Upgrade to Pro — share decks privately, control downloads, hide ads and more …

超楽しみ! Microsoft Entra ファミリーに SSE がやってきた!

shmatsuy
September 17, 2023
1.3k

超楽しみ! Microsoft Entra ファミリーに SSE がやってきた!

Japan Azure User Group 13周年イベントで登壇した際の資料
https://jazug.connpass.com/event/293744/

shmatsuy

September 17, 2023
Tweet

Transcript

  1. 超楽しみ! Microsoft Entra ファミリーに SSE (Security Service Edge) がやってきた! 2023

    年 9 月 日本マイクロソフト株式会社 Security Technical Specialist 松山 祥子
  2. Securit y Id entity & Managemen t Compli ance &

    Privacy Microsoft Defender Microsoft Sentinel Microsoft Purview Microsoft Entra マルチクラウド マルチデバイス Microsoft Priva マイクロソフトのセキュリティ ポートフォリオ Microsoft Intune Microsoft Security Copilot
  3. Azure AD に関する最新情報 720,000人 前年比 +33% 1 秒あたりの パスワード攻撃回数 4,000回

    3倍増 900億回 3倍増 Azure AD Premium を ご利用のお客様 Azure AD 毎日の認証要求処理回数
  4. Azure AD は Microsoft Entra ID に Azure AD External

    Identities Microsoft Entra External ID Azure AD Microsoft Entra ID Azure AD Free Microsoft Entra ID Free Azure AD Premium P1 Microsoft Entra ID P1 Microsoft 365 E3 に含まれる Azure AD Premium P2 Microsoft Entra ID P2 Microsoft 365 E5 に含まれる 同じ価格とライセンス
  5. Microsoft Entra 製品ファミリー ID & アクセス管理 新しい ID カテゴリ Microsoft

    Entra ID (currently Azure AD) Microsoft Entra Permissions Management Microsoft Entra Verified ID Microsoft Entra ID Governance Microsoft Entra External ID (formerly Azure AD External Identities) Microsoft Entra Workload ID ネットワーク アクセス Microsoft Entra Private Access Microsoft Entra Internet Access
  6. データ センターに備えられた従来の技術では ユーザーとクラウド アプリ間の接続を追跡不可 ユーザーのトラフィックを従来の VPN 経由でデータ センターに中継すると、すべての通信の速度が低下 VPN に対するはセキュリティ対策が不十分な場合

    悪用される可能性増大 管理とハードウェアのメンテナンスにより、従来の データ センター運用コストが増大 データ センターには、統合が困難な製品の集合体 となり、問題がより深刻化 データはオンプレミスのデータ センターの外側に分散し あらゆる場所からクラウド アプリやデータに接続する ユーザーが増加 Proxy UTM FW 本社 拠点 自宅 データ センター VPN MPLS S2S VPN etc… SD-WAN コントローラー 従来のネットワークセキュリティアプローチの限界
  7. SWG CASB FWaaS 本社 拠点 自宅 クラウド etc… SD-WAN SASE

    Proxy UTM FW 本社 拠点 自宅 データ センター VPN MPLS S2S VPN etc… SD-WAN コントローラー クラウド提供型のアプローチへ
  8. SASE と SSE とは? *As defined by Gartner SD-WAN SASE

    ZTNA SWG CASB FWaaS SSE ネットワーク環境に縛られないセキュリティ対策 安全なリモートアクセス環境を構築 ゼロトラストアクセスを実現 ユーザーの利便性向上 セキュリティ機能の統合によるコスト削減 SASE (Secure Access Service Edge) は、 機能として大きく 「ネットワーキングサービス」 と 「セキュリティサービス」 の2つからなり SSE (Security Service Edge) はこのうち、 「セキュリティサービス」 の部分を担う。 SASE の機能の一部が SSE SSE 導入のメリット
  9. Microsoft の Security Service Edge (SSE) ソリューション パブリック プレビュー Microsoft

    Entra Internet Access Microsoft Entra Private Access クラス最高のセキュリティ + 現在の Microsoft 365、および 2023 年後半 のすべてのインターネットと SaaS アプリ の高速アクセス SWG ZTNA
  10. ID とのより深い統合 ID とネットワーク アクセス制御 の統合 マイクロソフトの膨大な グローバルネットワーク 70 Azure

