Azure Virtual Data Center
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azure]]
--[[Azure Subscriptionの管理@エンプラ]] > Azure Virtual D...
---[[Azureによる基盤開発法]]
---[[Azureの高可用性設計]]
---[[Azureの監視と管理]]
---[[Azureのアクセス制御と権限]]
* 目次 [#a4e04b81]
#contents
*概要 [#udad3c12]
-VDC : Virtual Data Center(仮想データセンター)
-製品・サービス名ではなく、~
デザイン・パターン(リファレンス・アーキテクチャ)
--[[オンプレ延伸>FgCF (Financial-grade Cloud Fundamentals...
--簡単に言うと、オンプレとVPN接続されたVNETなど。
-構成設定変更が簡単かつ素早くできるが、~
不十分な知識だと極めて危険であり、~
正しい知識を持って正しく使う必要がある。~
*詳細 [#kad24d06]
**リスクとアプローチ [#j3c07fb8]
***リスク [#lfedde33]
-リスク
--外部からの攻撃、不正アクセス
--マルウェア、不正コード混入
--オペミス、オペレータ不正(最も多い事故)
-影響
--サービス停止、乗っ取り
--情報奪取、情報漏洩、情報流出(、高額請求
-評価
--信頼度~
ベンダー > 開発者 > 運用担当者
--ゼロリスク追求~
低生産性・高コストに
>※ 参考:[[PMP:計画 - リスク - 開発基盤部会 Wiki>https:/...
-対応
--Defence in Depth~
多層防衛(複数レイヤで堅牢化するのが一般的だが)
--Weakest Link
---「鎖の全体強度は、個々のリングの平均ではない。」の意味。
---≒ 足を引っ張る(脆弱なレイヤを突破されたらオシマイ)
---前述の「信頼度」から、全体のバランスを取る。
---[[ゼロトラストの例で言えば、従来型の境界型ネットワーク...
・Web AppsとSQL DB感を閉域化する意味は、この間の通信のハ...
・このハックを成功させるより、App脆弱性を突いたり、内部侵...
***アプローチ [#a7740182]
初期構築時と、構築後の構成変更とを分けて考える。
-初期構築時~
多種のリソース作成が必要、比較的強い権限で作業しないと大変
-構築後・運用中~
限定的な変更が多いため、限られた権限で作業した方が安全
***必要な対策 [#nfb12c13]
-作業内容の安全性の確認
--その作業が技術的に~
正しく安全なものか?
--定義の分類
---入力制御(インバウンド)~
・呼び出し制限~
・経路開放~
・認証・認可~
・攻撃検知
---ハードニング(クライアント or サーバ)~
・不要機能を無効化~
・機能無効化~
・高額請求抑止~
・マルウェア対策~
・透過的暗号化
---出力制御(アウトバウンド)~
・外部呼び出し制限~
・経路制限~
・不正検知
-不正作業の防止・牽制
--過失による誤作業~
故意による不正作業~
をどう防ぐか?
--定義の分類
---事前検査(→ [[ASC>#be6fe78e]] + 自作ツール~
・パラメタ・シートを作成~
・事前にチェックしてから変更を実施~
・定常的な保守作業を一覧化~
・一覧の作業を[[スクリプト化して自動化>#gd738e61]]
---権限付与(→ [[PIM>#y243ca59]])~
・特権の剥奪~
・最小権限を Just-in-Time で付与~
・カスタムロールの作成要否や牽制方法を検討
---環境監査(→ [[ASC>#be6fe78e]] + 自作ツール~
不正な構成変更が行われていないかを確認
***自動化 [#gd738e61]
-必要性とメリット
--環境構築・変更作業の自動化~
手作業ではなく、ARM テンプレートやスクリプトを使う
--構成チェックの自動化~
目視ではなくツールによって構成の妥当性チェックを行う
-利用可能な技術
--環境構築・変更作業の自動化
---変更スクリプト~
([[Azureのシェル]])
---[[ARM テンプレート>Azure Resource Manager テンプレート]]
--構成チェックの自動化
---[[Azure Policy]]、[[Azure Security Center]]
---環境チェックツールの作り込み
**認証・認可 [#h88a76e0]
***[[Azure Active Directory]] [#j62ca3a7]
**[[ネットワーク>Azure#r51c97ed]] [#ab48482c]
***[[VNETに接続する。>Azureの仮想ネットワーク#tacd3237]] ...
-[[Azure ExpressRoute>VNETに接続する。#z5b88ba8]]
-[[Azure Peering Service>VNETに接続する。#m6474975]]
-[[VPN Gateway>VNETに接続する。#db7785d4]]
-[[仮想ネットワーク ピアリング>VNETに接続する。#z32fda6e]]
-[[Azure Private Link / Endpoint>VNETに接続する。#v460346...
