Azure Virtual Data Center

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• VDC : Virtual Data Center（仮想データセンター）

• 製品・サービス名ではなく、
  デザイン・パターン（リファレンス・アーキテクチャ）
  • オンプレ延伸の意味で使用される。
  • 簡単に言うと、オンプレとVPN接続されたVNETなど。

• 構成設定変更が簡単かつ素早くできるが、
  不十分な知識だと極めて危険であり、
  正しい知識を持って正しく使う必要がある。
  

詳細 †

リスクとアプローチ †

リスク †

• リスク
  • 外部からの攻撃、不正アクセス
  • マルウェア、不正コード混入
  • オペミス、オペレータ不正（最も多い事故）

• 影響
  • サービス停止、乗っ取り
  • 情報奪取、情報漏洩、情報流出（、高額請求

• 評価

• 信頼度
  ベンダー ＞ 開発者 ＞ 運用担当者

• ゼロリスク追求
  低生産性・高コストに

※ 参考：PMP：計画 - リスク - 開発基盤部会 Wiki

• 対応

• Defence in Depth
  多層防衛（複数レイヤで堅牢化するのが一般的だが）

• Weakest Link
  • 「鎖の全体強度は、個々のリングの平均ではない。」の意味。
  • ≒ 足を引っ張る（脆弱なレイヤを突破されたらオシマイ）
  • 前述の「信頼度」から、全体のバランスを取る。
  • ゼロトラストの例で言えば、従来型の境界型ネットワーク
    ・Web AppsとSQL DB感を閉域化する意味は、この間の通信のハックの防止。
    ・このハックを成功させるより、App脆弱性を突いたり、内部侵入した方が簡単。

アプローチ †

初期構築時と、構築後の構成変更とを分けて考える。

• 初期構築時
  多種のリソース作成が必要、比較的強い権限で作業しないと大変

• 構築後・運用中
  限定的な変更が多いため、限られた権限で作業した方が安全

必要な対策 †

• 作業内容の安全性の確認

• その作業が技術的に
  正しく安全なものか？

• 定義の分類

• 入力制御（インバウンド）
  ・呼び出し制限
  ・経路開放
  ・認証・認可
  ・攻撃検知

• ハードニング（クライアント or サーバ）
  ・不要機能を無効化
  ・機能無効化
  ・高額請求抑止
  ・マルウェア対策
  ・透過的暗号化

• 出力制御（アウトバウンド）
  ・外部呼び出し制限
  ・経路制限
  ・不正検知

• 不正作業の防止・牽制

• 過失による誤作業
  故意による不正作業
  をどう防ぐか？

• 定義の分類

• 事前検査（→ ASC + 自作ツール
  ・パラメタ・シートを作成
  ・事前にチェックしてから変更を実施
  ・定常的な保守作業を一覧化
  ・一覧の作業をスクリプト化して自動化

• 権限付与（→ PIM）
  ・特権の剥奪
  ・最小権限を Just-in-Time で付与
  ・カスタムロールの作成要否や牽制方法を検討

• 環境監査（→ ASC + 自作ツール
  不正な構成変更が行われていないかを確認

自動化 †

• 必要性とメリット
  • 環境構築・変更作業の自動化
    手作業ではなく、ARM テンプレートやスクリプトを使う
  • 構成チェックの自動化
    目視ではなくツールによって構成の妥当性チェックを行う

• 利用可能な技術
  • 環境構築・変更作業の自動化
    • 変更スクリプト
      （Azureのシェル）
    • ARM テンプレート

• 構成チェックの自動化
  • Azure Policy、Azure Security Center
  • 環境チェックツールの作り込み

認証・認可 †

Azure Active Directory †

ネットワーク †

VNETに接続する。 †

• Azure ExpressRoute
• Azure Peering Service
• VPN Gateway
• 仮想ネットワーク ピアリング
• Azure Private Link / Endpoint

ゲートウェイ †

• UDR

• Azure Firewall

• ロードバランサ

• Azure Application Gateway（WAF）

• Azure Service Endpoint

• Azure Private Link / Endpoint

• エッジ L3/L4
  • Azure DDoS Protection
  • Azure Front Door（AFD）

DHCPとDNS †

Azure Bastion †

ゼロトラストVDC †

VDCは基本、オンプレ延伸であるものの、

Weakest Linkで言及したように、

• 境界型ネットワークの危険性から、
• ゼロトラスト型ネットワークの概念が導入された、

ゼロトラストVDCの重要性が高まっている。

サービス †

セキュア化とロックダウン。

仮想ネットワーク †

ストレージ †

仮想マシン †

Firewall †

Backup †

監視系 †

セキュリティ †

Azure AD Privileged Identity Management (PIM) †

Azure Security Center †

Azure Blueprints †

Azure関連 †

仮想ネットワーク、仮想マシン †

Azureによる基盤開発法 †

高可用性設計、監視と管理 †

Azureのアクセス制御と権限 †

参考 †

• Azure Virtual Data Centerで学ぶ 企業向けAzureネットワーク設計
  https://www.slideshare.net/ToruMakabe/azure-virtual-data-center-azure

Microsoft Docs †

• Azure 仮想データセンター - Cloud Adoption Framework
  https://docs.microsoft.com/ja-jp/azure/cloud-adoption-framework/reference/vdc

• Azure 仮想データセンター:概念
  https://raw.githubusercontent.com/microsoft/CloudAdoptionFramework/master/archive/vdc/Azure_Virtual_Datacenter.pdf
• 仮想データセンター:ネットワーク パースペクティブ - Cloud Adoption Framework
  https://docs.microsoft.com/ja-jp/azure/cloud-adoption-framework/reference/networking-vdc
• Azure 仮想データセンター:リフトアンドシフト ガイド
  https://raw.githubusercontent.com/microsoft/CloudAdoptionFramework/master/archive/vdc/Azure_Virtual_Datacenter_Lift_and_Shift_Guide.pdf

nakama †

FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法

※ 体系はコチラ、pwdはコチラ

VDC 構築の進め方の全体像 †

（共通技術 > VDC 構築の進め方の全体像）

• ppt
  https://nakama.blob.core.windows.net/mskk/2020_02_05_FgCF_AzureVDC_ProjectPlanOverview_v0.04.zip

IaaS の構成方法 †

IaaS の構成方法中にも同様のトピックが含まれる。

Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure