Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure Network Security for SQL Server Users (Fundamentals)

Hidekazu Sato
April 23, 2022
Technology
0
270

Azure Network Security for SQL Server Users (Fundamentals)

JSSUG 53th Microsoft Data Platform Day 登壇資料
【初級、中級者向け】SQL Server ユーザーのための Azure ネットワーク セキュリティ(基礎編)

Hidekazu Sato

April 23, 2022
Tweet

More Decks by Hidekazu Sato

See All by Hidekazu Sato
Azure Data Factory private network
mshsato
0
440
Azure Data Services choices for SQL Server Users
mshsato
0
410

Other Decks in Technology

See All in Technology
Building a RAG-powered AI chat app with Python and VS Code
pamelafox
0
100
Delivering Millions of Messages within seconds @ Duolingo
pelelgrino
0
350
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
2
480
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
760
エンジニア候補者向け資料2024.04.24.pdf
macloud
0
3.3k
よく聞くけど使ったことないソフトウェアNo.1 KafkaとSnowflake
foursue
4
360
いつか使うかも貯金してたらめちゃめちゃ機能が増えてた話
riyaamemiya
0
270
Cracking the KubeCon CfP
inductor
2
250
Google Cloud Next '24でブログを10本書いた方法と勉強会を沸かせた方法
yasumuusan
0
300
SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた
coconala_engineer
0
330
長期間TiDBを使ってきた話 @ 私たちはなぜNewSQLを使うのかTiDB選定5社が語る選定理由と活用LT / Experiences with TiDB Over Time
chibiegg
2
900
反実仮想機械学習とは何か
usaito
PRO
11
4.7k

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
121
16k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
17
6.4k
Bootstrapping a Software Product
garrettdimon
PRO
302
110k
Documentation Writing (for coders)
carmenintech
60
3.9k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
30
6k
Designing Experiences People Love
moore
136
23k
Agile that works and the tools we love
rasmusluckow
325
20k
[RailsConf 2023] Rails as a piece of cake
palkan
23
4k
Writing Fast Ruby
sferik
621
60k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
274
13k
Web Components: a chance to create the future
zenorocha
305
41k
Rebuilding a faster, lazier Slack
samanthasiow
73
8.2k

Transcript

  1. None

  2. 自己紹介 日本マイクロソフト株式会社 カスタマーサクセス事業本部 データ&クラウドAI アーキテクト統括本部 シニア クラウドソリューション アーキテクト 佐藤 秀和(さとう

    ひでかず) Mail : [email protected] Azure データサービスの導入に関する技術支援を行っています。 2001年にマイクロソフトへ入社以来データベース エンジニアリング一筋。 お客様やパートナー様に、マイクロソフトのデータサービスをより良くご活用いただく ために、日々奮闘中。

  3. アジェンダ

  4. クラウドにおける共同責任モデルとセキュリティ クラウドサービスの種類と共同責任モデル セキュリティインシデントの傾向 決済サービス提供会社が保有するサーバーが不正アクセス を受け、クラウドサービス上に保存されていた約2,000万件の機密情 報が流出。 原因はサーバー更新時にアクセス権の設定を誤り、本来は社員しか閲 覧できないデータファイルが外部の人間も閲覧可能な状態となってい たことが原因

  5. 企業ネットワーク内にある SQL Server の移行

  6. Azure への移行: 閉域化ネットワークの延伸 Web Apps App Service Express Route VM

    App Service Gateway Azure Firewall Azure Bastion Private Link Private Link NSG で In/Out 通信を 適切に管理 Azure Firewallから外に出す In/Outを可能な限り集約 いったん Hub に引き込む VNETピアリングで Hub / Spoke間をつなぐ Private Link でVNETに PaaSサービスのエンドポイ ントを引き込む パブリックネットワーク からのアクセスを ブロックする SQL Database BLOB Storage

  7. Virtual Network (仮想ネットワーク)

  8. Express Route / VPN https://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-introduction https://docs.microsoft.com/ja-jp/azure/vpn-gateway/tutorial-site-to-site-portal

  9. ハブアンドスポーク ネットワーク トポロジ https://docs.microsoft.com/ja-jp/azure/cloud-adoption-framework/decision-guides/software-defined-network/hub-spoke?msclkid=116cb807c24611ecaa0bca0b0faee2af https://docs.microsoft.com/ja-jp/azure/cloud-adoption-framework/ready/azure-best-practices/hub-spoke-network-topology

  10. 仮想ネットワークと各種サービス Spoke Spoke Hub FW ① VNET 統合 VNET 内

    に直接組 み込み • App Service (ASE) • SQL Managed Instance(SQLMI) • Kubernetes Services (AKS) • Red Hat OpenShift (ARO) • Azure Bastion • etc.. Spoke Spoke Hub FW ③ サービスエンドポイント VNET から 直接通信 • Storage Service Spoke Spoke Hub FW ④ Azure Firewall Firewall 経 由で通信 • App Service • Storage Service • SQL Database • Key Vault • etc.. Spoke Spoke Hub FW ② プライベートリンク VNET に 引き込み • Azure Storage • SQL Database • App Service • Key Vault • Cosmos DB • Cognitive Service • etc... • 社内に PaaS 共通基盤を作りたい場 合に利用 • 一つの業務を載せるだけではコス ト的に不利なため、複数の業務で 共用する必要がある • 第一に利用を考えるべき方式 • SQL DB, Storage, Key Vault など 多くのサービスでこの方式を使う • Azure Storage でのみ利用可能な方 法、プライベートリンク方式では 通信処理コストが高くなりすぎる 場合に利用 • Blob ストレージに巨大データを配 置して処理するような場合に利用 する • プライベートリンクが未サポート の HTTP/HTTPS サービスで利用 する • Azure AD や Azure ポータルなどへ の接続にこの方式を利用する

  11. プライベート エンドポイント / プライベート リンク https://docs.microsoft.com/ja-jp/azure/azure-sql/database/private-endpoint-overview?msclkid=a4bbcb7ac25411ec8c96ff4e9ffab616

  12. SQL データベース ファイヤーウォール設定 https://docs.microsoft.com/ja-jp/azure/azure-sql/database/firewall-configure

  13. オンプレミス NW / 外部クラウド Azure Data Factory with Self-hosted Integration

    Runtime Synapse Analytics Analysis Services Azure Automation etc Process • Self-hosted IR を使用して、閉じたネットワーク内のデータを安全に取得することが可能 • Self-hosted IR は様々なデータソースに接続することが可能 (https://docs.microsoft.com/ja-jp/azure/data-factory/copy-activity-overview) • Data Factory のアクティビティとして様々なデータ変換ツールを利用可能 (https://docs.microsoft.com/ja-jp/azure/data-factory/transform-data) Parallel loading with PolyBase Azure 内データソース間は Azure IR が使用される Self-hosted IR がオンプレデータを 安全にコピー 443/TCP Azure Databricks Batch Service Functions Data Factory HDInsight Data Flows Machine Learning Windows Server にインストール

  14. プライベートネットワーク通信が必要な際には PaaS がソース/シンクの際でも Self-Hosted IR が必要 Azure オンプレミス NW Azure

    オンプレミス NW マネージド仮想ネットワークを利用するなどで対応も可能

  15. (再掲) Azure への移行: 閉域化ネットワークの延伸 Web Apps App Service Express Route

    VM App Service Gateway Azure Firewall Azure Bastion Private Link Private Link NSG で In/Out 通信を 適切に管理 Azure Firewallから外に出す In/Outを可能な限り集約 いったん Hub に引き込む VNETピアリングで Hub / Spoke間をつなぐ Private Link でVNETに PaaSサービスのエンドポイ ントを引き込む パブリックネットワーク からのアクセスを ブロックする SQL Database BLOB Storage

  16. https://docs.microsoft.com/ja-jp/security/benchmark/azure/baselines/sql-database-security- baseline?toc=/azure/azure-sql/toc.json https://www.microsoft.com/ja- jp/events/azurebase/fgcf/?msclkid=63621275c25611ecbe8937c74432d602 https://github.com/nakamacchi/fgcf?msclkid=6362fbb9c25611ec851a1bff8d3bd9f4 参考情報

  17. ◼ 本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、 ここに記載した情報に対していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。 ◼ 本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。 ◼

    すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、どのような形式または手段(電子的、 機械的、複写、レコーディング、その他)、および目的であっても禁じられています。 これらは著作権保護された権利を制限するものではありません。 ◼ Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの 特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。 © 2021 Microsoft Corporation. All rights reserved. Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。 その他、記載されている会社名および製品名は、一般に各社の商標です。