***ゲートウェイ [#i40e2967]
-[[UDR>Azureの仮想ネットワーク#e8a3a7cc]]
-[[Azure Firewall]]
-[[ロードバランサ>AzureのGW / LB的なモノ。]]
-[[Azure Application Gateway]](WAF)
-[[Azure Service Endpoint]]
-[[Azure Private Link / Endpoint>VNETに接続する。#v460346...
-エッジ L3/L4
--[[Azure DDoS Protection]]
--[[Azure Front Door(AFD)]]
***[[DHCPとDNS>Azureの仮想マシン#dd3a9d8e]] [#v31a0f72]
***[[Azure Bastion]] [#dc32e68c]
***ゼロトラストVDC [#i62e0c78]
VDCは基本、[[オンプレ延伸>#udad3c12]]であるものの、
[[Weakest Link>#lfedde33]]で言及したように、
-[[境界型ネットワーク>FgCF (Financial-grade Cloud Fundame...
-[[ゼロトラスト型ネットワーク>FgCF (Financial-grade Cloud...
ゼロトラストVDCの重要性が高まっている。
**サービス [#ye378ff8]
セキュア化とロックダウン。
***[[仮想ネットワーク>Azureの仮想ネットワーク#ldfb1cde]] ...
***[[ストレージ>Azureのストレージ#p914312a]] [#l68c61c7]
***[[仮想マシン>Azureの仮想マシン#l5f9cc7c]] [#na02cf07]
***[[Firewall>Azure Firewall#kdf5f70b]] [#s99f52da]
***[[Backup>Azure Backup#k73a8e14]] [#s4e7724e]
***[[監視系>Azureの監視と管理#n8d4ecef]] [#t868c1c5]
**セキュリティ [#s89b338f]
***[[Azure AD Privileged Identity Management (PIM)]] [#y2...
***[[Azure Security Center]] [#be6fe78e]
***[[Azure Blueprints]] [#y08713cc]
**Azure関連 [#i793fa5e]
***[[仮想ネットワーク>Azureの仮想ネットワーク]]、[[仮想マ...
***[[Azureによる基盤開発法]] [#b5122084]
***[[高可用性設計>Azureの高可用性設計]]、[[監視と管理>Azu...
***[[Azureのアクセス制御と権限]] [#v53c249e]
*参考 [#lb80d22b]
-Azure Virtual Data Centerで学ぶ 企業向けAzureネットワー...
https://www.slideshare.net/ToruMakabe/azure-virtual-data-...
**Microsoft Docs [#jaba25e7]
-Azure 仮想データセンター - Cloud Adoption Framework~
https://docs.microsoft.com/ja-jp/azure/cloud-adoption-fra...
--Azure 仮想データセンター:概念~
https://raw.githubusercontent.com/microsoft/CloudAdoption...
--仮想データセンター:ネットワーク パースペクティブ - Clou...
https://docs.microsoft.com/ja-jp/azure/cloud-adoption-fra...
--Azure 仮想データセンター:リフトアンドシフト ガイド~
https://raw.githubusercontent.com/microsoft/CloudAdoption...
**nakama [#l1b34e9d]
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure によ...
※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals...
***VDC 構築の進め方の全体像 [#hebf830d]
(共通技術 > VDC 構築の進め方の全体像)
-ppt~
https://nakama.blob.core.windows.net/mskk/2020_02_05_FgCF...
***[[IaaS の構成方法>Azureの仮想ネットワーク#zd56347f]] [...
[[IaaS の構成方法>Azureの仮想ネットワーク#zd56347f]]中に...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azure]]
--[[Azure Subscriptionの管理@エンプラ]] > Azure Virtual D...