    リージョン 170+ エッジサイト 22.5万マイル+ 光ファイバー 2万+ ピアリングコネクション Microsoft のグローバルプライベー ト WAN のリソースから数ミリ秒で、 すべてのアプリとリソースへ 高速なアクセス セキュリティと可視性の強化 インターネットアプリと プライベートアプリ Microsoft 365 アプリ Microsoft または サードパーティー SSE Microsoft Entra Internet Access エンドポイント リモート ネットワーク ID 独自の Microsoft 365 価値と 他の SSE ソリューションとの サイドバイサイド展開を可能にする オープンプラットフォーム SSE に対する Microsoft 独自のアプローチ
  11. ID 中心の Security Service Edge (SSE) ソリューション Microsoft Entra Internet

    Access Microsoft 365 アプリ すべてのインターネットアプリ Microsoft Entra Private Access プライベート Web アプリ すべてのプライベートアプリ 凡例 GA パブリックプレビュー プライベートプレビュー July 11th,2023 マイクロソフトの ID 中心の SSE ソリューション
  12. 今回は一部プレビューの開始 • プレビューには、Microsoft Entra ID Premium P1 ライセンスが必要 • Microsoft

    365 トラフィック転送プロファイルを使用するには Microsoft 365 E3 ライセンスを推奨 • GA する際にはライセンス要件が変わる可能性があります 前提条件
  13. » ID 統合 » Public preview: すべての Microsoft Entra ID

    統合クラウド アプリのロケーションチェックと データ流出制御 » Public preview: 任意の宛先ネットワークに対するユニバーサル条件付きアクセス » アクセス制御 » Private preview: ユーザー/コンテキストを認識する URL/FQDN および Web カテゴリの フィルタリング » Coming soon: ユーザー/コンテキストを認識するクラウドファイアウォール (5-tuple) » Coming soon: あらゆる宛先に対するユニバーサル継続的アクセス評価 » 脅威対策 » Coming soon: TLS の終端とインスペクション » Coming soon: 脅威の検出 & 侵入検知と防御 すべてのインターネットおよび SaaS アプリ Microsoft Entra Internet Access エンドポイント リモートネットワーク ID マイクロソフトの Security Service Edge (SSE) ソリューション どこでも Microsoft グローバル プライベート WAN ※ 機能は、GA に向かう中で、継続的に追加されていきます ID 中心のセキュア Web ゲートウェイ (SWG) ソリューション Microsoft Entra Internet Access
  14. プライベートアプリ Microsoft Entra ID Private Access ユーザー 幅広いアプリケーションサポート すべてのプライベートアプリ (あらゆるアプリ、任意

    のポート、あらゆるプロトコル) への安全なアクセ スを提供 Web 以外のアプリにアクセス (RDP、SSH、 SMB、FTP、などを含むすべてのTCP / UDP) ID 中心のセキュリティ制御 Microsoft Entra 条件付きアクセス (CA) ポリ シーを使用してアクセスを制御 Coming soon: 継続的アクセス評価 (CAE) を使用してアクセスを取り消す SAML、Kerberos、ヘッダーベースなどを使用し たプライベートアプリへのシングルサインオン セグメント化されたアプリアクセス 完全なネットワークではなく、特定のアプリへのア クセスを有効にする ユーザーとデバイスの ID に基づいてプライベートア プリへのアクセスをセグメント化する Coming soon: プロセス ID に基づくマイクロセ グメンテーション アプリの検出とオンボーディング プライベートアプリを検出してオンボードし、 リソースへのアクセスをセグメント化 インテリジェントなローカルアクセス Coming soon: ハイブリッドユーザー向けの プライベートアプリへの適応型ローカルアクセス ID 中心の適応型ゼロトラストネットワークアクセス (ZTNA) Microsoft Entra Private Access
  15. 今までの Microsoft ゼロトラストセキュリティでは・・・ インターネット アプリ クラウド プロキシ等 Web フィルタリング 脅威保護

    etc リモートアクセス アクセスポリシー EDR / 自動修復 脆弱性管理 デバイス構成 アプリ構成 / 保護 コンプライアンスチェック 動的なアクセス制御(CA) ID ふるまい検知 Microsoft Entra Internet Access Microsoft Entra Private Access
  16. Global Secure Access (北米、南米、アジア、ヨーロッパ、アフリカ) Microsoft Entra Internet Access / Private

