More Related Content Similar to de:code 2018 CI17 「Azure のセキュリティと言っても範囲が広すぎるので、どこから手を付けたら良いのか分からない!」という方のためのセッション (20) More from Ryuki Yoshimatsu (6) de:code 2018 CI17 「Azure のセキュリティと言っても範囲が広すぎるので、どこから手を付けたら良いのか分からない!」という方のためのセッション13. サービスと作業
ネットワークの制御 可能 可能 インターネットのみ
TLS/暗号スイート OS の設定でフルカ
スタマイズが可能
限定的に可能 TLS のみ可能
セキュリティ
アップデートの作業
ユーザー マイクロソフト マイクロソフト
運用コスト 大 中 小
マイクロソフトに任せるか?自分で実装するか?
14. サービスと作業
ネットワークの制御 可能 可能 インターネットのみ
TLS/暗号スイート OS の設定でフルカ
スタマイズが可能
限定的に可能 TLS のみ可能
セキュリティ
アップデートの作業
ユーザー マイクロソフト マイクロソフト
運用コスト 大 中 小
マイクロソフトに任せるか?自分で実装するか?
17. ID とアクセス管理
データの管理
• イントラネットとインターネットの境界
• アクセスを許可するポートの制御
• 通信を許可するアプリケーションの識別
• 通信の暗号化
ネットワーク
機密性・完全性への対応
Azure
Virtual Network
Azure
Express Route
Network
Security Group
Azure
Application Gateway
18. • ID 基盤の冗長化
ID とアクセス管理
• 複製、バックアップ機能の利用
データの管理
• 複数リージョンとの接続
• リージョンを超えたロード バランシング
ネットワーク
可用性への対応
Azure Backup
Azure AD
Azure
Traffic Manager
Azure
VNET Peering
Azure
VPN Gateway
20. CIS Microsoft Azure Foundations Security Benchmark
https://azure.microsoft.com/en-us/resources/cis-microsoft-azure-foundations-security-benchmark/
26. Resonatex とは
地公体金融機関 A 異業種
Fintech 異業種 IoT・Big Data
API 利用
サービス
エンド ユーザー(消費者・企業)
自社アプリ
API 公開
プラット
フォーム
API 提供
サービス
共通アカウント”AduME”
認可エンジン
所有権管理
(オーナーシップ マネジメント)
「ResonatexTM」
金融機関 B
27. • Microsoft Azure プラットフォーム上にセキュアな VNET を構成
• その中に IaaS(Virtual Machines)で機能構築 +
いくつかの PaaS(API 管理:Azure API Management、
OAuth 2.0 認可:Authlete 等)を利用
• API を公開する企業群とは閉域ネットワーク(ExpressRoute)で接続
Resonatex のシステム構成
29. • ネットワーク セキュリティの観点から見ると、Resonatex はいわば
企業システムとインターネットの境界面・セキュリティ防護層
• セキュリティ実装の詳細は、残念ながら公開できませんが。。
金融機関に求められるレベルのセキュリティ要件をベースに、
Azure で提供されるもの、その他のもの、色々と組み合わせて実現
Resonatex のセキュリティ
31. ① オンプレでのベスト プラクティスはそのままでは通用しない
• クラウドの場合、物理的な「インライン」設置は不可
➢インライン接続的な動作を実現するため、外部からの通信を
一旦 IPS にルーティングした上で内部 NW に流す構成とした
クラウド上でのセキュリティ確保の留意点
Internet 内部 NetworkIPS/IDSFirewall
32. ② PaaS には注意
• 運用・保守を気にすることなく機能利用できる PaaS は非常に便利
• 一方、種々の制限/落とし穴もある たとえば。。
クラウド上でのセキュリティ確保の留意点
33. ② PaaS には注意(つづき)
• セキュアな VNET を構成しても、PaaS の DB サービスである
Azure SQL Database はその VNET の中に置けなかった(※次ページ注)
Azure SQL Database としても種々のセキュリティ対策は可能だが
それだけでは要件に合わない場合は IaaS で実装要
クラウド上でのセキュリティ確保の留意点
セキュアな内部 Network
…
36. © 2018 パロアルトネットワークス株式会社 All rights reserved.
本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。
本情報の内容 (添付文書、リンク先などを含む) は、de:code 2018 開催日 (2018年5月22~23日) 時点のものであり、予告なく変更される場合があります