
    • ゼロトラスト・ゾーンで、ファット・クライアントを利用(→ ローカル活用

ローカル活用

ローカルから、ゼロトラスト・ゾーンへ侵入を許可する。

  • 経路
    • 強制VPN収容(新規VNETを作成)
    • ローカル・ブレイクアウト
      クラウドサービスのトラフィックを識別して
      企業拠点から直接インターネットに送出する方法

サーバ保護

野良クラウド(シャドウIT)は危ない。

  • 最低限
    • 課金モニタリング
    • 環境モニタリング

デバイス保護

BYODは危ない。

  • ハードニング
    EDR & TVM(Endpoint Protection、マルウェア対策的な。
    • Endpoint Detection & Response
    • Threat Vulnerability Management
  • 行動制限
    安全なサービスのみに接続先を制限
    • クラウドプロキシ型
    • 端末エージェント型
  • 行動ログ取得
    端末上での作業内容を記録
    • DaaS 録画型
    • 端末エージェント型

※ ローカルの完全な保護が難しいとなるので、以下の措置に行きやすい。

  • ローカルネットワークの制限
    • アウトバウンド:プロキシ適用
    • インバウンド:FW適用

微妙なゼロトラスト

ゼロトラストは、
「あらゆる要素を検証し信用を積み上げ、その信用に応じたアクセスを提供」
と言うコンセプトなので、単体での対策は≒「微妙なゼロトラスト」となる。

  • 何も信用しないゼロトラスト
    =思いつくセキュリティ施策を全部やる
    単に今までのセキュリティ施策を全部重ねがけしただけ。
  • マイクロ・セグメンテーションでゼロトラストを実現する
    =サーバ単位にネットワークを隔離してハードニング
    (そしてネットワーク監視ソリューションを売り込む)
  • クラウドプロキシによりゼロトラストを実現する
    =単にネットワークまわりの通信制御の面倒ごとを 1 box 化しただけ
  • 動的認可ポリシーエンジンでゼロトラストを実現する
    • 動的認可ポリシーエンジン=信用スコアを用いた動的な認可の制御
    • =考え方としては正しいものの製品が追い付いていない場合には絵に描いた餅

参考

とあるコンサルタントのつぶやき

FgCF (Financial-grade Cloud Fundamentals) のご紹介

http://nakama.azurewebsites.net/?p=78

おうちゼロトラストから学ぶ実践的セキュリティ強化

シン・クライアント

  • VDIやDaaS等のソリューションがある。
  • ハイ・セキュアゾーンへの入り口に必要。
  • ユーザは
    • ゼロトラスト・ゾーンに接続し、
    • ハイ・セキュアゾーンへはシン・クライアントで入る。

Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-04-26 (月) 20:12:31 (93d)