    Access HTTP/HTTPS RDP/SSH SMB, FTP プリンター … 通常のインターネットアクセス 条件付きアクセス 継続的アクセス評価 すべてのインターネットおよび SaaS アプリ Microsoft Entra Internet Access Global Secure Access クライアント VPN 接続 ルーター エージェント Microsoft Entra Private Access エンドポイント コネクタ インターネットアプリとリソース プライベートアプリとリソース 専用トンネル 専用トンネル 条件付きアクセス 継続的アクセス評価 GA:Windows Coming Soon; Mac OS / Android / iOS 統一クライアント
  17. Global Secure Access (北米、南米、アジア、ヨーロッパ、アフリカ) Microsoft Entra Internet Access / Private

    Access HTTP/HTTPS RDP/SSH SMB, FTP プリンター … 通常のインターネットアクセス 条件付きアクセス 継続的アクセス評価 すべてのインターネットおよび SaaS アプリ Microsoft Entra Internet Access Global Secure Access クライアント VPN 接続 ルーター エージェント Microsoft Entra Private Access エンドポイント コネクタ インターネットアプリとリソース プライベートアプリとリソース 専用トンネル 専用トンネル 条件付きアクセス 継続的アクセス評価 Global Secure Access を 利用するための条件指定 (MFA や端末準拠) ターゲットリソース へ アクセスするための条件指定 (Global Secure Access 経由を必須)
  18. ID 中心の ZTNA でプライベート アプリケーションへのアクセスを近代化 Private Application VPN は通常、ネットワーク全体の すべてのポートへのアクセスを許可

    1. VPN 認証に Microsoft Entra ID を設定 明示的なユーザーとデバイスの信頼性検証 デバイスをネットワーク内に置くことで完全なネットワー クアクセスを提供 (セグメント化されている場合もある) 2. Private Access でアプリを発行 明示的なユーザーとデバイスの信頼性検証 プライベート・アプリのみへのアクセスを提供 (シームレスなユーザー体験を実現) デバイスはネットワーク レベルにアクセス不可 Microsoft Entra Private Access Microsoft Entra ID VPN の先へ
  19. セットアップ • Windows Server 2012 R2 以降 • Microsoft Entra

    ID への接続 • アプリケーションへの接続 Entra Private Access 用のコネクタサーバー Entra Internet Access / Private Access クライアント • Windows 10 / 11 64 bit • Microsoft Entra Join(旧 Azure AD Join) or Hybrid Microsoft Entra Join(旧 Hybrid Azure AD Join)
  20. 設定は以下をご参照ください Microsoft Learn Global Secure Access に関するドキュメント | Microsoft Learn

    Zenn Microsoft Entra の Global Secure Access を使ってみる (Internet Access 編) (zenn.dev) Microsoft Entra の Global Secure Access を使ってみる (Internet Access 編) (zenn.dev)
  21. Tokyo-RG matsuko365-DC01 10.0.0.6 matsuko365-CM01 matusko365.tokyo Tokyo-RG-vnet 10.0.0.0/16 ハイブリッド Azure AD

    参加 / 共同管理 Remote-CL01 skoga Remote-CL02 tmashino Azure VM Azure VM ・・・ Azure VM Azure VM Azure VM Tokyo-CL01 funamoto Tokyo-CL02 Tokyo-CL03 Azure AD Connect TokyoApp-RG-vnet 10.10.0.0/16 Onpre-web01 Ubuntu 10.10.0.4 Onpre- FileSrv01 10.10.0.5 Remote-RG (インターネット民) SSE Connector Microsoft Entra Join (Azure AD Join) 条件付きアクセス Global Secure Access 経由であれば アクセス可能 Connector を Test 環境のため AD と同サーバにいれてますが 分けること推奨です デモ環境構成
  22. Entra Internet Access デモ 条件付きアクセスで Global Secure Access 経由であれば Exchange

    Online へのアクセスを許可 エージェントが起動しており Global Secure Access 経由でアクセス エージェントを停止し Global Secure Access 経由で アクセスしていないのでアクセスができない
  23. まとめ • Azure AD は Microsoft Entra ID に名称変更 •

    Microsoft Entra ファミリーに SSE 領域の機能が追加 • Microsoft Entra Internet Access • Microsoft Entra Private Access • Microsoft の Global Secure Access を使ったアクセス制御が可能 • GA 待ち遠しい!!!