「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure Subscriptionの管理@エンプラ]] * 目次 [#a4e04b81] #contents *概要 [#udad3c12] -VDC : Virtual Data Center(仮想データセンター) -製品・サービス名ではなく、~ デザイン・パターン(リファレンス・アーキテクチャ) --[[オンプレ延伸>FgCF (Financial-grade Cloud Fundamentals)#aed3c834]]の意味で使用される。 --簡単に言うと、オンプレとVPN接続されたVNETなど。 -構成設定変更が簡単かつ素早くできるが、~ 不十分な知識だと極めて危険であり、~ 正しい知識を持って正しく使う必要がある。~ *詳細 [#kad24d06] **リスクとアプローチ [#j3c07fb8] ***リスク [#lfedde33] -リスク --外部からの攻撃、不正アクセス --マルウェア、不正コード混入 --オペミス、オペレータ不正(最も多い事故) -影響 --サービス停止、乗っ取り --情報奪取、情報漏洩、情報流出(、高額請求 -評価 --信頼度~ ベンダー > 開発者 > 運用担当者 --ゼロリスク追求~ 低生産性・高コストに >※ 参考:[[PMP:計画 - リスク - 開発基盤部会 Wiki>https://dotnetdevelopmentinfrastructure.osscons.jp/index.php?PMP%EF%BC%9A%E8%A8%88%E7%94%BB%20-%20%E3%83%AA%E3%82%B9%E3%82%AF#l5371230]] -対応 --Defence in Depth~ 多層防衛(複数レイヤで堅牢化するのが一般的だが) --Weakest Link ---「鎖の全体強度は、個々のリングの平均ではない。」の意味。 ---≒ 足を引っ張る(脆弱なレイヤを突破されたらオシマイ) ---前述の「信頼度」から、全体のバランスを取る。 ---[[ゼロトラストの例で言えば、従来型の境界型ネットワーク>FgCF (Financial-grade Cloud Fundamentals)#ce985e9f]]~ ・Web AppsとSQL DB感を閉域化する意味は、この間の通信のハックの防止。~ ・このハックを成功させるより、App脆弱性を突いたり、内部侵入した方が簡単。 ***アプローチ [#a7740182] 初期構築時と、構築後の構成変更とを分けて考える。 -初期構築時~ 多種のリソース作成が必要、比較的強い権限で作業しないと大変 -構築後・運用中~ 限定的な変更が多いため、限られた権限で作業した方が安全 ***必要な対策 [#nfb12c13] -作業内容の安全性の確認 --その作業が技術的に~ 正しく安全なものか? --定義の分類 ---入力制御(インバウンド)~ ・呼び出し制限~ ・経路開放~ ・認証・認可~ ・攻撃検知 ---ハードニング(クライアント or サーバ)~ ・不要機能を無効化~ ・機能無効化~ ・高額請求抑止~ ・マルウェア対策~ ・透過的暗号化 ---出力制御(アウトバウンド)~ ・外部呼び出し制限~ ・経路制限~ ・不正検知 -不正作業の防止・牽制 --過失による誤作業~ 故意による不正作業~ をどう防ぐか? --定義の分類 ---事前検査(→ [[ASC>#be6fe78e]] + 自作ツール~ ・パラメタ・シートを作成~ ・事前にチェックしてから変更を実施~ ・定常的な保守作業を一覧化~ ・一覧の作業を[[スクリプト化して自動化>#gd738e61]] ---権限付与(→ [[PIM>#y243ca59]])~ ・特権の剥奪~ ・最小権限を Just-in-Time で付与~ ・カスタムロールの作成要否や牽制方法を検討 ---環境監査(→ [[ASC>#be6fe78e]] + 自作ツール~ 不正な構成変更が行われていないかを確認 ***自動化 [#gd738e61] -必要性とメリット --環境構築・変更作業の自動化~ 手作業ではなく、ARM テンプレートやスクリプトを使う --構成チェックの自動化~ 目視ではなくツールによって構成の妥当性チェックを行う -利用可能な技術 --環境構築・変更作業の自動化 ---変更スクリプト~ ([[Azureのシェル]]) ---[[ARM テンプレート>Azure Resource Manager テンプレート]] --構成チェックの自動化 ---[[Azure Policy]]、[[Azure Security Center]] ---環境チェックツールの作り込み **認証・認可 [#h88a76e0] ***[[Azure Active Directory]] [#j62ca3a7] **[[ネットワーク>Azure#r51c97ed]] [#ab48482c] ***[[VNETに接続する。>Azureの仮想ネットワーク#tacd3237]] [#v4f73108] -[[Azure ExpressRoute>VNETに接続する。#z5b88ba8]] -[[Azure Peering Service>VNETに接続する。#m6474975]] -[[VPN Gateway>VNETに接続する。#db7785d4]] -[[仮想ネットワーク ピアリング>VNETに接続する。#z32fda6e]] -[[Azure Private Link / Endpoint>VNETに接続する。#v4603461]] ***ゲートウェイ [#i40e2967] -[[UDR>Azureの仮想ネットワーク#e8a3a7cc]] -[[Azure Firewall]] -[[ロードバランサ>AzureのGW / LB的なモノ。]] -[[Azure Application Gateway]](WAF) -[[Azure Service Endpoint]] -[[Azure Private Link / Endpoint>VNETに接続する。