Microsoft365の認定資格「Microsoft Certified: Security, Compliance, and Identity Fundamentals」の学習コンテンツとして提供されている4つのラーニングパスのうちの3つめ、「SC-900 パート 3: Microsoft セキュリティ ソリューションの機能について説明します」の学習をしています。
1つめのモジュール「Azure の基本的なセキュリティ機能について説明する」を学習しました。
ユニット:Azure ネットワーク セキュリティ グループについて説明する
とうとう苦手なネットワークの話題が登場しました。従来のHWベースのネットワークすらよくわかっていないんだけど、仮想ネットワークで定義し、セキュリティ設定をするなんて、自分には敷居が高すぎる。
と、考えていたんだけど、「セキュリティ グループ」といキーワードから、そういえば、従来からあるActive Directoryにも、セキュリティ グループってあったよな。ディレクトリ内にユーザーやユーザーグループを定義して、アクセス権管理に使うアレ。Azureでも同じ(似た)管理方法でネットワークを定義しようっていうことなのかな?と気が付いたら、なんだか、スッと腹落ちして理解が進みました。
ファイルのアクセス権限設定は、ユーザーグループに読み書き削除などの操作の種類も含めてやるのと同じように、仮想ネットワークもセキュリティ規則として、送信元、送信元ポート、送信先、送信先ポート、プロトコルの 5 つの情報ポイントを使用して定義し、複数の定義を優先度付けして選択できるようにしておく。
SharePointのほうは、一人のユーザーに複数の設定があれば、より多くの操作ができる方を優先するという原則があるけど、ここで定義するセキュリティ規則は、ガイドラインとして「同じ優先度と方向を持つ2つのセキュリティ規則を定義しない」事になっている。
このあたりはほかの権限設定などの制御の仕組みと異なるので、注意が必要ですね。規則を設定するときは、このガイドラインに反する設定になってしまわないか、他の規則もよく確認する必要があるってことですね。
Microsoft365のテナントを運用する場合は、ここまで考える必要はないですね。マイクロソフトさんがすべて定義してくれていて、その規則に従って利用するだけですから。Azure上に仮想マシンを立てて独自システムを構築する場合には、このあたりの考え方を理解しておく必要がありますね。
ユニット:Azure の DDoS 保護について説明する
一般的なDDos攻撃の概要と、Azureでの保護の仕組みの説明。BasicとStandardがあって、Standardは追加の課金がありますよっと。
100リソースで、月額329,678円!む~り~。
ユニット:Azure Firewall とは何かについて説明する
主要機能として
組み込みの高可用性および可用性ゾーン
モジュール「Azure の基本的なセキュリティ機能について説明する」より
ネットワークおよびアプリケーション レベルのフィルター処理
インターネット リソースと通信するための送信 SNAT および受信 DNAT
複数のパブリック IP アドレス
脅威インテリジェンス
Azure Monitor との統合
とあるけど、「これだけに限られません。」とか書いてあるし (^^;
まぁ、とにかく、「Azure Firewall を使用すると、Azure 仮想ネットワークに接続した Azure リソースを保護できます。」ということで。この先の詳細な内容は、Azureを深く掘り下げないと、理解しがたいようです。とりあえず今はここまで。
ユニット:Azure Bastion とは何かについて説明する
従来のモデルでは、リモート デスクトップ プロトコル (RDP) ポートと Secure Shell (SSH) ポートをインターネットに公開する必要があります。 これらのプロトコルを使用して、VM へのリモートアクセスを取得できます。 このプロセスによって、攻撃者によって悪用される可能性がある重大な対象領域への脅威が生じます。
Azure Bastion では、トランスポート層セキュリティ (TLS) を使用して、Azure portal から仮想マシンへのセキュリティで保護されたシームレスな RDP または SSH の直接接続が提供されます。 Azure Bastion 経由で接続する場合、仮想マシンにパブリック IP アドレス、エージェント、クライアント ソフトウェアはいずれも不要です。
モジュール「Azure の基本的なセキュリティ機能について説明する」より
要は、仮想ネットワーク内のすべての VM に対して安全な RDP および SSH 接続を提供してくれて、なおかつ、仮想マシンが RDP または SSH ポートを外部に公開しないように保護してくれるのね。
ユニット: Web アプリケーション ファイアウォールとは何かについて説明する
SQL インジェクションやクロスサイト スクリプティングなどの攻撃を「一元管理できる」ので「セキュリティい管理が簡単になる」のがウリなんですね。具体的な機能については詳しい紹介がないと思ったら、サービスごとにカスタマイズされた機能があるとのこと。Azureのサービスってメチャ多いから、全部ここで紹介することは無理ですよね。
ユニット: Azure でデータを暗号化する方法について説明する
こちらもいろいろなサービスの概要紹介で、サービスの名称が羅列されていてカタログ化パンフレットみたいなノリ。お腹いっぱい。
やっぱり、セキュリティは難しいですねぇ。見えないものを見えない仕組みで防御する世界ですからね。それにどんどん新しい攻撃方法が出てきてイタチごっこなので、常に新情報を追いかけ続けなきゃならないし。難儀な仕事だこと。
もともとはMicrosoft365テナントの管理をするうえで必要と思って、SC-900の勉強もしているわけだけど、このあたりのセキュリティの仕組みは、Microsoft365テナントでどう働くんでしょうね?まったく関係ない違う仕組みなんでしょうかね?わからないなりに興味は湧いてきます。
コメント