「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure Subscriptionの管理@エンプラ]] * 目次 [#v53c60a8] #contents *概要 [#n44a8d8f] FgCFは、MSKKがコンサル内容を、汎化して一般公開しているものらしい。 **課題 [#iec2ea95] ***海外の成功事例 [#ffc2815d] -適切な技術回帰により自社の Tech Intensity (技術を自ら実践的に使いこなす力)を高める -競争領域に関しては、内製型アジャイル開発にシフトして、継続的に企業競争力を強化する -非競争領域に関しては、アウトソースを活用しながらも、開発の主導権は自社できちんと握って適切な開発を進める ***国内の課題 [#t3daae9b] -閉鎖的な IT 環境 : 境界セキュリティを前提とした IT 環境 -新技術導入がしにくい社内ルール : 最新技術の積極活用を拒む過度なルール -IT 人材の技術力不足 : 最新技術を利活用できない・手を動かせないレガシー人材の増加 **解決 [#abbe51ec] -IT インフラ全体を[[ゼロトラストセキュリティ>#ce985e9f]]・モデルにモダナイゼーションする --単なる ---セキュリティ強化 ---サーバ環境のクラウド化 ---リモートワーク対応 --といった目先の話に留まらず、~ 企業全体の DX 推進の礎(いしずえ)となる。 -すべての端末・サーバを[[マイクロ・セグメンテーション>#cd279555]]し、~ ユーザから見て、SSOで、どの端末から、どこのサーバへも行けるようにする。 -以下のようなコンテンツを含んでいる。 --ゼロトラスト型マルチクラウド環境を念頭に置いて、~ どのように OA 環境やデータセンタ環境を構成すべきかという全体構成論 --仮想ネットワークや [[Azure AD>Microsoft Azure Active Directory]]、IaaS VM など、~ Azure 技術に関する実践的な視点からの解説 --より具体的に IaaS VM や PaaS Web Apps, AKS などを利用して、~ どのようにシステムを構成すべきかのリファレンス・アーキテクチャ *詳細 [#ia88e622] GitHub 上にインデックス・ページがある。 -GitHub - nakamacchi/fgcf: Financial-grade Cloud Fundamentals~ https://github.com/nakamacchi/fgcf **歩き方 [#rb4080e7] ***すべての利用者 [#q9cd390a] 先ず「ゼロトラスト型マルチクラウド IT 環境」を確認する。 -ゼロトラスト入門編 -OA 環境設計 -Azure Well-Architected Framework ***共通技術 [#f8093d0b] 更に「Azure による仮想データセンタ構築手法 - 共通技術」として以下を学習する。 -VDC 構築の進め方の全体像 -ネットワーク基盤の構築方法(VNET, ARM テンプレート) -認証基盤の構築方法([[Azure AD>Microsoft Azure Active Directory]]) ***IT インフラエンジニアの方々 [#u23eb58c] Azure による仮想データセンタ構築手法 -IaaS の構成方法 -[[DaaS>#a23e9f1b]] の構成方法 ***開発エンジニアの方々 [#n5769e5a] Azure による仮想データセンタ構築手法 -PaaS の構成方法 -DevOps の構成方法 **ゼロトラストセキュリティ [#ce985e9f] -どこかの団体で規定されるような、正式な定義が存在しない(アイディアでありコンセプトの収集) -長いサイクルによる複数の手段で成り立つ(それは20年、30年かかるインフラかもしれない) -コンプライアンスは事業継続において必要不可欠であるが戦略ではない。 --セキュリティ実装と投資をしてコンプライアンスを守っても侵入され結果につながらなかった。 --セキュリティOutcomeではなくビジネスOutcomeにフォーカスする。~ 侵害があった場合、損害と失敗を引き起こす、守るべき資産を考えることが重要になる。 ***定義 [#cf7fb429] -戦略的にネットワーク内部の[[ラテラル・ムーブメントを防ぐ>#o896f5d7]]ための考え方 --[[マイクロ・セグメンテーション>#cd279555]]によるリバレッジ(増幅効果)である。 --これは、詳細なエンフォースメント(法執行)により実行される。 -そのトラストのベースは --ユーザ・コンテキスト(ユーザ・プロファイル情報)であり、 --データアクセス制御、ロケーションに基づくポスチャ(認証後の振る舞い)による。 ***境界型ネットワーク [#c31b5ae3] 境界型ネットワークの問題 -「中は安全、外は危険」という、ある意味では非常に雑な、バルク(セグメンテーション)保護 -...と言う事で、クラウド活用が進む中、境界型ネットワークがアンマッチに。~ コレを維持しようとすると、「境界」をいたずらに肥大化させるようなアプローチになる。 --閉域縛り:オンプレのみ。 --みなしオンプレ:VPN接続+閉域と同じセキュリティ・ポリシ等(延伸、展延) --みなし閉域:XaaSに、IPアドレス制限をかける -ソリューションとして~ 「[[ゼロトラスト型ネットワーク>#v848f6d2]]」がある。~ ゼロトラスト化で、以下が期待できる。 --社内 LAN が閉域でなくても一定の安全性を保てるようになる。 --セキュリティ向上だけではなく IT のアジリティ向上にも役立つ。 --それ以外にも、回線やSaaS化によるコスト最適化につながる。 ***ゼロトラスト型ネットワーク [#v848f6d2] -ゼロトラストは、元々ネットワークに関する考え方(原点) -信頼しないことを前提とし、すべてのトラフィックを検査、ログ取得を行っていく。 -現在では「信頼(トラスト)の与え方」全般に関する考え方へと昇華している。 ***マイクロ・セグメンテーション [#cd279555] -[[ゼロトラスト型ネットワーク>#v848f6d2]]書籍の中で語られている~ [[ラテラル・ムーブメントを防ぐ>#o896f5d7]]セグメンテーション戦略 -≒ 自宅WiFiの隔離機能~ SSIDに接続している無線機器はInternet側とだけ通信可能になる。 -注意すべきポイント~ 端末系とサーバ系とで --粒度が異なる。 ---端末系~ 端末単位でセグメンテーション ---サーバ系~ 論理的(業務的)な意味で管理し易い業務システム --阻害要因が異なる。 ---端末系~ ... ---サーバ系~ システムの重要性などに応じて、認証・認可制御の選択が必要。 ***ラテラル・ムーブメントの防止 [#o896f5d7] -原点 --近代的なセキュリティを考える上では最も重要(原点) --ラテラル・ムーブメント → [[マイクロ・セグメンテーション>#cd279555]] → [[ゼロトラスト型ネットワーク>#v848f6d2]] -要素 --構成要素 ---ラテラル・ムーブメント = 水平攻撃・水平移動 ---[[マイクロ・セグメンテーション>#cd279555]]戦略による抑止 ---その他~ ・堅牢な認証基盤による主体(プリンシパル)の確実な特定(否認の抑止)~ ・セキュリティログ収集基盤(SIEM)などによる遠隔監視・制御の仕組み --[[技術要素>#t28536c0]] **既存環境からの移行ステップ [#s5027fbf] ***現実的な [#fdd21c6c] -戦略~ ハイ・セキュアゾーン(≒[[境界型ネットワーク>#c31b5ae3]])は現行を維持 --ハイ・セキュアゾーンを隔離して、ゼロトラスト化を推進する。 --ハイ・セキュアゾーン(≒オンプレ)も段階的にゼロトラスト化する。 --これにより、全体が閉域でないと安全性を担保できない、という状態から脱却できる。 -構成~ ロー・セキュアゾーンを[[ゼロトラスト型ネットワーク>#v848f6d2]]化して行く。 --ロー・セキュアゾーンの拡張を原則として禁止 --新規開発システムはゼロトラスト型で開発~ (ロー・セキュアゾーン → ゼロトラスト・ゾーン) ***オンプレ延伸、展延 [#aed3c834] -[[ExpressRoute]] -[[ピアリング>Azureの仮想ネットワーク ピアリング]] -[[VPN Gateway]] ※ IPアドレスの枯渇や、[[ラテラル・ムーブメントの防止>#o896f5d7]]などが課題 ***ゼロトラスト拡張 [#uc3de4ee] -IaaS活用:[[Azure Private Link]] / [[Endpoint>Azure Private Endpoint]] -SaaS活用:[[Azure Peering Service]] -DaaS活用~ ユーザは --ゼロトラスト・ゾーン → ハイ・セキュアゾーンの境界越えに[[DaaS>#a23e9f1b]]を利用 --ゼロトラスト・ゾーンで、ファット・クライアントを利用(→ ローカル活用) -ローカル活用~ ローカルから、ゼロトラスト・ゾーンへ侵入を許可する。 --強制VPN収容(新規VNETを作成)~ --ローカル・ブレイクアウト~ クラウドサービスのトラフィックを識別して~ 企業拠点から直接インターネットに送出する方法 ***技術要素 [#t28536c0] ネットワーク境界とは異なる、新しい論理的なセキュリティ境界を作り出す技術要素 -ID 管理・権限制御 --[[Azure AD>Microsoft Azure Active Directory]] -デバイス・サーバ保護(ハードニング) --Azure Security Center -情報保護・統制 --インバウンド~ [[AzureのGW / LB的なモノ。]] ---[[シン・クライアント>#a23e9f1b]] ---[[Azure Application Gateway]] ---[[Azure Private Link]] / [[Endpoint>Azure Private Endpoint]] --アウトバウンド~ [[Azureのプロキシ的なモノ。]] ---[[Azure Firewall]] ---[[Azure Private Link]] / [[Endpoint>Azure Private Endpoint]] -ログ収集・監査 ---[[Azure Firewall]] ---... ***微妙なゼロトラスト [#kb1736da] ゼロトラストは、~ 「あらゆる要素を検証し信用を積み上げ、その信用に応じたアクセスを提供」~ と言うコンセプトなので、単体での対策は≒「微妙なゼロトラスト」となる。 -何も信用しないゼロトラスト~ =思いつくセキュリティ施策を全部やる~ 単に今までのセキュリティ施策を全部重ねがけしただけ。 -マイクロ・セグメンテーションでゼロトラストを実現する~ =サーバ単位にネットワークを隔離してハードニング~ (そしてネットワーク監視ソリューションを売り込む) -クラウドプロキシによりゼロトラストを実現する~ =単にネットワークまわりの通信制御の面倒ごとを 1 box 化しただけ~ -動的認可ポリシーエンジンでゼロトラストを実現する --動的認可ポリシーエンジン=信用スコアを用いた動的な認可の制御 --=考え方としては正しいものの製品が追い付いていない場合には絵に描いた餅 *参考 [#mfb39aad] **[[ゼロトラストネットワーク - 開発基盤部会 Wiki>https://dotnetdevelopmentinfrastructure.osscons.jp/index.php?%E3%82%BC%E3%83%AD%E3%83%88%E3%83%A9%E3%82%B9%E3%83%88%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF]] [#x4d70750] **とあるコンサルタントのつぶやき [#l080a86e] -FgCF (Financial-grade Cloud Fundamentals) のご紹介~ http://nakama.azurewebsites.net/?p=78 --https://github.com/nakamacchi/fgcf -「おうちゼロトラスト」 --...から学ぶ実践的セキュリティ強化~ http://nakama.azurewebsites.net/?p=17 ---...Part 1.「おうちゼロトラスト」に学ぶゼロトラストセキュリティの基礎~ http://nakama.azurewebsites.net/?p=65 ---Part 2. 企業内 OA 環境のゼロトラストセキュリティ ---Part 3. サーバ環境のゼロトラストセキュリティ ---Part 4. 開発環境のゼロトラストセキュリティ **シン・クライアント [#a23e9f1b] -マイクロソフトは、元来、ファット・クライアント(≒ Windows)推し。 -しかし、シン・クライアントの --[[Azure Bastion]] --[[Windows Virtual Desktop(WVD)]] >をリリース。 -これは、ハイ・セキュアゾーンへの入り口に必要になる。~ ユーザは --ゼロトラスト・ゾーンに接続し、 --ハイ・セキュアゾーンへは シン・クライアント で入る。 -参考: --[[Azure Bastion]] --[[Windows Virtual Desktop(WVD)]] ---- Tags: [[:クラウド]], [[:Azure]], [[:セキュリティ]], [[:通信技術]], [[:セキュリティ]], [[:認証基盤]]