---[[Azureによる基盤開発法]]
---[[Azureの高可用性設計]]
---[[Azureの監視と管理]]
---[[Azureのアクセス制御と権限]]
* 目次 [#a4e04b81]
#contents
*概要 [#udad3c12]
-VDC : Virtual Data Center(仮想データセンター)
-製品・サービス名ではなく、~
デザイン・パターン(リファレンス・アーキテクチャ)
--[[オンプレ延伸>FgCF (Financial-grade Cloud Fundamentals...
--簡単に言うと、オンプレとVPN接続されたVNETなど。
-構成設定変更が簡単かつ素早くできるが、~
不十分な知識だと極めて危険であり、~
正しい知識を持って正しく使う必要がある。~
*詳細 [#kad24d06]
**リスクとアプローチ [#j3c07fb8]
***リスク [#lfedde33]
-リスク
--外部からの攻撃、不正アクセス
--マルウェア、不正コード混入
--オペミス、オペレータ不正(最も多い事故)
-影響
--サービス停止、乗っ取り
--情報奪取、情報漏洩、情報流出(、高額請求
-評価
--信頼度~
ベンダー > 開発者 > 運用担当者
--ゼロリスク追求~
低生産性・高コストに
>※ 参考:[[PMP:計画 - リスク - 開発基盤部会 Wiki>https:/...
-対応
--Defence in Depth~
多層防衛(複数レイヤで堅牢化するのが一般的だが)
--Weakest Link
---「鎖の全体強度は、個々のリングの平均ではない。」の意味。
---≒ 足を引っ張る(脆弱なレイヤを突破されたらオシマイ)
---前述の「信頼度」から、全体のバランスを取る。
---[[ゼロトラストの例で言えば、従来型の境界型ネットワーク...
・Web AppsとSQL DB感を閉域化する意味は、この間の通信のハ...
・このハックを成功させるより、App脆弱性を突いたり、内部侵...
***アプローチ [#a7740182]
初期構築時と、構築後の構成変更とを分けて考える。
-初期構築時~
多種のリソース作成が必要、比較的強い権限で作業しないと大変
-構築後・運用中~
限定的な変更が多いため、限られた権限で作業した方が安全
***必要な対策 [#nfb12c13]
-作業内容の安全性の確認
--その作業が技術的に~
正しく安全なものか?
--定義の分類
---入力制御(インバウンド)~
・呼び出し制限~
・経路開放~
・認証・認可~
・攻撃検知
---ハードニング(クライアント or サーバ)~
・不要機能を無効化~
・機能無効化~
・高額請求抑止~
・マルウェア対策~
・透過的暗号化
---出力制御(アウトバウンド)~
・外部呼び出し制限~
・経路制限~
・不正検知
-不正作業の防止・牽制
--過失による誤作業~
故意による不正作業~
をどう防ぐか?
--定義の分類
---事前検査(→ [[ASC>#be6fe78e]] + 自作ツール~
・パラメタ・シートを作成~
・事前にチェックしてから変更を実施~
・定常的な保守作業を一覧化~
・一覧の作業を[[スクリプト化して自動化>#gd738e61]]
---権限付与(→ [[PIM>#y243ca59]])~
・特権の剥奪~
・最小権限を Just-in-Time で付与~
・カスタムロールの作成要否や牽制方法を検討
---環境監査(→ [[ASC>#be6fe78e]] + 自作ツール~
不正な構成変更が行われていないかを確認
***自動化 [#gd738e61]
-必要性とメリット
--環境構築・変更作業の自動化~
手作業ではなく、ARM テンプレートやスクリプトを使う
--構成チェックの自動化~
目視ではなくツールによって構成の妥当性チェックを行う
-利用可能な技術
--環境構築・変更作業の自動化
---変更スクリプト~
([[Azureのシェル]])
---[[ARM テンプレート>Azure Resource Manager テンプレート]]
--構成チェックの自動化
---[[Azure Policy]]、[[Azure Security Center]]
---環境チェックツールの作り込み
**認証・認可 [#h88a76e0]
***[[Azure Active Directory]] [#j62ca3a7]
**[[ネットワーク>Azure#r51c97ed]] [#ab48482c]
***[[VNETに接続する。>Azureの仮想ネットワーク#tacd3237]] ...
-[[Azure ExpressRoute>VNETに接続する。#z5b88ba8]]
-[[Azure Peering Service>VNETに接続する。#m6474975]]
-[[VPN Gateway>VNETに接続する。#db7785d4]]
-[[仮想ネットワーク ピアリング>VNETに接続する。#z32fda6e]]
-[[Azure Private Link / Endpoint>VNETに接続する。#v460346...
