FgCF (Financial-grade Cloud Fundamentals)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azure Subscriptionの管理@エンプラ]]
* 目次 [#v53c60a8]
#contents
*概要 [#n44a8d8f]
FgCFは、MSKKがコンサル内容を、汎化して一般公開しているも...
**スコープ [#g90d6038]
|クラウド利用者の責任範囲|自システムの設計・運用に関する...
|~|自システムの基本的な安全性(具体例: CIS Controls への...
|クラウド事業者の責任範囲|ファシリティ(データセンタ)と...
※ CIS Controlsは、NISTのSP800-53で定義されている事項のサ...
「最初に最低限行わなければならない」ことに着眼してまと...
**課題 [#iec2ea95]
***海外の成功事例 [#ffc2815d]
-適切な技術回帰により自社の Tech Intensity (技術を自ら実...
-競争領域に関しては、内製型アジャイル開発にシフトして、継...
-非競争領域に関しては、アウトソースを活用しながらも、開発...
***国内の課題 [#t3daae9b]
-閉鎖的な IT 環境 : 境界セキュリティを前提とした IT 環境
-新技術導入がしにくい社内ルール : 最新技術の積極活用を拒...
-IT 人材の技術力不足 : 最新技術を利活用できない・手を動か...
**解決 [#abbe51ec]
-IT インフラ全体を
--目先の話に留まらず、
---セキュリティ強化
---サーバ環境のクラウド化
---リモートワーク対応
--[[ゼロトラスト>#ce985e9f]]・モデルにモダナイゼーション
--企業全体の DX 推進の礎とする。
-すべての端末・サーバを[[マイクロ・セグメンテーション>#cd...
ユーザから見て、SSOで、どの端末から、どこのサーバへも行け...
*詳細 [#ia88e622]
-GitHub 上にインデックス・ページがある。
--GitHub - nakamacchi/fgcf:~
Financial-grade Cloud Fundamentals~
https://github.com/nakamacchi/fgcf
-以下のようなコンテンツを含んでいる。
--ゼロトラスト型マルチクラウド環境を念頭に置いて、~
どのように OA 環境や DC 環境を構成すべきかという全体構成論
--仮想ネットワークや [[Azure AD>Microsoft Azure Active Di...
Azure 技術に関する実践的な視点からの解説
--より具体的に IaaS VM や PaaS Web Apps, AKS などを利用し...
どのようにシステムを構成すべきかのリファレンス・アーキテ...
**歩き方 [#rb4080e7]
***すべての利用者 [#q9cd390a]
先ず「ゼロトラスト型マルチクラウド IT 環境」を確認する。
-ゼロトラスト入門編~
≒ [[ゼロトラスト>#ce985e9f]]
-OA 環境設計
-- ≒ [[既存環境からの移行ステップ>#s5027fbf]]
-- ≠ [[開発環境>#n5769e5a]](...
-[[Azure Well-Architected Framework]] - [[Security>Azure ...
***共通技術 [#f8093d0b]
更に「Azure による仮想データセンタ構築手法 - 共通技術」と...
-[[VDC 構築の進め方の全体像>Azure Virtual Data Center]]
-ネットワーク基盤の構築方法
--[[Azureの仮想ネットワーク]](基礎)
---[[Azure Virtual Data Center]]
---[[Azureの高可用性設計]]
---[[Azureによる基盤開発法]]
--[[ARM テンプレートの利用方法>Azure Resource Manager テ...
-認証基盤の構築方法
--[[Azure Active Directory]]
--[[Azureのアクセス制御と権限]]
--[[AzADirectoryのテナント作成方法>Azure Active Directory...
***IT インフラエンジニア向け [#u23eb58c]
-IaaS の構成方法
--[[Azure Virtual Data Center]]
--[[Azureの仮想ネットワーク]]
--[[Azureの仮想マシン]]
-[[DaaS の構成方法>#a23e9f1b]]
***開発エンジニア向け [#n5769e5a]
-PaaS の構成方法
--[[AKSをセキュアに利用するためのテクニカルリファレンス]]
--[[AppService閉域構成テクニカルリファレンス]]
--ARO (Azure Red Hat OpenShift)...
