Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure Network Security for SQL Server Users (Fundamentals)

Azure Network Security for SQL Server Users (Fundamentals)

JSSUG 53th Microsoft Data Platform Day 登壇資料
【初級、中級者向け】SQL Server ユーザーのための Azure ネットワーク セキュリティ(基礎編)

10cc99ece01281059b508f486c02432f?s=128

Hidekazu Sato

April 23, 2022
Tweet

More Decks by Hidekazu Sato

Other Decks in Technology

Transcript

  1. None
  2. 自己紹介 日本マイクロソフト株式会社 カスタマーサクセス事業本部 データ&クラウドAI アーキテクト統括本部 シニア クラウドソリューション アーキテクト 佐藤 秀和(さとう

    ひでかず) Mail : hsato@microsoft.com Azure データサービスの導入に関する技術支援を行っています。 2001年にマイクロソフトへ入社以来データベース エンジニアリング一筋。 お客様やパートナー様に、マイクロソフトのデータサービスをより良くご活用いただく ために、日々奮闘中。
  3. アジェンダ

  4. クラウドにおける共同責任モデルとセキュリティ クラウドサービスの種類と共同責任モデル セキュリティインシデントの傾向 決済サービス提供会社が保有するサーバーが不正アクセス を受け、クラウドサービス上に保存されていた約2,000万件の機密情 報が流出。 原因はサーバー更新時にアクセス権の設定を誤り、本来は社員しか閲 覧できないデータファイルが外部の人間も閲覧可能な状態となってい たことが原因

  5. 企業ネットワーク内にある SQL Server の移行

  6. Azure への移行: 閉域化ネットワークの延伸 Web Apps App Service Express Route VM

    App Service Gateway Azure Firewall Azure Bastion Private Link Private Link NSG で In/Out 通信を 適切に管理 Azure Firewallから外に出す In/Outを可能な限り集約 いったん Hub に引き込む VNETピアリングで Hub / Spoke間をつなぐ Private Link でVNETに PaaSサービスのエンドポイ ントを引き込む パブリックネットワーク からのアクセスを ブロックする SQL Database BLOB Storage
  7. Virtual Network (仮想ネットワーク)

  8. Express Route / VPN https://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-introduction https://docs.microsoft.com/ja-jp/azure/vpn-gateway/tutorial-site-to-site-portal

  9. ハブアンドスポーク ネットワーク トポロジ https://docs.microsoft.com/ja-jp/azure/cloud-adoption-framework/decision-guides/software-defined-network/hub-spoke?msclkid=116cb807c24611ecaa0bca0b0faee2af https://docs.microsoft.com/ja-jp/azure/cloud-adoption-framework/ready/azure-best-practices/hub-spoke-network-topology

  10. 仮想ネットワークと各種サービス Spoke Spoke Hub FW ① VNET 統合 VNET 内

    に直接組 み込み • App Service (ASE) • SQL Managed Instance(SQLMI) • Kubernetes Services (AKS) • Red Hat OpenShift (ARO) • Azure Bastion • etc.. Spoke Spoke Hub FW ③ サービスエンドポイント VNET から 直接通信 • Storage Service Spoke Spoke Hub FW ④ Azure Firewall Firewall 経 由で通信 • App Service • Storage Service • SQL Database • Key Vault • etc.. Spoke Spoke Hub FW ② プライベートリンク VNET に 引き込み • Azure Storage • SQL Database • App Service • Key Vault • Cosmos DB • Cognitive Service • etc... • 社内に PaaS 共通基盤を作りたい場 合に利用 • 一つの業務を載せるだけではコス ト的に不利なため、複数の業務で 共用する必要がある • 第一に利用を考えるべき方式 • SQL DB, Storage, Key Vault など 多くのサービスでこの方式を使う • Azure Storage でのみ利用可能な方 法、プライベートリンク方式では 通信処理コストが高くなりすぎる 場合に利用 • Blob ストレージに巨大データを配 置して処理するような場合に利用 する • プライベートリンクが未サポート の HTTP/HTTPS サービスで利用 する • Azure AD や Azure ポータルなどへ の接続にこの方式を利用する
  11. プライベート エンドポイント / プライベート リンク https://docs.microsoft.com/ja-jp/azure/azure-sql/database/private-endpoint-overview?msclkid=a4bbcb7ac25411ec8c96ff4e9ffab616

  12. SQL データベース ファイヤーウォール設定 https://docs.microsoft.com/ja-jp/azure/azure-sql/database/firewall-configure

  13. オンプレミス NW / 外部クラウド Azure Data Factory with Self-hosted Integration

    Runtime Synapse Analytics Analysis Services Azure Automation etc Process • Self-hosted IR を使用して、閉じたネットワーク内のデータを安全に取得することが可能 • Self-hosted IR は様々なデータソースに接続することが可能 (https://docs.microsoft.com/ja-jp/azure/data-factory/copy-activity-overview) • Data Factory のアクティビティとして様々なデータ変換ツールを利用可能 (https://docs.microsoft.com/ja-jp/azure/data-factory/transform-data) Parallel loading with PolyBase Azure 内データソース間は Azure IR が使用される Self-hosted IR がオンプレデータを 安全にコピー 443/TCP Azure Databricks Batch Service Functions Data Factory HDInsight Data Flows Machine Learning Windows Server にインストール
  14. プライベートネットワーク通信が必要な際には PaaS がソース/シンクの際でも Self-Hosted IR が必要 Azure オンプレミス NW Azure

    オンプレミス NW マネージド仮想ネットワークを利用するなどで対応も可能
  15. (再掲) Azure への移行: 閉域化ネットワークの延伸 Web Apps App Service Express Route

    VM App Service Gateway Azure Firewall Azure Bastion Private Link Private Link NSG で In/Out 通信を 適切に管理 Azure Firewallから外に出す In/Outを可能な限り集約 いったん Hub に引き込む VNETピアリングで Hub / Spoke間をつなぐ Private Link でVNETに PaaSサービスのエンドポイ ントを引き込む パブリックネットワーク からのアクセスを ブロックする SQL Database BLOB Storage
  16. https://docs.microsoft.com/ja-jp/security/benchmark/azure/baselines/sql-database-security- baseline?toc=/azure/azure-sql/toc.json https://www.microsoft.com/ja- jp/events/azurebase/fgcf/?msclkid=63621275c25611ecbe8937c74432d602 https://github.com/nakamacchi/fgcf?msclkid=6362fbb9c25611ec851a1bff8d3bd9f4 参考情報

  17. ◼ 本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、 ここに記載した情報に対していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。 ◼ 本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。 ◼

    すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、どのような形式または手段(電子的、 機械的、複写、レコーディング、その他)、および目的であっても禁じられています。 これらは著作権保護された権利を制限するものではありません。 ◼ Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの 特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。 © 2021 Microsoft Corporation. All rights reserved. Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。 その他、記載されている会社名および製品名は、一般に各社の商標です。