「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
FgCFは、MSKKがコンサル内容を、汎化して一般公開しているものらしい。
スコープ †
クラウド利用者の責任範囲 | 自システムの設計・運用に関する安全性(具体例: ネットワーク閉域性の維持) | 自社固有のルールとしての検討が必要 |
自システムの基本的な安全性(具体例: CIS Controls への準拠) | Azure Security Centerで実装 |
クラウド事業者の責任範囲 | ファシリティ(データセンタ)とサービスの基本的な安全性(具体例: ファシリティスタンダード) | 各種の規制対応状況などの情報を Web 提供 |
※ CIS Controlsは、NISTのSP800-53で定義されている事項のサブセットで、
「最初に最低限行わなければならない」ことに着眼してまとめられたフレームワーク
課題 †
海外の成功事例 †
- 適切な技術回帰により自社の Tech Intensity (技術を自ら実践的に使いこなす力)を高める
- 競争領域に関しては、内製型アジャイル開発にシフトして、継続的に企業競争力を強化する
- 非競争領域に関しては、アウトソースを活用しながらも、開発の主導権は自社できちんと握って適切な開発を進める
国内の課題 †
- 閉鎖的な IT 環境 : 境界セキュリティを前提とした IT 環境
- 新技術導入がしにくい社内ルール : 最新技術の積極活用を拒む過度なルール
- IT 人材の技術力不足 : 最新技術を利活用できない・手を動かせないレガシー人材の増加
解決 †
- 目先の話に留まらず、
- セキュリティ強化
- サーバ環境のクラウド化
- リモートワーク対応
詳細 †
- ゼロトラスト型マルチクラウド環境を念頭に置いて、
どのように OA 環境や DC 環境を構成すべきかという全体構成論
- 仮想ネットワークや Azure AD、IaaS VM など、
Azure 技術に関する実践的な視点からの解説
- より具体的に IaaS VM や PaaS Web Apps, AKS などを利用して、
どのようにシステムを構成すべきかのリファレンス・アーキテクチャ
歩き方 †
すべての利用者 †
先ず「ゼロトラスト型マルチクラウド IT 環境」を確認する。
共通技術 †
更に「Azure による仮想データセンタ構築手法 - 共通技術」として以下を学習する。
IT インフラエンジニア向け †
開発エンジニア向け †
※ 開発環境については OA 環境と同列に語れない。
ゼロトラスト †
- どこかの団体で規定されるような、正式な定義が存在しない(アイディアでありコンセプトの収集)
- 長いサイクルによる複数の手段で成り立つ(それは20年、30年かかるインフラかもしれない)
- コンプライアンスは事業継続において必要不可欠であるが戦略ではない。
- セキュリティ実装と投資をしてコンプライアンスを守っても侵入され結果につながらなかった。
- セキュリティOutcomeではなくビジネスOutcomeにフォーカスする。
侵害があった場合、損害と失敗を引き起こす、守るべき資産を考えることが重要になる。
境界型ネットワーク(従来型) †
境界型ネットワークの問題
- 「中は安全、外は危険」という、ある意味では非常に雑な、バルク(セグメンテーション)保護
- ...と言う事で、クラウド活用が進む中、境界型ネットワークがアンマッチに。
コレを維持しようとすると、「境界」をいたずらに肥大化させるようなアプローチになる。
- 閉域縛り:オンプレのみ。
- みなしオンプレ:VPN接続+閉域と同じセキュリティ・ポリシ等(オンプレ延展・延伸)
- みなし閉域:XaaSに、IPアドレス制限をかける
- ソリューションとして
「ゼロトラスト型ネットワーク」がある。
ゼロトラスト化で、以下が期待できる。
- 社内 LAN が閉域でなくても一定の安全性を保てるようになる。
- セキュリティ向上だけではなく IT のアジリティ向上にも役立つ。
- それ以外にも、回線やSaaS化によるコスト最適化につながる。
トラストのベースは、主体(ID)の信頼性(正当性) †
- 「ネットワーク経路」は、一要素でしかない
様々な要素を総合的に判断できる仕組み・仕掛を導入
- クレデンシャル情報
- パスワード
- 多要素認証(生体認証・ワンタイムパスワード)
- ユーザ・コンテキスト(ユーザ・プロファイル情報)
- ロケーションに基づくポスチャ(認証後の振る舞い)
※ Azure ADの条件付きアクセスによりこれが実現されている。
新しい論理的なセキュリティ境界を作り出す技術要素 †
マイクロ・セグメンテーション †
- ≒ 自宅WiFi?の隔離機能
SSIDに接続している無線機器はInternet側とだけ通信可能になる。
- サーバ系
論理的(業務的)な意味で管理し易い業務システム
- 端末系
...