--Azure Batch...
-DevOps の構成方法
--[[Azure DevOps]]
※ 開発環境については [[OA 環境>#q9cd390a]]と同列に語れな...
**ゼロトラスト [#ce985e9f]
-どこかの団体で規定されるような、正式な定義が存在しない(...
-長いサイクルによる複数の手段で成り立つ(それは20年、30年...
-コンプライアンスは事業継続において必要不可欠であるが戦略...
--セキュリティ実装と投資をしてコンプライアンスを守っても...
--セキュリティOutcomeではなくビジネスOutcomeにフォーカス...
侵害があった場合、損害と失敗を引き起こす、守るべき資産を...
***境界型ネットワーク(従来型) [#c31b5ae3]
境界型ネットワークの問題
-「中は安全、外は危険」という、ある意味では非常に雑な、バ...
-...と言う事で、クラウド活用が進む中、境界型ネットワーク...
コレを維持しようとすると、「境界」をいたずらに肥大化させ...
--閉域縛り:オンプレのみ。
--みなしオンプレ:VPN接続+閉域と同じセキュリティ・ポリシ...
--みなし閉域:XaaSに、IPアドレス制限をかける
-ソリューションとして~
「[[ゼロトラスト型ネットワーク>#v848f6d2]]」がある。~
ゼロトラスト化で、以下が期待できる。
--社内 LAN が閉域でなくても一定の安全性を保てるようになる。
--セキュリティ向上だけではなく IT のアジリティ向上にも役...
--それ以外にも、回線やSaaS化によるコスト最適化につながる。
***[[ゼロトラスト型ネットワーク>#x4d70750]] [#v848f6d2]
-[[トラストのベースは主体(ID)の信頼性(正当性)>#i6336b...
-戦略的考え方
--[[新しい論理的なセキュリティ境界を作り出す技術要素>#t28...
--ネットワークを[[マイクロ・セグメンテーション>#cd279555]...
--[[ラテラル・ムーブメントを防ぐ>#o896f5d7]]リバレッジ(...
--これは、詳細なエンフォースメント(法執行)により実行さ...
-参考:[[ゼロトラスト - 開発基盤部会 Wiki>https://dotnetd...
***トラストのベースは、主体(ID)の信頼性(正当性) [#i63...
-「ネットワーク経路」は、一要素でしかない~
様々な要素を総合的に判断できる仕組み・仕掛を導入
--クレデンシャル情報
---パスワード
---多要素認証(生体認証・ワンタイムパスワード)
--ユーザ・コンテキスト(ユーザ・プロファイル情報)
--ロケーションに基づくポスチャ(認証後の振る舞い)
>※ [[Azure AD>Microsoft Azure Active Directory]]の[[条件...
***新しい論理的なセキュリティ境界を作り出す技術要素 [#t28...
-[[ID 管理・権限制御>#i6336b6a]]
-ハードニング
--[[サーバ保護>#v7c0cd6a]]
--[[デバイス保護>#jb09d729]]
-情報保護・統制
--サーバ
--デバイス
-ログ収集・監査
--サーバ~
[[サーバ保護>#v7c0cd6a]]
--デバイス~
[[デバイス保護>#jb09d729]]
***マイクロ・セグメンテーション [#cd279555]
-[[ゼロトラスト型ネットワーク>#v848f6d2]]書籍の中で語られ...
[[ラテラル・ムーブメントを防ぐ>#o896f5d7]]セグメンテーシ...
-≒ 自宅Wi-Fiの隔離機能~
SSIDに接続している無線機器はInternet側とだけ通信可能にな...
-注意すべきポイント~
端末系とサーバ系とで
--粒度が異なる。
---端末系~
端末単位でセグメンテーション
---サーバ系~
論理的(業務的)な意味で管理し易い業務システム
--阻害要因が異なる。
---端末系~
...
