「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- VDC : Virtual Data Center(仮想データセンター)
- 製品・サービス名ではなく、
デザイン・パターン(リファレンス・アーキテクチャ)
- オンプレ延展・延伸の意味で使用される。
- 簡単に言うと、オンプレとVPN接続されたVNETなど。
- 構成設定変更が簡単かつ素早くできるが、
不十分な知識だと極めて危険であり、
正しい知識を持って正しく使う必要がある。
詳細 †
リスクとアプローチ †
リスク †
- リスク
- 外部からの攻撃、不正アクセス
- マルウェア、不正コード混入
- オペミス、オペレータ不正(最も多い事故)
- 影響
- サービス停止、乗っ取り
- 情報奪取、情報漏洩、情報流出(、高額請求
※ 参考:PMP:計画 - リスク - 開発基盤部会 Wiki
- Defence in Depth
多層防衛(複数レイヤで堅牢化するのが一般的だが)
- Weakest Link
- 「鎖の全体強度は、個々のリングの平均ではない。」の意味。
- ≒ 足を引っ張る(脆弱なレイヤを突破されたらオシマイ)
- 前述の「信頼度」から、全体のバランスを取る。
- ゼロトラストの例で言えば、従来型の境界型ネットワーク
・Web AppsとSQL DB感を閉域化する意味は、この間の通信のハックの防止。
・このハックを成功させるより、App脆弱性を突いたり、内部侵入した方が簡単。
アプローチ †
初期構築時と、構築後の構成変更とを分けて考える。
- 初期構築時
多種のリソース作成が必要、比較的強い権限で作業しないと大変
- 構築後・運用中
限定的な変更が多いため、限られた権限で作業した方が安全
必要な対策 †
- 入力制御(インバウンド)
・呼び出し制限
・経路開放
・認証・認可
・攻撃検知
- ハードニング(クライアント or サーバ)
・不要機能を無効化
・機能無効化
・高額請求抑止
・マルウェア対策
・透過的暗号化
- 出力制御(アウトバウンド)
・外部呼び出し制限
・経路制限
・不正検知
- 過失による誤作業
故意による不正作業
をどう防ぐか?
- 事前検査(→ ASC + 自作ツール
・パラメタ・シートを作成
・事前にチェックしてから変更を実施
・定常的な保守作業を一覧化
・一覧の作業をスクリプト化して自動化
- 権限付与(→ PIM)
・特権の剥奪
・最小権限を Just-in-Time で付与
・カスタムロールの作成要否や牽制方法を検討
- 環境監査(→ ASC + 自作ツール
不正な構成変更が行われていないかを確認
自動化 †
- 必要性とメリット
- 環境構築・変更作業の自動化
手作業ではなく、ARM テンプレートやスクリプトを使う
- 構成チェックの自動化
目視ではなくツールによって構成の妥当性チェックを行う
認証・認可 †
ゲートウェイ †
DNS, DHCP †
サービス †
セキュア化とロックダウン。
オンプレ延展・延伸のVDCは、Hub & Spoke 構成で。
セキュリティ †
Azure関連 †
参考 †
Microsoft Docs †
nakama †
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法
※ 体系はコチラ、pwdはコチラ
VDC 構築の進め方の全体像 †
(共通技術 > VDC 構築の進め方の全体像)
IaaS の構成方法中にも同様のトピックが含まれる。
Tags: :クラウド, :Azure, :セキュリティ, :通信技術
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
