「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- VDC : Virtual Data Center(仮想データセンター)
- 製品・サービス名ではなく、
デザイン・パターン(リファレンス・アーキテクチャ)
- オンプレ延展・延伸の意味で使用される。
- 簡単に言うと、オンプレとVPN接続されたVNETなど。
- 構成設定変更が簡単かつ素早くできるが、
不十分な知識だと極めて危険であり、
正しい知識を持って正しく使う必要がある。
詳細 †
リスクとアプローチ †
リスク †
- リスク
- 外部からの攻撃、不正アクセス
- マルウェア、不正コード混入
- オペミス、オペレータ不正(最も多い事故)
- 影響
- サービス停止、乗っ取り
- 情報奪取、情報漏洩、情報流出(、高額請求
アプローチ †
初期構築時と、構築後の構成変更とを分けて考える。
- 初期構築時
多種のリソース作成が必要、比較的強い権限で作業しないと大変
- 構築後・運用中
限定的な変更が多いため、限られた権限で作業した方が安全
必要な対策 †
- 作業内容の安全性の確認
- その作業が技術的に正しく安全なものか?
- 定義の分類
- 入力制御(インバウンド)
・呼び出し制限
・経路開放
・認証・認可
・攻撃検知
- ハードニング(クライアント or サーバ)
・不要機能を無効化
・機能無効化
・高額請求抑止
・マルウェア対策
・透過的暗号化
- 出力制御(アウトバウンド)
・外部呼び出し制限
・経路制限
・不正検知
- 不正作業の防止・牽制
- 過失による誤作業、故意による不正作業をどう防ぐか?
- 定義の分類
- 事前検査(→ ASC + 自作ツール
・作業内容を事前に検査
・OK なもののみ実施
- 権限付与(→ PIM)
・特権の剥奪
・最小権限を Just-in-Time で付与
- 環境監査(→ ASC + 自作ツール
不正な構成変更が行われていないかを確認
自動化 †
- 必要性とメリット
- 環境構築・変更作業の自動化
手作業ではなく、ARM テンプレートやスクリプトを使う
- 構成チェックの自動化
目視ではなくツールによって構成の妥当性チェックを行う
ゲートウェイ †
DNS, DHCP †
認証・認可 †
セキュリティ †
参考 †
Azureの... †
Microsoft Docs †
nakama †
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法
※ 体系はコチラ、pwdはコチラ
VDC 構築の進め方の全体像 †
(共通技術 > VDC 構築の進め方の全体像)
IaaS の構成方法中にも同様のトピックが含まれる。
Tags: :クラウド, :Azure, :セキュリティ, :通信技術
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