---サーバ系~
システムの重要性などに応じて、認証・認可制御の選択が必要。
-実践;[[既存環境からの移行ステップ>#s5027fbf]]
***ラテラル・ムーブメントの防止 [#o896f5d7]
-原点
--近代的なセキュリティを考える上では最も重要(原点)
--ラテラル・ムーブメントの防止
--- → [[マイクロ・セグメンテーション>#cd279555]]
--- → [[ゼロトラスト型ネットワーク>#v848f6d2]]
-要素
--構成要素
---ラテラル・ムーブメント = 水平攻撃・水平移動
---[[マイクロ・セグメンテーション>#cd279555]]戦略による抑止
---その他~
・堅牢な認証基盤による主体(プリンシパル)の確実な特定(...
・SIEM([[Azure Sentinel]]など)による遠隔監視・制御の仕...
--[[技術要素>#t28536c0]]
***[[参考>#sbe03823]] [#pd96fa67]
**既存環境からの移行ステップ [#s5027fbf]
***現実的な [#fdd21c6c]
-戦略~
ハイ・セキュアゾーン(≒[[境界型ネットワーク>#c31b5ae3]])...
--ハイ・セキュアゾーンを隔離して、[[ゼロトラスト型ネット...
--ハイ・セキュアゾーン(≒オンプレ)も段階的に[[ゼロトラス...
--これにより、全体が閉域でないと安全性を担保できない、と...
-構成~
ロー・セキュアゾーンを[[ゼロトラスト型ネットワーク>#v848f...
--ロー・セキュアゾーンの拡張を原則として禁止
--新規開発システムは[[ゼロトラスト型ネットワーク>#v848f6d...
(ロー・セキュアゾーン → ゼロトラスト・ゾーン)
***オンプレ延伸 [#aed3c834]
-[[VPN Gateway]]
-[[Azure ExpressRoute]]
-[[Azure Peering Service]]
※ IPアドレスの枯渇や、[[ラテラル・ムーブメントの防止>#o89...
***ゼロトラスト拡張 [#uc3de4ee]
[[Hub & Spoke 構成の仮想ネットワーク>Azureの仮想ネットワ...
-IaaS / PaaS活用:[[ゼロトラスト型構成の仮想ネットワーク>...
-SaaS活用:[[Azure Peering Service]]
-DaaS活用~
ユーザは
--ゼロトラスト・ゾーン → ハイ・セキュアゾーンの境界越えに...
--ゼロトラスト・ゾーンで、ファット・クライアントを利用(→...
***ローカル活用 [#u296152a]
ローカルから、ゼロトラスト・ゾーンへ侵入を許可する。
-[[デバイス保護>#jb09d729]]が必要になる。
-経路
--強制VPN収容(新規VNETを作成)
--ローカル・ブレイクアウト~
クラウドサービスのトラフィックを識別して~
企業拠点から直接インターネットに送出する方法
***サーバ保護 [#v7c0cd6a]
野良クラウド(シャドウIT)は危ない。
-ハードニング~
[[Azure Security Center>Azureの監視と管理#ya8d8b14]]
-インバウンド~
[[AzureのGW / LB的なモノ。]]
--[[DaaS>#a23e9f1b]]
--[[Azure Application Gateway]]
--[[Azure Private Link]] / [[Endpoint>Azure Private Endpo...
-アウトバウンド~
[[Azureのプロキシ的なモノ。]]
--[[Azure Firewall]](フィルタ / ログ)
--[[Azure Private Link]] / [[Endpoint>Azure Private Endpo...
-最低限
--課金モニタリング
--環境モニタリング
***デバイス保護 [#jb09d729]
BYODは危ない。
-ハードニング~
EDR & TVM(Endpoint Protection、[[マルウェア対策>https://d...
