「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- FgCFは、MSKKがコンサル内容を、汎化して一般公開しているものらしい。
- ゼロトラスト型マルチクラウド環境を念頭に置いて、
どのように OA 環境やデータセンタ環境を構成すべきかという全体構成論
課題 †
海外の成功事例 †
- 適切な技術回帰により自社の Tech Intensity (技術を自ら実践的に使いこなす力)を高める
- 競争領域に関しては、内製型アジャイル開発にシフトして、継続的に企業競争力を強化する
- 非競争領域に関しては、アウトソースを活用しながらも、開発の主導権は自社できちんと握って適切な開発を進める
国内の課題 †
- 閉鎖的な IT 環境 : 境界セキュリティを前提とした IT 環境
- 新技術導入がしにくい社内ルール : 最新技術の積極活用を拒む過度なルール
- IT 人材の技術力不足 : 最新技術を利活用できない・手を動かせないレガシー人材の増加
解決 †
- 単なる
- セキュリティ強化
- サーバ環境のクラウド化
- リモートワーク対応
- といった目先の話に留まらず、
企業全体の DX 推進の礎(いしずえ)となる。
- ゼロトラスト型マルチクラウド環境を念頭に置いて、
どのように OA 環境やデータセンタ環境を構成すべきかという全体構成論
- 仮想ネットワークや Azure AD、IaaS VM など、
Azure 技術に関する実践的な視点からの解説
- より具体的に IaaS VM や PaaS Web Apps, AKS などを利用して、
どのようにシステムを構成すべきかのリファレンス・アーキテクチャ
詳細 †
- 仮想ネットワークや Azure AD、IaaS VM など、Azure 技術に関する実践的な視点からの解説
- より具体的に IaaS VM や PaaS Web Apps, AKS などを利用してどのようにシステムを構成すべきかのリファレンスアーキテクチャ
歩き方 †
すべての利用者 †
先ず「ゼロトラスト型マルチクラウド IT 環境」を確認する。
- ゼロトラスト入門編
- OA 環境設計
- Azure Well-Architected Framework
共通技術 †
更に「Azure による仮想データセンタ構築手法 - 共通技術」として以下を学習する。
- VDC 構築の進め方の全体像
- ネットワーク基盤の構築方法(VNET, ARM テンプレート)
- 認証基盤の構築方法(Azure AD)
IT インフラエンジニアの方々 †
Azure による仮想データセンタ構築手法
開発エンジニアの方々 †
Azure による仮想データセンタ構築手法
ゼロトラストセキュリティ †
- どこかの団体で規定されるような、正式な定義が存在しない(アイディアでありコンセプトの収集)
- 長いサイクルによる複数の手段で成り立つ(それは20年、30年かかるインフラかもしれない)
- コンプライアンスは事業継続において必要不可欠であるが戦略ではない。
- セキュリティ実装と投資をしてコンプライアンスを守っても侵入され結果につながらなかった。
- セキュリティOutcomeではなくビジネスOutcomeにフォーカスする。
侵害があった場合、損害と失敗を引き起こす、守るべき資産を考えることが重要になる。
定義 †
- そのトラストのベースは
- ユーザ・コンテキスト(ユーザ・プロファイル情報)であり、
- データアクセス制御、ロケーションに基づくポスチャ(認証後の振る舞い)による。
境界型ネットワーク †
境界型ネットワークの問題
- 「中は安全、外は危険」という、ある意味では非常に雑な、バルク(セグメンテーション)保護
- ...と言う事で、クラウド活用が進む中、境界型ネットワークがアンマッチに。
コレを維持しようとすると、「境界」をいたずらに肥大化させるようなアプローチになる。
- 閉域縛り:オンプレのみ。
- みなしオンプレ:VPN接続+閉域と同じセキュリティ・ポリシ等(延伸、展延)
- みなし閉域:XaaSに、IPアドレス制限をかける
- ソリューションとして
「ゼロトラスト型ネットワーク」がある。
ゼロトラスト化で、以下が期待できる。
- 社内 LAN が閉域でなくても一定の安全性を保てるようになる。
- セキュリティ向上だけではなく IT のアジリティ向上にも役立つ。
- それ以外にも、回線やSaaS化によるコスト最適化につながる。
マイクロ・セグメンテーション †
- ≒ 自宅WiFi?の隔離機能
SSIDに接続している無線機器はInternet側とだけ通信可能になる。
- サーバ系
論理的(業務的)な意味で管理し易い業務システム
- 端末系
...
- サーバ系
システムの重要性などに応じて、認証・認可制御の選択が必要。
ラテラル・ムーブメントの防止 †
- 構成要素
- ラテラル・ムーブメント = 水平攻撃・水平移動
- マイクロ・セグメンテーション戦略による抑止
- その他
・堅牢な認証基盤による主体(プリンシパル)の確実な特定(否認の抑止)
・セキュリティログ収集基盤(SIEM)などによる遠隔監視・制御の仕組み
既存環境からの移行ステップ †
現実的な †
オンプレ延伸、展延 †
※ IPアドレスの枯渇や、ラテラル・ムーブメントの防止などが課題
ゼロトラスト拡張 †
- DaaS活用
ユーザは
- ゼロトラスト・ゾーン → ハイ・セキュアゾーンの境界越えにDaaSを利用
- ゼロトラスト・ゾーンで、ファット・クライアントを利用(→ ローカル活用)
- ローカル活用
ローカルから、ゼロトラスト・ゾーンへ侵入を許可する。
- ローカル・ブレイクアウト
クラウドサービスのトラフィックを識別して
企業拠点から直接インターネットに送出する方法
技術要素 †
ネットワーク境界とは異なる、新しい論理的なセキュリティ境界を作り出す技術要素
参考 †
とあるコンサルタントのつぶやき †
- ユーザは
- ゼロトラスト・ゾーンに接続し、
- ハイ・セキュアゾーンへはシン・クライアントで入る。
Tags: :クラウド, :Azure, :セキュリティ, :通信技術, :セキュリティ, :認証基盤