ネットワークの Microsoft MVP だけど、SASE が万能すぎてもう俺いらなくね？

Transcript

1. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. https://www.progrive.co.jp https://www.progrive.co.jp

   株式会社プログライブ コンサルティング Kazuyuki Sakemi (酒見 一幸) ネットワークの Microsoft MVP だけど、 SASE が万能すぎてもう俺いらなくね？ 2024/12/13 1

2. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Summary Azure

   を中心とした開発や運用自動化のスペシャリストとして、 日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活躍中。 独法や文教業界を中心に、要件定義から設計構築、NW/SV/アプリ 運用までの幅広いプロジェクトに従事。日本マイクロソフトでは、顧客の コスト最適化や人材育成に向けたコンサルティングを中心に、ビジネスの 加速に貢献。2024年08月、Microsoft MVP for Azure に選出。 自己紹介 https://twitter.com/_skmkzyk https://zenn.dev/skmkzyk https://atbex.attokyo.co.jp/blog/001013001/ 酒見 一幸 (Kazuyuki Sakemi) from 株式会社プログライブ コンサルティング https://speakerdeck.com/skmkzyk

3. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Disclaimer (免責事項)

   3 本資料および発表内容は、あくまで個人的な見解に基づくものであり、 所属する会社や組織の公式な意見を代表するものではありません。 また、本資料に記載された情報は2024年12月時点での内容を基にしており、 将来にわたってその正確性や適用性を保証するものではありません。 技術や状況の変化により、内容が変更または適用外となる場合がありますので、あらかじめご了承ください。 では、よろしくお願いいたしますー。

4. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. はじめに \\\

   2024 年はどんな年でしたか？ /// \\\ Congrats!! > あたし！Microsoft MVP になれました！ /// \\\ みなさまにとっての 2024 年のセキュリティニュースといえば？ (KADOKAWA は今年ですよ) ///

5. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute /

   VPN / Virtual WAN / SASE

6. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute を利用したネットワーク構成

   6 自社のネットワークと Azure がなんかつながってる 自社 ネットワーク Azure

7. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute を利用したネットワーク構成

   7 拠点 VNet データセンター ExpressRoute ExpressRoute データセンターのほかに拠点も接続してみたり

8. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute/VPN を利用したネットワーク構成

   8 大阪支社 VNet データセンター Internet VPN ExpressRoute 東京本社 ExpressRoute 拠点によっては安価に Internet VPN で接続してみたり

9. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute/VPN を利用したネットワーク構成

   9 大阪支社 VNet データセンター Internet VPN ExpressRoute 東京本社 ExpressRoute リモートワーク Internet VPN そういえばリモートワークにも対応したネットワークにしないと、、、

10. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Virtual WAN

    を利用したネットワーク構成 10 大阪支社 データセンター Internet VPN ExpressRoute 東京本社 ExpressRoute VNet VNet リモートワーク Internet VPN Virtual WAN に接続すればなんかいろんなものが相互接続できそう Virtual WAN

11. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (一般的な) SASE

    によって実現されるネットワーク 11 大阪支社 データセンター Internet VPN Internet VPN 東京本社 Internet VPN SaaS Public Cloud リモートワーク Internet VPN なんか Virtual WAN で実現できていたものとあんまり変わらない \Secure/ Service Edge (SSE) (ExpressRoute？知らない子ですね…) (Secure Hub いろいろつらいんだよな…)

12. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute →

    Virtual WAN → SASE 12 ExpressRoute を利用した、閉域での接続 低遅延、安定したジッター、高品質なネットワーク接続 高品質なインターネット回線に恵まれた、Internet VPN の利用 S2S VPN による ExpressRoute の安価な代替 リモートワーク実現のための P2S VPN (クライアント PC からの VPN) Virtual WAN によるトータルソリューションの提示 大統一がなされた、、、セキュリティについてもいい感じになりそう、、？ 高機能な反面、いろいろな設定変更が遅い、、画面がよくわからない SASE による解決へ (?)

13. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Global Secure

    Access

14. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Global Secure

    Access とは ◼ Microsoft の SASE (Secure Access Secure Edge) サービス ⁻ 以下の 3 種類のサービスで構成 Microsoft Entra Internet Access (いわゆる SWG) Microsoft Entra Internet Access – Microsoft traffic profile Microsoft Entra Private Access (いわゆる ZTNA) ⁻ 2024/07 に GA が発表 Microsoft Security Service Edge now generally available - Microsoft Community Hub ⁻ Microsoft Entra Suite というかたちで、いくつかのソリューションの組合せとなった Microsoft Entra Suite now generally available - Microsoft Community Hub ◼ 世界中に PoP があるため、全世界で最適な環境が利用可能 ⁻ Global Secure Access points of presence and IP addresses - Global Secure Access | Microsoft Learn

15. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ネットワーク接続 イメージ

    15 ◼ PC → Private Access ⁻ VPN フリーでのアクセス ◼ PC → Internet Access / Microsoft traffic profile ⁻ インターネット アクセスを制限 ◼ NW → Internet Access ⁻ クライアント インストール不要 家 Microsoft Secure Service Edge (SSE) オフィス 家 Microsoft Secure Service Edge (SSE) オフィス Microsoft Secure Service Edge (SSE)

16. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Private Access と Hub-spoke アーキテクチャ 16 ◼ Microsoft Entra Private Access と Hub-spoke を組み合わせてみる ⁻ https://zenn.dev/skmkzyk/articles/mepa-hub-spoke

17. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Private Access と Azure Private Endpoint の組合せ 17 ◼ Microsoft Entra Private Access と Azure Private Endpoint の組合せが最高 ⁻ https://zenn.dev/skmkzyk/articles/mepa-private-endpoint

18. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. そのほかもろもろは Zenn

    にて。。 18 https://zenn.dev/skmkzyk

19. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Ignite

    での注目 update ◼ プライベート DNS (パブリック プレビュー中) ⁻ “単一のラベル名またはホスト名を構成でき、ユーザーがリソースにシームレスにアクセス可能となります” ◼ 継続的アクセス評価 (CAE) サポート (パブリック プレビュー中) ⁻ “重大なイベントが検出された際に、ほぼリアルタイムでネットワーク アクセスを取り消すことが可能です。これは、ポリ シー条件が満たされるまでインターネット接続をオフにする自動緊急スイッチのようなものといえます。これらの制御は ネットワーク レベルで動作するため、アプリケーションまたはクライアントが先進認証と CAE をネイティブにサポートしてい るかどうかに関係なく機能します” ◼ TLS インスペクション (プライベート プレビュー中) ⁻ “暗号化されたトラフィックを包括的に可視化し、完全な URL を利用して、より強化された URL Web カテゴリ フィル タリングが可能になります” ◼ Ignite: Microsoft Entra の AI と SASE のイノベーション | Japan Azure Identity Support Blog

20. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 現在の GSA

    の立ち位置

21. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 先行各社との (個人的な)

    比較 ◼ GSA は SASE という意味ではかなり後発 ⁻ Private Access についてはある程度よさそうだが、Internet Access については足りていない機能が多い ◼ SASE の一般的な機能 ⁻ Internet Access SWG (Secure Web Gateway)、CASB (Cloud Access Security Broker)、AV (Antivirus)、 DLP (Data Loss Prevention)、RBI (Remote Browser Isolation) ⁻ Private Access ZTNA (Zero Trust Network Access) ⁻ Management/Monitoring DEM (Digital Experience Monitoring) ⁻ Connectivity SD-WAN (Software-Defined Wide Area Network) ⁻ Threat Protection IPS/IDS、TI (Threat Intelligence)

22. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. GSA の

    いいね！ と思っている機能 22 ◼ ソース IP の復元 ⁻ “グローバル セキュア アクセスのソース IP 復元は、Microsoft Entra のお客様において 元のユーザー ソース IP の使用を継続できるようにするための下位互換性機能です” ⁻ グローバル セキュア アクセスのソース IP 復元を有効にする - Global Secure Access | Microsoft Learn ⁻ Microsoft 製品限定ではあるものの、SSE での NAT の IP アドレスではなく、 本当の送信元 IP アドレスを使って条件付きアクセス・アクセス制御が可能 ⁻ 多くの SASE 製品では個別 IP アドレスオプションとなり、そこそこお金がかかるらしい ◼ (再掲) 継続的アクセス評価 (CAE) サポート (パブリック プレビュー中) ⁻ “重大なイベントが検出された際に、ほぼリアルタイムでネットワーク アクセスを取り消すことが可能です。これは、ポリ シー条件が満たされるまでインターネット接続をオフにする自動緊急スイッチのようなものといえます。これらの制御は ネットワーク レベルで動作するため、アプリケーションまたはクライアントが先進認証と CAE をネイティブにサポートしてい るかどうかに関係なく機能します”

23. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Continuous Access

    Evaluation (CAE) 23 ◼ ユーザーの置かれた状況の変化によってリアルタイムに近い形でリソースへのアクセスを制御する ⁻ あるユーザーが不正にアクセスを奪われてしまったので、アカウントを無効化した。 が、その無効化が実際に反映されるまでにどれだけの時間がかかるのか？ ⁻ あるユーザーが社内 Wi-Fi で Microsoft 365 にアクセスした。 が、そのあと自宅などでリモートワークに移動した場合に、MFA を要求できるのか？ ⁻ Microsoft Entra での継続的なアクセス評価 - Microsoft Entra ID | Microsoft Learn ◼ IdP/SP の分類するところの、SP 側で実装する必要がある ⁻ Microsoft 365 はほとんど対応しているが、他社アプリでは対応していないことが多い ⁻ MSAL を利用すれば自社アプリでも実装可能だが、、 ◼ 今回の Microsoft Ignite 時点の update により、Microsoft 製品以外でも CAE が利用できそうな感じに ⁻ SASE でいったん reverse proxy しているようなものなのでたぶんそこで制御 SSO の用語 • Identity Provider (IdP、Microsoft Entra ID や Okta、HENNGE など) • Service Provider (SP、IdP で認証後に利用する SaaS のこと)

24. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Appendix

25. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. いろいろ 25

    ◼ Microsoft も SSE 始めました (夏) - Speaker Deck ◼ それでもやっぱり ExpressRoute が好き！ - Speaker Deck ◼ 第10章：ゼロ トラストっておいしいの Azure MixBook 24H1：もっちりソフト ◼ OpenID Foundation の SSF、CAEP、 RISC の概要と Microsoft Entra ID での実 装について

26. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 26 会社名

    株式会社プログライブコンサルティング [ProGrive Consulting Co., Ltd.] お問い合わせ [email protected] ~ Expand Your Business ~ ～ビジネスの成長、新たな機会の追求、そして未来を切り開く～