--Endpoint Detection & Response
--Threat Vulnerability Management
-行動制限~
安全なサービスのみに接続先を制限
--クラウドプロキシ型
--端末エージェント型
-行動ログ取得~
端末上での作業内容を記録
--DaaS 録画型
--端末エージェント型
※ ローカルの完全な保護が難しいとなるので、以下の措置に行...
-ローカルネットワークの制限
--アウトバウンド:プロキシ適用
--インバウンド:FW適用
-専用の[[シン・クライアント>#a23e9f1b]]端末。
***微妙なゼロトラスト [#kb1736da]
ゼロトラストは、~
「あらゆる要素を検証し信用を積み上げ、その信用に応じたア...
と言うコンセプトなので、単体での対策は≒「微妙なゼロトラス...
-何も信用しないゼロトラスト~
=思いつくセキュリティ施策を全部やる~
単に今までのセキュリティ施策を全部重ねがけしただけ。
-マイクロ・セグメンテーションでゼロトラストを実現する~
=サーバ単位にネットワークを隔離してハードニング~
(そしてネットワーク監視ソリューションを売り込む)
-クラウドプロキシによりゼロトラストを実現する~
=単にネットワークまわりの通信制御の面倒ごとを 1 box 化し...
-動的認可ポリシーエンジンでゼロトラストを実現する
--動的認可ポリシーエンジン=信用スコアを用いた動的な認可...
--=考え方としては正しいものの製品が追い付いていない場合...
*参考 [#mfb39aad]
**とあるコンサルタントのつぶやき [#l080a86e]
***FgCF (Financial-grade Cloud Fundamentals) のご紹介 [#v...
http://nakama.azurewebsites.net/?p=78
-https://github.com/nakamacchi/fgcf
***[[おうちゼロトラストから学ぶ実践的セキュリティ強化>htt...
**[[シン・クライアント>OA-LANとAzureのVNETの分離#ua896645...
-VDIやDaaS等のソリューションがある。
-ハイ・セキュアゾーンへの入り口に必要。
-ユーザは
--ゼロトラスト・ゾーンに接続し、
--ハイ・セキュアゾーンへはシン・クライアントで入る。
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azure Subscriptionの管理@エンプラ]]
* 目次 [#v53c60a8]
#contents
*概要 [#n44a8d8f]
FgCFは、MSKKがコンサル内容を、汎化して一般公開しているも...
**スコープ [#g90d6038]
|クラウド利用者の責任範囲|自システムの設計・運用に関する...
|~|自システムの基本的な安全性(具体例: CIS Controls への...
|クラウド事業者の責任範囲|ファシリティ(データセンタ)と...
※ CIS Controlsは、NISTのSP800-53で定義されている事項のサ...
「最初に最低限行わなければならない」ことに着眼してまと...
**課題 [#iec2ea95]
***海外の成功事例 [#ffc2815d]
-適切な技術回帰により自社の Tech Intensity (技術を自ら実...
-競争領域に関しては、内製型アジャイル開発にシフトして、継...
-非競争領域に関しては、アウトソースを活用しながらも、開発...
***国内の課題 [#t3daae9b]
-閉鎖的な IT 環境 : 境界セキュリティを前提とした IT 環境
-新技術導入がしにくい社内ルール : 最新技術の積極活用を拒...
-IT 人材の技術力不足 : 最新技術を利活用できない・手を動か...
**解決 [#abbe51ec]
-IT インフラ全体を
--目先の話に留まらず、
---セキュリティ強化
---サーバ環境のクラウド化
---リモートワーク対応
--[[ゼロトラスト>#ce985e9f]]・モデルにモダナイゼーション
--企業全体の DX 推進の礎とする。
-すべての端末・サーバを[[マイクロ・セグメンテーション>#cd...
ユーザから見て、SSOで、どの端末から、どこのサーバへも行け...
*詳細 [#ia88e622]
-GitHub 上にインデックス・ページがある。
--GitHub - nakamacchi/fgcf:~
Financial-grade Cloud Fundamentals~
https://github.com/nakamacchi/fgcf
-以下のようなコンテンツを含んでいる。
--ゼロトラスト型マルチクラウド環境を念頭に置いて、~
どのように OA 環境や DC 環境を構成すべきかという全体構成論
--仮想ネットワークや [[Azure AD>Microsoft Azure Active Di...
Azure 技術に関する実践的な視点からの解説
--より具体的に IaaS VM や PaaS Web Apps, AKS などを利用し...
どのようにシステムを構成すべきかのリファレンス・アーキテ...
**歩き方 [#rb4080e7]
***すべての利用者 [#q9cd390a]
先ず「ゼロトラスト型マルチクラウド IT 環境」を確認する。
-ゼロトラスト入門編~
≒ [[ゼロトラスト>#ce985e9f]]
-OA 環境設計
-- ≒ [[既存環境からの移行ステップ>#s5027fbf]]
-- ≠ [[開発環境>#n5769e5a]](...
-[[Azure Well-Architected Framework]] - [[Security>Azure ...
***共通技術 [#f8093d0b]
更に「Azure による仮想データセンタ構築手法 - 共通技術」と...
-[[VDC 構築の進め方の全体像>Azure Virtual Data Center]]
-ネットワーク基盤の構築方法
--[[Azureの仮想ネットワーク]](基礎)
---[[Azure Virtual Data Center]]
---[[Azureの高可用性設計]]
---[[Azureによる基盤開発法]]
--[[ARM テンプレートの利用方法>Azure Resource Manager テ...
-認証基盤の構築方法
--[[Azure Active Directory]]
--[[Azureのアクセス制御と権限]]
--[[AzADirectoryのテナント作成方法>Azure Active Directory...
***IT インフラエンジニア向け [#u23eb58c]
-IaaS の構成方法
--[[Azure Virtual Data Center]]
--[[Azureの仮想ネットワーク]]
--[[Azureの仮想マシン]]
-[[DaaS の構成方法>#a23e9f1b]]
***開発エンジニア向け [#n5769e5a]
-PaaS の構成方法
--[[AKSをセキュアに利用するためのテクニカルリファレンス]]
--[[AppService閉域構成テクニカルリファレンス]]
--ARO (Azure Red Hat OpenShift)...
--Azure Batch...
-DevOps の構成方法
--[[Azure DevOps]]
※ 開発環境については [[OA 環境>#q9cd390a]]と同列に語れな...
**ゼロトラスト [#ce985e9f]
-どこかの団体で規定されるような、正式な定義が存在しない(...
-長いサイクルによる複数の手段で成り立つ(それは20年、30年...
-コンプライアンスは事業継続において必要不可欠であるが戦略...
--セキュリティ実装と投資をしてコンプライアンスを守っても...
--セキュリティOutcomeではなくビジネスOutcomeにフォーカス...
侵害があった場合、損害と失敗を引き起こす、守るべき資産を...
***境界型ネットワーク(従来型) [#c31b5ae3]
境界型ネットワークの問題
-「中は安全、外は危険」という、ある意味では非常に雑な、バ...
-...と言う事で、クラウド活用が進む中、境界型ネットワーク...
コレを維持しようとすると、「境界」をいたずらに肥大化させ...
--閉域縛り:オンプレのみ。
--みなしオンプレ:VPN接続+閉域と同じセキュリティ・ポリシ...
--みなし閉域:XaaSに、IPアドレス制限をかける
-ソリューションとして~
「[[ゼロトラスト型ネットワーク>#v848f6d2]]」がある。~
ゼロトラスト化で、以下が期待できる。
--社内 LAN が閉域でなくても一定の安全性を保てるようになる。
--セキュリティ向上だけではなく IT のアジリティ向上にも役...
--それ以外にも、回線やSaaS化によるコスト最適化につながる。
***[[ゼロトラスト型ネットワーク>#x4d70750]] [#v848f6d2]
-[[トラストのベースは主体(ID)の信頼性(正当性)>#i6336b...
-戦略的考え方
--[[新しい論理的なセキュリティ境界を作り出す技術要素>#t28...