- サーバ系
システムの重要性などに応じて、認証・認可制御の選択が必要。
ラテラル・ムーブメントの防止 †
- 原点
- 近代的なセキュリティを考える上では最も重要(原点)
- ラテラル・ムーブメントの防止
- 構成要素
- ラテラル・ムーブメント = 水平攻撃・水平移動
- マイクロ・セグメンテーション戦略による抑止
- その他
・堅牢な認証基盤による主体(プリンシパル)の確実な特定(否認の抑止)
・セキュリティログ収集基盤(SIEM)などによる遠隔監視・制御の仕組み
既存環境からの移行ステップ †
現実的な †
オンプレ延展・延伸 †
※ IPアドレスの枯渇や、ラテラル・ムーブメントの防止などが課題
ゼロトラスト拡張 †
Hub & Spoke 構成の仮想ネットワークでマイクロ・セグメンテーションした構成
- DaaS活用
ユーザは
- ゼロトラスト・ゾーン → ハイ・セキュアゾーンの境界越えにDaaSを利用
- ゼロトラスト・ゾーンで、ファット・クライアントを利用(→ ローカル活用)
ローカル活用 †
ローカルから、ゼロトラスト・ゾーンへ侵入を許可する。
- 経路
- 強制VPN収容(新規VNETを作成)
- ローカル・ブレイクアウト
クラウドサービスのトラフィックを識別して
企業拠点から直接インターネットに送出する方法
サーバ保護 †
野良クラウド(シャドウIT)は危ない。
デバイス保護 †
BYODは危ない。
- ハードニング
EDR & TVM(Endpoint Protection、マルウェア対策的な。
- Endpoint Detection & Response
- Threat Vulnerability Management
※ ローカルの完全な保護が難しいとなるので、以下の措置に行きやすい。
- ローカルネットワークの制限
- アウトバウンド:プロキシ適用
- インバウンド:FW適用
微妙なゼロトラスト †
ゼロトラストは、
「あらゆる要素を検証し信用を積み上げ、その信用に応じたアクセスを提供」
と言うコンセプトなので、単体での対策は≒「微妙なゼロトラスト」となる。
- 何も信用しないゼロトラスト
=思いつくセキュリティ施策を全部やる
単に今までのセキュリティ施策を全部重ねがけしただけ。
- マイクロ・セグメンテーションでゼロトラストを実現する
=サーバ単位にネットワークを隔離してハードニング
(そしてネットワーク監視ソリューションを売り込む)
- クラウドプロキシによりゼロトラストを実現する
=単にネットワークまわりの通信制御の面倒ごとを 1 box 化しただけ
- 動的認可ポリシーエンジンでゼロトラストを実現する
- 動的認可ポリシーエンジン=信用スコアを用いた動的な認可の制御
- =考え方としては正しいものの製品が追い付いていない場合には絵に描いた餅
参考 †
とあるコンサルタントのつぶやき †
FgCF (Financial-grade Cloud Fundamentals) のご紹介 †
http://nakama.azurewebsites.net/?p=78
- ユーザは
- ゼロトラスト・ゾーンに接続し、
- ハイ・セキュアゾーンへはシン・クライアントで入る。
Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure