No content

自己紹介 日本マイクロソフト株式会社 カスタマーサクセス事業本部 データ&クラウドAI アーキテクト統括本部 シニア クラウドソリューション アーキテクト 佐藤 秀和（さとう ひでかず） Mail : [email protected] Azure データサービスの導入に関する技術支援を行っています。 2001年にマイクロソフトへ入社以来データベース エンジニアリング一筋。 お客様やパートナー様に、マイクロソフトのデータサービスをより良くご活用いただく ために、日々奮闘中。

アジェンダ

クラウドにおける共同責任モデルとセキュリティ クラウドサービスの種類と共同責任モデル セキュリティインシデントの傾向 決済サービス提供会社が保有するサーバーが不正アクセス を受け、クラウドサービス上に保存されていた約2,000万件の機密情 報が流出。 原因はサーバー更新時にアクセス権の設定を誤り、本来は社員しか閲 覧できないデータファイルが外部の人間も閲覧可能な状態となってい たことが原因

企業ネットワーク内にある SQL Server の移行

Azure への移行: 閉域化ネットワークの延伸 Web Apps App Service Express Route VM App Service Gateway Azure Firewall Azure Bastion Private Link Private Link NSG で In/Out 通信を 適切に管理 Azure Firewallから外に出す In/Outを可能な限り集約 いったん Hub に引き込む VNETピアリングで Hub / Spoke間をつなぐ Private Link でVNETに PaaSサービスのエンドポイ ントを引き込む パブリックネットワーク からのアクセスを ブロックする SQL Database BLOB Storage

Virtual Network (仮想ネットワーク)

Express Route / VPN https://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-introduction https://docs.microsoft.com/ja-jp/azure/vpn-gateway/tutorial-site-to-site-portal

ハブアンドスポーク ネットワーク トポロジ https://docs.microsoft.com/ja-jp/azure/cloud-adoption-framework/decision-guides/software-defined-network/hub-spoke?msclkid=116cb807c24611ecaa0bca0b0faee2af https://docs.microsoft.com/ja-jp/azure/cloud-adoption-framework/ready/azure-best-practices/hub-spoke-network-topology

仮想ネットワークと各種サービス Spoke Spoke Hub FW ① VNET 統合 VNET 内 に直接組 み込み • App Service （ASE） • SQL Managed Instance（SQLMI） • Kubernetes Services （AKS） • Red Hat OpenShift （ARO） • Azure Bastion • etc.. Spoke Spoke Hub FW ③ サービスエンドポイント VNET から 直接通信 • Storage Service Spoke Spoke Hub FW ④ Azure Firewall Firewall 経 由で通信 • App Service • Storage Service • SQL Database • Key Vault • etc.. Spoke Spoke Hub FW ② プライベートリンク VNET に 引き込み • Azure Storage • SQL Database • App Service • Key Vault • Cosmos DB • Cognitive Service • etc... • 社内に PaaS 共通基盤を作りたい場 合に利用 • 一つの業務を載せるだけではコス ト的に不利なため、複数の業務で 共用する必要がある • 第一に利用を考えるべき方式 • SQL DB, Storage, Key Vault など 多くのサービスでこの方式を使う • Azure Storage でのみ利用可能な方 法、プライベートリンク方式では 通信処理コストが高くなりすぎる 場合に利用 • Blob ストレージに巨大データを配 置して処理するような場合に利用 する • プライベートリンクが未サポート の HTTP/HTTPS サービスで利用 する • Azure AD や Azure ポータルなどへ の接続にこの方式を利用する

プライベート エンドポイント / プライベート リンク https://docs.microsoft.com/ja-jp/azure/azure-sql/database/private-endpoint-overview?msclkid=a4bbcb7ac25411ec8c96ff4e9ffab616

SQL データベース ファイヤーウォール設定 https://docs.microsoft.com/ja-jp/azure/azure-sql/database/firewall-configure

オンプレミス NW / 外部クラウド Azure Data Factory with Self-hosted Integration Runtime Synapse Analytics Analysis Services Azure Automation etc Process • Self-hosted IR を使用して、閉じたネットワーク内のデータを安全に取得することが可能 • Self-hosted IR は様々なデータソースに接続することが可能 (https://docs.microsoft.com/ja-jp/azure/data-factory/copy-activity-overview) • Data Factory のアクティビティとして様々なデータ変換ツールを利用可能 (https://docs.microsoft.com/ja-jp/azure/data-factory/transform-data) Parallel loading with PolyBase Azure 内データソース間は Azure IR が使用される Self-hosted IR がオンプレデータを 安全にコピー 443/TCP Azure Databricks Batch Service Functions Data Factory HDInsight Data Flows Machine Learning Windows Server にインストール

プライベートネットワーク通信が必要な際には PaaS がソース/シンクの際でも Self-Hosted IR が必要 Azure オンプレミス NW Azure オンプレミス NW マネージド仮想ネットワークを利用するなどで対応も可能

(再掲) Azure への移行: 閉域化ネットワークの延伸 Web Apps App Service Express Route VM App Service Gateway Azure Firewall Azure Bastion Private Link Private Link NSG で In/Out 通信を 適切に管理 Azure Firewallから外に出す In/Outを可能な限り集約 いったん Hub に引き込む VNETピアリングで Hub / Spoke間をつなぐ Private Link でVNETに PaaSサービスのエンドポイ ントを引き込む パブリックネットワーク からのアクセスを ブロックする SQL Database BLOB Storage

https://docs.microsoft.com/ja-jp/security/benchmark/azure/baselines/sql-database-security- baseline?toc=/azure/azure-sql/toc.json https://www.microsoft.com/ja- jp/events/azurebase/fgcf/?msclkid=63621275c25611ecbe8937c74432d602 https://github.com/nakamacchi/fgcf?msclkid=6362fbb9c25611ec851a1bff8d3bd9f4 参考情報

◼ 本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、 ここに記載した情報に対していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。 ◼ 本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。 ◼ すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、どのような形式または手段（電子的、 機械的、複写、レコーディング、その他）、および目的であっても禁じられています。 これらは著作権保護された権利を制限するものではありません。 ◼ Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの 特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。 © 2021 Microsoft Corporation. All rights reserved. Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。 その他、記載されている会社名および製品名は、一般に各社の商標です。