--ネットワークを[[マイクロ・セグメンテーション>#cd279555]...
--[[ラテラル・ムーブメントを防ぐ>#o896f5d7]]リバレッジ(...
--これは、詳細なエンフォースメント(法執行)により実行さ...
-参考:[[ゼロトラスト - 開発基盤部会 Wiki>https://dotnetd...
***トラストのベースは、主体(ID)の信頼性(正当性) [#i63...
-「ネットワーク経路」は、一要素でしかない~
様々な要素を総合的に判断できる仕組み・仕掛を導入
--クレデンシャル情報
---パスワード
---多要素認証(生体認証・ワンタイムパスワード)
--ユーザ・コンテキスト(ユーザ・プロファイル情報)
--ロケーションに基づくポスチャ(認証後の振る舞い)
>※ [[Azure AD>Microsoft Azure Active Directory]]の[[条件...
***新しい論理的なセキュリティ境界を作り出す技術要素 [#t28...
-[[ID 管理・権限制御>#i6336b6a]]
-ハードニング
--[[サーバ保護>#v7c0cd6a]]
--[[デバイス保護>#jb09d729]]
-情報保護・統制
--サーバ
--デバイス
-ログ収集・監査
--サーバ~
[[サーバ保護>#v7c0cd6a]]
--デバイス~
[[デバイス保護>#jb09d729]]
***マイクロ・セグメンテーション [#cd279555]
-[[ゼロトラスト型ネットワーク>#v848f6d2]]書籍の中で語られ...
[[ラテラル・ムーブメントを防ぐ>#o896f5d7]]セグメンテーシ...
-≒ 自宅Wi-Fiの隔離機能~
SSIDに接続している無線機器はInternet側とだけ通信可能にな...
-注意すべきポイント~
端末系とサーバ系とで
--粒度が異なる。
---端末系~
端末単位でセグメンテーション
---サーバ系~
論理的(業務的)な意味で管理し易い業務システム
--阻害要因が異なる。
---端末系~
...
---サーバ系~
システムの重要性などに応じて、認証・認可制御の選択が必要。
-実践;[[既存環境からの移行ステップ>#s5027fbf]]
***ラテラル・ムーブメントの防止 [#o896f5d7]
-原点
--近代的なセキュリティを考える上では最も重要(原点)
--ラテラル・ムーブメントの防止
--- → [[マイクロ・セグメンテーション>#cd279555]]
--- → [[ゼロトラスト型ネットワーク>#v848f6d2]]
-要素
--構成要素
---ラテラル・ムーブメント = 水平攻撃・水平移動
---[[マイクロ・セグメンテーション>#cd279555]]戦略による抑止
---その他~
・堅牢な認証基盤による主体(プリンシパル)の確実な特定(...
・SIEM([[Azure Sentinel]]など)による遠隔監視・制御の仕...
--[[技術要素>#t28536c0]]
***[[参考>#sbe03823]] [#pd96fa67]
**既存環境からの移行ステップ [#s5027fbf]
***現実的な [#fdd21c6c]
-戦略~
ハイ・セキュアゾーン(≒[[境界型ネットワーク>#c31b5ae3]])...
--ハイ・セキュアゾーンを隔離して、[[ゼロトラスト型ネット...
--ハイ・セキュアゾーン(≒オンプレ)も段階的に[[ゼロトラス...
--これにより、全体が閉域でないと安全性を担保できない、と...
-構成~
ロー・セキュアゾーンを[[ゼロトラスト型ネットワーク>#v848f...
--ロー・セキュアゾーンの拡張を原則として禁止
--新規開発システムは[[ゼロトラスト型ネットワーク>#v848f6d...
(ロー・セキュアゾーン → ゼロトラスト・ゾーン)
***オンプレ延伸 [#aed3c834]
-[[VPN Gateway]]
-[[Azure ExpressRoute]]
-[[Azure Peering Service]]
※ IPアドレスの枯渇や、[[ラテラル・ムーブメントの防止>#o89...