***ゲートウェイ [#i40e2967]
-[[UDR>Azureの仮想ネットワーク#e8a3a7cc]]
-[[Azure Firewall]]
-[[ロードバランサ>AzureのGW / LB的なモノ。]]
-[[Azure Application Gateway]](WAF)
-[[Azure Service Endpoint]]
-[[Azure Private Link / Endpoint>VNETに接続する。#v460346...
-エッジ L3/L4
--[[Azure DDoS Protection]]
--[[Azure Front Door(AFD)]]
***[[DHCPとDNS>Azureの仮想マシン#dd3a9d8e]] [#v31a0f72]
***[[Azure Bastion]] [#dc32e68c]
***ゼロトラストVDC [#i62e0c78]
VDCは基本、[[オンプレ延伸>#udad3c12]]であるものの、
[[Weakest Link>#lfedde33]]で言及したように、
-[[境界型ネットワーク>FgCF (Financial-grade Cloud Fundame...
-[[ゼロトラスト型ネットワーク>FgCF (Financial-grade Cloud...
ゼロトラストVDCの重要性が高まっている。
**サービス [#ye378ff8]
セキュア化とロックダウン。
***[[仮想ネットワーク>Azureの仮想ネットワーク#ldfb1cde]] ...
***[[ストレージ>Azureのストレージ#p914312a]] [#l68c61c7]
***[[仮想マシン>Azureの仮想マシン#l5f9cc7c]] [#na02cf07]
***[[Firewall>Azure Firewall#kdf5f70b]] [#s99f52da]
***[[Backup>Azure Backup#k73a8e14]] [#s4e7724e]
***[[監視系>Azureの監視と管理#n8d4ecef]] [#t868c1c5]
**セキュリティ [#s89b338f]
***[[Azure AD Privileged Identity Management (PIM)]] [#y2...
***[[Azure Security Center]] [#be6fe78e]
***[[Azure Blueprints]] [#y08713cc]
**Azure関連 [#i793fa5e]
***[[仮想ネットワーク>Azureの仮想ネットワーク]]、[[仮想マ...
***[[Azureによる基盤開発法]] [#b5122084]
***[[高可用性設計>Azureの高可用性設計]]、[[監視と管理>Azu...
***[[Azureのアクセス制御と権限]] [#v53c249e]
*参考 [#lb80d22b]
-Azure Virtual Data Centerで学ぶ 企業向けAzureネットワー...
https://www.slideshare.net/ToruMakabe/azure-virtual-data-...
**Microsoft Docs [#jaba25e7]
-Azure 仮想データセンター - Cloud Adoption Framework~
https://docs.microsoft.com/ja-jp/azure/cloud-adoption-fra...
--Azure 仮想データセンター:概念~
https://raw.githubusercontent.com/microsoft/CloudAdoption...
--仮想データセンター:ネットワーク パースペクティブ - Clou...
https://docs.microsoft.com/ja-jp/azure/cloud-adoption-fra...
--Azure 仮想データセンター:リフトアンドシフト ガイド~
https://raw.githubusercontent.com/microsoft/CloudAdoption...
**nakama [#l1b34e9d]
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure によ...
※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals...
***VDC 構築の進め方の全体像 [#hebf830d]
(共通技術 > VDC 構築の進め方の全体像)
-ppt~
https://nakama.blob.core.windows.net/mskk/2020_02_05_FgCF...
***[[IaaS の構成方法>Azureの仮想ネットワーク#zd56347f]] [...
[[IaaS の構成方法>Azureの仮想ネットワーク#zd56347f]]中に...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
