Microsoft も SSE 始めました (夏)

Transcript

1. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. https://www.progrive.co.jp 株式会社プログライブ

   コンサルティング Kazuyuki Sakemi (酒見 一幸) Microsoft も SSE 始めました (夏) 2024/07/27 1

2. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 自己紹介 https://twitter.com/_skmkzyk

   https://zenn.dev/skmkzyk https://atbex.attokyo.co.jp/blog/001013001/ Summary Azure を中心とした開発や運用自動化のスペシャリストとして、 日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活 躍中。独法や文教業界を中心に、要件定義から設計構築、 NW/SV/アプリ運用までの幅広いプロジェクトに従事。 日本マイクロソフト時代は、顧客のコスト最適化や人材育成に 向けたコンサルティングを中心に、ビジネスの加速に貢献。 酒見 一幸 (Kazuyuki Sakemi) from 株式会社プログライブ コンサルティング https://speakerdeck.com/skmkzyk

3. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Global Secure

   Access

4. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Global Secure

   Access とは ◼ Microsoft の Secure Service Edge (SSE) サービス ⁻ 以下の 3 種類のサービスで構成 Microsoft Entra Internet Access (いわゆる SWG) Microsoft Entra Internet Access – Microsoft traffic profile Microsoft Entra Private Access (いわゆる ZTNA) ⁻ 2024/07 に GA が発表 Microsoft Security Service Edge now generally available - Microsoft Community Hub ⁻ Microsoft Entra Suite というかたちで、いくつかのソリューションの組合せとなった Microsoft Entra Suite now generally available - Microsoft Community Hub ◼ 世界中に PoP があるため、全世界で最適な環境が利用可能 ⁻ Global Secure Access points of presence and IP addresses - Global Secure Access | Microsoft Learn

5. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Forwarding profile

   – Entra admin center 12 Microsoft Entra Internet Access Microsoft Entra Private Access

6. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ネットワーク接続 イメージ

   13 ◼ PC → MEPA ⁻ VPN フリーでのアクセス ◼ PC → MEIA / MEIA4M365 ⁻ インターネット アクセスを制限 ◼ NW → MEIA ⁻ クライアント インストール不要 家 Microsoft Secure Service Edge (SSE) オフィス 家 Microsoft Secure Service Edge (SSE) オフィス Microsoft Secure Service Edge (SSE)

7. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. コア コンポーネント

   14 ◼ Global Secure Access Client ⁻ PC などのエンドポイントにインストールして利用する ⁻ lightweight filter (LWF) を利用しているため、VPN ベースの他のソリューションとの併用が可能 ⁻ 現時点では Microsoft Entra joined もしくは Microsoft Entra hybrid joined が必須 ⁻ Windows、Android に対応、iOS は preview ◼ Microsoft Entra Private Access Connector ⁻ 以前の Application proxy connector と同様のもの ⁻ PC 等のエンドポイント → SSE → オンプレミス/VNet というトラフィックの出口となるような場所に配置 ⁻ 冗長化、自動更新などに対応

8. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (ちなみに) Global

   Secure Access Client の実体は 15 ◼ Microsoft Entra Private Access はどうやってパケットを曲げているのか (分からんかった) ⁻ https://zenn.dev/skmkzyk/articles/me-private-access-routing Global Secure Access Client Wireshark で使っているもの

9. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 基本機能 16

   ◼ ダッシュボード ⁻ Learn about the Global Secure Access dashboard - Global Secure Access | Microsoft Learn ◼ ログ ⁻ Global Secure Access logs and monitoring - Global Secure Access | Microsoft Learn

10. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 特徴的な機能 17

    ◼ ソース IP アドレスの復元 ⁻ 一般的な SSE では、SSE からの出口の IP アドレスが他のユーザーと共有になってしまう 占有 IP アドレスオプションがあっても、非常に高価なケースがある ⁻ Microsoft サービスのみが対象だが、真の送信元 IP アドレスを使った条件付きアクセスが可能 ⁻ Enable source IP restoration with the Global Secure Access - Global Secure Access | Microsoft Learn ◼ ユニバーサル テナント制限 ⁻ テナント制限 v2 と併用する テナント制限 v2 を使用すると、企業は、Microsoft Graph、SharePoint Online、Exchange Online などの Microsoft Entra 統合アプリケーションの外部テナント ID を使用するユーザーによるデータ流出を防ぐことができます。 ⁻ Global Secure Access and universal tenant restrictions - Global Secure Access | Microsoft Learn ⁻ 継続的アクセス評価 との組合せ Continuous access evaluation in Microsoft Entra - Microsoft Entra ID | Microsoft Learn

11. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Suite 18 今日はこの 2 つをメインに

12. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ライセンス形態 19

    ◼ Microsoft Entra Suite ⁻ $12/month/user ⁻ Microsoft Entra Internet Access と Microsoft Entra Private Access はそれぞれ $5/month/user ⁻ Microsoft Entra Plans and Pricing | Microsoft Security ⁻ Remote network での接続形態の場合の課金体系は未定 ◼ Microsoft traffic profile ⁻ Microsoft traffic profile については Microsoft 365 E3 のままでそのうちカバーされる予定 ⁻ Microsoft トラフィック プロファイルの使用は、Microsoft 365 E3 ライセンスにまもなく含まれる Secure Access Essentials ライセンスに含まれています。 ⁻ What is Global Secure Access? - Global Secure Access | Microsoft Learn

13. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Suite のお値段 20 ◼ Microsoft Entra ID P2 のさらに↑、というかたちで位置づけられていそう ⁻ Microsoft Entra Plans and Pricing | Microsoft Security

14. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Internet Access 22

15. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Internet Access (MEIA) 23 ◼ Secure Web Gateway ⁻ Web のカテゴリによるフィルタリング、FQDN によるフィルタリング ◼ 条件付きアクセスに統合する形で実装 ⁻ セキュリティ プロファイル の中で Web category や FQDN により許可・拒否を定義 ⁻ セキュリティ プロファイルを条件付きアクセスの形でユーザーに紐づけて設定 ◼ Global Secure Access Client をクライアントにインストール ⁻ Microsoft Entra ID のアカウントでログインして利用 ⁻ 現時点では Microsoft Entra joined が必要

16. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft traffic

    profile 24 ◼ Microsoft 365 に関するトラフィックを制御 ⁻ FQDN、IP アドレスのリストが自動的にメンテナンスされる ⁻ 合致しないトラフィックを bypass とし、別のソリューションでカバーする組み合わせが可能

17. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 現時点での制限事項 25

    ◼ 既知の制限事項 ⁻ Platform は、HTTP/S トラフィックの標準ポート(ポート 80 および 443)を想定しています。 ⁻ このプラットフォームでは、IPv6 はまだサポートされていません。 ⁻ UDP は、このプラットフォームではまだサポートされていません。 ⁻ ユーザーフレンドリーなエンドユーザー通知は開発中です。 ⁻ インターネットアクセス用のリモートネットワーク接続は開発中です。 ⁻ Transport Layer Security (TLS) の終了は開発中です。 ⁻ HTTP および HTTPS トラフィックの URL パス ベースのフィルタリングと URL 分類は開発中です。 ⁻ 現在、管理者は最大 100 個の Web コンテンツ フィルタリング ポリシーと、最大 8,000 個の合計 FQDN に基づい て最大 1,000 個のルールを作成できます。また、最大 256 個のセキュリティ プロファイルを作成することもできます。 ◼ Learn about Microsoft Entra Internet Access - Global Secure Access | Microsoft Learn ◼ あと アンチウイルス とか DLP も (まだ) ない

18. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Private Access 26

19. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Private Access (MEPA) 27 ◼ Zero Trust Network Access ⁻ Azure やオンプレミスに出口を設けて、プライベート ネットワークに対するアクセスを提供 ⁻ ネットワーク毎に、ユーザーごとに、条件付きアクセスと組み合わせてアクセス制御が可能 ◼ Application proxy との違い ⁻ 以前から Application proxy という機能が Microsoft Entra にあったが、HTTP(S) トラフィック専用の機能だった ⁻ MEPA になり、TCP/UDP や FQDN (wildcard 指定可能) 対応へと柔軟性が上がった ◼ PIM との組合せ ⁻ PIM で承認したネットワークに対してのみ、アクセス許可、というワークフローが構成できる ⁻ より高いセキュリティ レベルの求められるネットワークに対する多段認証など ⁻ Secure private application access with Privileged Identity Management (PIM) and Global Secure Access - Global Secure Access | Microsoft Learn

20. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. リリース予定の機能 28

    ◼ Private DNS ⁻ 現時点でも 53/tcp、53/udp のトラフィックを MEPA に向けることはできるが、専用の機能として開発中 Private DNS option missing in Entra Private access · Issue #978 · MicrosoftDocs/entra-docs (github.com) ⁻ GA すると Kerberos 認証を使ったアプリケーションへの対応も Use Kerberos for single sign-on (SSO) with Microsoft Entra Private Access. - Global Secure Access | Microsoft Learn

21. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Connector と

    Enterprise application の関係 30 ◼ Enterprise application ⁻ MEPA でアクセスするネットワークや、ポート番号、プロトコルなどの情報を Enterprise application として管理 ⁻ Enterprise application とコネクター グループは多対多の関係となりえる ⁻ Understand Microsoft Entra private network connector groups - Global Secure Access | Microsoft Learn

22. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Azure VNet

    との接続 31 ◼ VPN Gateway の置き換え ⁻ 従来から、VPN Gateway + Microsoft Entra 認証という組合せがあったが、機能の置換えが可能 ◼ スループットは VPN Gateway の SKU に依存する代わりに、MEPA Connector のパフォーマンスに依存 ⁻ Understand the Microsoft Entra private network connector - Global Secure Access | Microsoft Learn ◼ Hub-spoke アーキテクチャや、Private Endpoint を利用した PaaS との接続 ⁻ 今までであれば ExpressRoute での接続が必要だったリソースに対して、ゼロトラストの原理に基づいて接続可能 コア RAM 予想される待機時間 (ミリ秒) - P99 最大 TPS 2 8 325 586 4 16 320 1150 8 32 270 1190 16 64 245 1200*

23. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Private Access と Hub-spoke アーキテクチャ 33 ◼ Microsoft Entra Private Access と Hub-spoke を組み合わせてみる ⁻ https://zenn.dev/skmkzyk/articles/mepa-hub-spoke

24. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Private Access と Azure Private Endpoint の組合せ 34 ◼ Microsoft Entra Private Access と Azure Private Endpoint の組合せが最高 ⁻ https://zenn.dev/skmkzyk/articles/mepa-private-endpoint

25. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Integration 35

26. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 他の製品との連携について 36

    ◼ Microsoft と Cisco でのセキュリティ サービス エッジ (SSE) の共存について説明します。 - Global Secure Access ⁻ Learn about Security Service Edge (SSE) coexistence with Microsoft and Cisco. - Global Secure Access | Microsoft Learn ⁻ このドキュメントでは、これらのソリューション、具体的には、インターネット アクセスと DNS レイヤ セキュリティのための Microsoft Entra Private Access(プライベート DNS 機能が有効)と Cisco Umbrella を並行して導入する手順につ いて説明します。 ◼ Microsoft と Palo Alto Networks でのセキュリティ サービス エッジ (SSE) の共存について説明します。 - Global Secure Access ⁻ Learn about Security Service Edge (SSE) coexistence with Microsoft and Palo Alto Networks. - Global Secure Access | Microsoft Learn ⁻ Microsoft Entra では、Microsoft 365 トラフィック転送プロファイルを有効にし、Internet Access および Private Access のトラフィック転送プロファイルを無効にします。 Microsoft 365 トラフィックのみがキャプチャされます。 Palo Alto Networks では、インターネット アクセス トラフィックをキャプチャし、Microsoft 365 トラフィックを除外します。

27. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 39 会社名

    株式会社プログライブコンサルティング [ProGrive Consulting Co., Ltd.] お問い合わせ [email protected] ~ Expand Your Business ~ ～ビジネスの成長、新たな機会の追求、そして未来を切り開く～