***ゼロトラスト拡張 [#uc3de4ee]
[[Hub & Spoke 構成の仮想ネットワーク>Azureの仮想ネットワ...
-IaaS / PaaS活用:[[ゼロトラスト型構成の仮想ネットワーク>...
-SaaS活用:[[Azure Peering Service]]
-DaaS活用~
ユーザは
--ゼロトラスト・ゾーン → ハイ・セキュアゾーンの境界越えに...
--ゼロトラスト・ゾーンで、ファット・クライアントを利用(→...
***ローカル活用 [#u296152a]
ローカルから、ゼロトラスト・ゾーンへ侵入を許可する。
-[[デバイス保護>#jb09d729]]が必要になる。
-経路
--強制VPN収容(新規VNETを作成)
--ローカル・ブレイクアウト~
クラウドサービスのトラフィックを識別して~
企業拠点から直接インターネットに送出する方法
***サーバ保護 [#v7c0cd6a]
野良クラウド(シャドウIT)は危ない。
-ハードニング~
[[Azure Security Center>Azureの監視と管理#ya8d8b14]]
-インバウンド~
[[AzureのGW / LB的なモノ。]]
--[[DaaS>#a23e9f1b]]
--[[Azure Application Gateway]]
--[[Azure Private Link]] / [[Endpoint>Azure Private Endpo...
-アウトバウンド~
[[Azureのプロキシ的なモノ。]]
--[[Azure Firewall]](フィルタ / ログ)
--[[Azure Private Link]] / [[Endpoint>Azure Private Endpo...
-最低限
--課金モニタリング
--環境モニタリング
***デバイス保護 [#jb09d729]
BYODは危ない。
-ハードニング~
EDR & TVM(Endpoint Protection、[[マルウェア対策>https://d...
--Endpoint Detection & Response
--Threat Vulnerability Management
-行動制限~
安全なサービスのみに接続先を制限
--クラウドプロキシ型
--端末エージェント型
-行動ログ取得~
端末上での作業内容を記録
--DaaS 録画型
--端末エージェント型
※ ローカルの完全な保護が難しいとなるので、以下の措置に行...
-ローカルネットワークの制限
--アウトバウンド:プロキシ適用
--インバウンド:FW適用
-専用の[[シン・クライアント>#a23e9f1b]]端末。
***微妙なゼロトラスト [#kb1736da]
ゼロトラストは、~
「あらゆる要素を検証し信用を積み上げ、その信用に応じたア...
と言うコンセプトなので、単体での対策は≒「微妙なゼロトラス...
-何も信用しないゼロトラスト~
=思いつくセキュリティ施策を全部やる~
単に今までのセキュリティ施策を全部重ねがけしただけ。
-マイクロ・セグメンテーションでゼロトラストを実現する~
=サーバ単位にネットワークを隔離してハードニング~
(そしてネットワーク監視ソリューションを売り込む)
-クラウドプロキシによりゼロトラストを実現する~
=単にネットワークまわりの通信制御の面倒ごとを 1 box 化し...
-動的認可ポリシーエンジンでゼロトラストを実現する
--動的認可ポリシーエンジン=信用スコアを用いた動的な認可...
--=考え方としては正しいものの製品が追い付いていない場合...
*参考 [#mfb39aad]
**とあるコンサルタントのつぶやき [#l080a86e]
***FgCF (Financial-grade Cloud Fundamentals) のご紹介 [#v...
http://nakama.azurewebsites.net/?p=78
-https://github.com/nakamacchi/fgcf
***[[おうちゼロトラストから学ぶ実践的セキュリティ強化>htt...
**[[シン・クライアント>OA-LANとAzureのVNETの分離#ua896645...
-VDIやDaaS等のソリューションがある。
-ハイ・セキュアゾーンへの入り口に必要。
-ユーザは
--ゼロトラスト・ゾーンに接続し、
--ハイ・セキュアゾーンへはシン・クライアントで入る。
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