#v4603461]] -エッジ L3/L4 --[[Azure DDoS Protection]] --[[Azure Front Door(AFD)]] ***DNS, DHCP [#v31a0f72] ***[[DHCPとDNS>Azureの仮想マシン#dd3a9d8e]] [#v31a0f72] ***[[Azure Bastion]] [#dc32e68c] ***ゼロトラストVDC [#i62e0c78] VDCは基本、[[オンプレ延伸>#udad3c12]]であるものの、 [[Weakest Link>#lfedde33]]で言及したように、 -[[境界型ネットワーク>FgCF (Financial-grade Cloud Fundamentals)#c31b5ae3]]の危険性から、 -[[ゼロトラスト型ネットワーク>FgCF (Financial-grade Cloud Fundamentals)#v848f6d2]]の概念が導入された、 ゼロトラストVDCの重要性が高まっている。 **サービス [#ye378ff8] セキュア化とロックダウン。 ***[[仮想ネットワーク>Azureの仮想ネットワーク#ldfb1cde]] [#x155d515] ***[[ストレージ>Azureのストレージ#p914312a]] [#l68c61c7] ***[[仮想マシン>Azureの仮想マシン#l5f9cc7c]] [#na02cf07] ***[[Firewall>Azure Firewall#kdf5f70b]] [#s99f52da] ***[[Backup>Azure Backup#k73a8e14]] [#s4e7724e] ***[[監視系>Azureの監視と管理#n8d4ecef]] [#t868c1c5] **セキュリティ [#s89b338f] ***[[Azure AD Privileged Identity Management (PIM)]] [#y243ca59] ***[[Azure Security Center]] [#be6fe78e] ***[[Azure Blueprints]] [#y08713cc] **Azure関連 [#i793fa5e] ***[[仮想ネットワーク>Azureの仮想ネットワーク]]、[[仮想マシン>Azureの仮想マシン]] [#sc8ea85a] ***[[Azureによる基盤開発法]] [#b5122084] ***[[高可用性設計>Azureの高可用性設計]]、[[監視と管理>Azureの監視と管理]] [#n0010e16] ***[[Azureのアクセス制御と権限]] [#v53c249e] *参考 [#lb80d22b] -Azure Virtual Data Centerで学ぶ 企業向けAzureネットワーク設計~ https://www.slideshare.net/ToruMakabe/azure-virtual-data-center-azure **Microsoft Docs [#jaba25e7] -Azure 仮想データセンター - Cloud Adoption Framework~ https://docs.microsoft.com/ja-jp/azure/cloud-adoption-framework/reference/vdc --Azure 仮想データセンター:概念~ https://raw.githubusercontent.com/microsoft/CloudAdoptionFramework/master/archive/vdc/Azure_Virtual_Datacenter.pdf --仮想データセンター:ネットワーク パースペクティブ - Cloud Adoption Framework~ https://docs.microsoft.com/ja-jp/azure/cloud-adoption-framework/reference/networking-vdc --Azure 仮想データセンター:リフトアンドシフト ガイド~ https://raw.githubusercontent.com/microsoft/CloudAdoptionFramework/master/archive/vdc/Azure_Virtual_Datacenter_Lift_and_Shift_Guide.pdf **nakama [#l1b34e9d] FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法 ※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals)#rb4080e7]]、pwdは[[コチラ>FgCF (Financial-grade Cloud Fundamentals)#ve34867b]] ***VDC 構築の進め方の全体像 [#hebf830d] (共通技術 > VDC 構築の進め方の全体像) -ppt~ https://nakama.blob.core.windows.net/mskk/2020_02_05_FgCF_AzureVDC_ProjectPlanOverview_v0.04.zip ***[[IaaS の構成方法>Azureの仮想ネットワーク#zd56347f]] [#f1e29f2b] [[IaaS の構成方法>Azureの仮想ネットワーク#zd56347f]]中にも同様のトピックが含まれる。 ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュリティ]], [[:通信技術]], [[:Azure]]