「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure Subscriptionの管理@エンプラ]] * 目次 [#v53c60a8] #contents *概要 [#n44a8d8f] FgCFは、MSKKがコンサル内容を、汎化して一般公開しているものらしい。 **課題 [#iec2ea95] ***海外の成功事例 [#ffc2815d] -適切な技術回帰により自社の Tech Intensity (技術を自ら実践的に使いこなす力)を高める -競争領域に関しては、内製型アジャイル開発にシフトして、継続的に企業競争力を強化する -非競争領域に関しては、アウトソースを活用しながらも、開発の主導権は自社できちんと握って適切な開発を進める ***国内の課題 [#t3daae9b] -閉鎖的な IT 環境 : 境界セキュリティを前提とした IT 環境 -新技術導入がしにくい社内ルール : 最新技術の積極活用を拒む過度なルール -IT 人材の技術力不足 : 最新技術を利活用できない・手を動かせないレガシー人材の増加 **解決 [#abbe51ec] -すべての端末・サーバを[[マイクロ・セグメンテーション>#cd279555]]し、~ ユーザから見て、SSOで、どの端末から、どこのサーバへも行けるようにする。 -以下のようなコンテンツを含んでいる。 --ゼロトラスト型マルチクラウド環境を念頭に置いて、どのように OA 環境やデータセンタ環境を構成すべきかという全体構成論 --仮想ネットワークや Azure AD、IaaS VM など、Azure 技術に関する実践的な視点からの解説 --より具体的に IaaS VM や PaaS Web Apps, AKS などを利用してどのようにシステムを構成すべきかのリファレンス・アーキテクチャ *詳細 [#ia88e622] GitHub 上にインデックス・ページがある。 -GitHub - nakamacchi/fgcf: Financial-grade Cloud Fundamentals~ https://github.com/nakamacchi/fgcf **歩き方 [#rb4080e7] ***すべての利用者 [#q9cd390a] -まず「ゼロトラスト型マルチクラウド IT 環境入門」を確認する -さらに、共通技術として以下を学習する ***VDC 構築の進め方の全体像 [#f8093d0b] -ネットワーク基盤の構築方法(VNET, ARM テンプレート) -認証基盤の構築方法(Azure AD) ***IT インフラエンジニアの方々 [#u23eb58c] -IaaS の構成方法 -DaaS の構成方法 ***開発エンジニアの方々 [#n5769e5a] -PaaS の構成方法 -DevOps の構成方法 **ゼロトラストセキュリティ [#ce985e9f] -アイディアでありコンセプトの収集である。 -長いサイクルによる複数の手段で成り立つ。 -コンプライアンスは事業継続において必要不可欠であるが戦略ではない。 --セキュリティ実装と投資をしてコンプライアンスを守っても侵入され結果につながらなかった。 --セキュリティOutcomeではなくビジネスOutcomeにフォーカスする。~ 侵害があった場合、損害と失敗を引き起こす、守るべき資産を考えることが重要になる。 ***定義 [#cf7fb429] -戦略的にネットワーク内部の[[ラテラル・ムーブメントを防ぐ>#o896f5d7]]ための考え方 --[[マイクロ・セグメンテーション>#cd279555]]によるリバレッジ(増幅効果)である。 --これは、詳細なエンフォースメント(法執行)により実行される。 -そのトラストのベースは --ユーザ・コンテキスト(ユーザ・プロファイル情報)であり、 --データアクセス制御、ロケーションに基づくポスチャ(認証後の振る舞い)による。 ***問題 [#c31b5ae3] 境界型ネットワークセキュリティの問題 -「中は安全、外は危険」という、ある意味では非常に雑な、バルク保護 -と言う事で、クラウド活用が進む中、境界型ネットワークセキュリティがアンマッチに。~ コレを維持しようとすると、「境界」をいたずらに肥大化させるようなアプローチになる。 --閉域縛り:オンプレのみ。 --みなし閉域:XaaSに、IPアドレス制限をかける --みなしオンプレ:VPN接続+閉域と同じセキュリティ・ポリシ等 -ソリューションとして「[[ゼロトラスト型ネットワーク>#v848f6d2]]」がある。~ ゼロトラスト化で、以下が期待できる。 --社内 LAN が閉域でなくても一定の安全性を保てるようになる。 --セキュリティ向上だけではなく IT のアジリティ向上にも役立つ。 --それ以外にも、回線やSaaS化によるコスト最適化につながる。 ***ゼロトラスト型ネットワーク [#v848f6d2] -ゼロトラストは、元々ネットワークに関する考え方(原点) -信頼しないことを前提とし、すべてのトラフィックを検査、ログ取得を行っていく。 -現在では「信頼(トラスト)の与え方」全般に関する考え方へと昇華している。 ***マイクロ・セグメンテーション [#cd279555] -[[ゼロトラスト型ネットワーク>#v848f6d2]]書籍の中で語られている~ [[ラテラル・ムーブメントを防ぐ>#o896f5d7]]セグメンテーション戦略 -≒ 自宅WiFiの隔離機能~ SSIDに接続している無線機器はInternet側とだけ通信可能になる。 -注意すべきポイント~ 端末系とサーバ系とで --粒度が異なる。 ---端末系~ 端末単位でセグメンテーション ---サーバ系~ 論理的(業務的)な意味で管理し易い業務システム --阻害要因が異なる。 ---端末系~ ... ---サーバ系~ システムの重要性などに応じて、認証・認可制御の選択が必要。 ***ラテラル・ムーブメントの防止 [#o896f5d7] ラテラル・ムーブメント = 水平攻撃・水平移動 -[[マイクロ・セグメンテーション>#cd279555]]戦略によるラテラル・ムーブメントの抑止 -その他、 --堅牢な認証基盤による主体(プリンシパル)の確実な特定(否認の抑止) --セキュリティログ収集基盤(SIEM)などによる遠隔監視・制御の仕組み -技術要素~ ネットワーク境界とは異なる、新しい論理的なセキュリティ境界を作り出す技術要素 --ID 管理・権限制御 --デバイス・サーバ保護 --情報保護・統制 --ログ収集・監査 **既存環境からの移行ステップ [#s5027fbf] ***現実的な戦略 [#fdd21c6c] ハイセキュアゾーンという考え方を導入 -ハイセキュアゾーンを隔離して、ゼロトラスト化を推進する。 -ハイセキュアゾーン(≒オンプレ)も段階的にゼロトラスト化する。 -これにより、全体が閉域でないと安全性を担保できない、という状態から脱却できる。 ***現実的な構成 [#j3553e25] -ローセキュアゾーンの拡張を原則として禁止 -新規開発システムはゼロトラスト型で開発 -ユーザはゼロトラスト型 FAT 端末を利用し、境界越えに DaaS を利用~ (ユーザはゼロトラストゾーンに接続し、ハイセキュアゾーンへは DaaS で入る) *参考 [#mfb39aad] **とあるコンサルタントのつぶやき [#l080a86e] -FgCF (Financial-grade Cloud Fundamentals) のご紹介~ http://nakama.azurewebsites.net/?p=78 -「おうちゼロトラスト」 --...から学ぶ実践的セキュリティ強化~ http://nakama.azurewebsites.net/?p=17 --...Part 1.「おうちゼロトラスト」に学ぶゼロトラストセキュリティの基礎~ http://nakama.azurewebsites.net/?p=65 ---- Tags: [[:クラウド]], [[:Azure]], [[:セキュリティ]], [[:通信技術]], [[:セキュリティ]], [[:認証基盤]]