Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure ADとCloud Identityの基礎を比較(With Cloud)

yasu
July 20, 2023
2.4k

Azure ADとCloud Identityの基礎を比較(With Cloud)

AzureとGoogle Cloudを使用する上で、IDPがどのような役割をするのかお話しした時の資料です。

yasu

July 20, 2023
Tweet

More Decks by yasu

Transcript

  1. 自己紹介
 • アライアンス事業部 エンジニアグループ • Google Cloudのリセール周りを担当
 • Microsoft Sentinelを少し触っていた過去


    • 趣味:筋トレ、野良猫探索、格闘技
 • クラウド資格
 ◦ Google Cloud9個、Azure8,9個、AWS1 個
 • トレーナー歴4年
 ◦ マジ筋トレ歴6年以上
 ◦ NSCA CSCS

  2. 1.クラウドを使用するには何が必要? ❏ Google Cloud(旧GCP) • Google アカウント + プロジェクト +

    (請求先アカウント) ❏ Microsoft Azure • Azure AD + サブスクリプション + (リソースグループ) ※ Microsoftアカウントは一旦無視します ※Azureにも 請求プロフィール、請求アカウントもある
  3. Google Cloudの場合 ❏ Google アカウント • [email protected]のような単体のユーザーを作成 ❏ プロジェクト •

    Google Cloudに固有のリソースを作成する箱 ❏ 請求先アカウント • クレカを登録して、使用できるリソースを増やす (必須だがなくてもGCPの登録はできる) Identity & Access Management
  4. Azureの場合 ❏ Azure AD • IDP、ユーザーをこの中に作成 ❏ サブスクリプション • Azure

    ADに紐づく(ぶら下がる形で使用する) subscription ❏ Azure AD と Azureサブスクリプションの課金は別 • Azure ADはIDP単体としての機能を提供 • 請求プロフィールと請求アカウント
  5. クラウドを触るときの IDP の役割 ❏ Google Cloud Cloud Identity • Google

    Cloudを使用する際にはオプションとして提供 ◦ Free or Premium ❏ Azure Active Directory • Azureを使用する際には必ず必要 ◦ Freeプラン P1プラン P2プラン Microsoft Entra ID Governance Cloud Identity Azure AD
  6. 組織階層を理解する ❏ 組織の全体像 【ドメイン-組織→フォルダ→プロジェクト→リソース】 • ドメインと組織は1:1 • フォルダは組織配下に作成し、主に部門ごとに分ける用途などに使用する(フォルダを 入れ子にすることは可能で ある)

    • フォルダ配下にプロジェクトを作成する、プロジェクトは 各環境ごとに作成するのがよい(開発プロジェクト、運用プ ロジェクト、検証プロジェクト…etc) ※Google Cloudドキュメントから抜粋 [email protected] 1:1
  7. 組織 セキュリティ機能の有効化 ❏ VPCサービスコントロール • 境界線を作成し、IAMで制御できない範囲をカバーする ❏ Security Command Center

    (SCC) • さまざまなセキュリティスキャンを実行する機能 ❏ 組織ポリシー • 組織、フォルダ、プロジェクトごとにポリシーを定義する ❏ 階層型ファイアウォールポリシー • 組織、フォルダ、プロジェクトごとにFWルールを定義する ❏ ログの集約 • 組織のログを一箇所に集約する機能
  8. VPCサービスコントロール ❏ 概要 • Google CloudのAPIを介したデータの流れを制御する機能 • 適切なポリシーを持つユーザーも制限される ❏ 対象となるサービス

    • BigQueryやGoogle Cloud Storage(GCS)などのAPIを介すサービスのデータを 保護 • サポートされているプロダクトに限る→App Engine、Bare Metal Solutionは❌ ❏ 機能 • 外部リソースが Google Cloud サービスにアクセスできるかどうかを制御する • 外部リソースが特定のGoogle Cloud サービスにのみアクセスできるようにする • VPC-SC内のリソースが外部にアクセスできないようにすることができる ◦ VPC ネットワークもAPIサービスも含む
  9. 組織ポリシー ❏ 概要 • 組織単位でリソースを制御する機能 ❏ 対象となるサービス • 組織、フォルダ、プロジェクト ❏

    特徴 • 上位 → 下位へと継承されていく • 特定のリージョンでしかリソースを作成できなくする ◦ 「constraints/gcp.resourceLocations」リソースの場所を制限 • 特定のリソースタイプの作成を禁止するなど ◦ 「constraints/compute.trustedImageProjects」信頼するプロジェクトからしか Compute Engineインスタンス のイメージを使用できないようにする
  10. Google Workspace(GWS) ❏ SaaS製品 • ドキュメント、スライド、AppScript、Gmail、Meet…etc ❏ 月額 or 年単位

    • プランは4つ ❏ Google Cloudとの関係 • Cloud Identityと同じ役割を持つ(ドメインを登録する) • 管理コンソールのUIが同じ( admin.google.com ) • ドメインの所有権の証明が必要 ◦ GWS、GCP(Cloud Identity)両方で必要=ドメインが必須
  11. Cloud Identity まとめ ❏ Google Cloud内のリソースである組織の作成で必要 • Google Cloudを企業として運用していくための権限管理 •

    豊富なセキュリティ機能を使用するため ❏ 個別の管理コンソール • 個別でログインが必要な、Google Cloudコンソールとは別のUI画面がある ❏ 個別の契約となる • Free or Premiumを選択する ❏ GWSと同じ管理コンソールにアクセスする • 内部の機能は一部異なる
  12. 3.Azure AD ❏ Azure AD テナント • Azureを使用する上では必ず必要(GCPと異なる) • Azure

    ADの中にユーザーを作成する(GCPと異なる) • サブスクリプションは1つのAzure ADに所属する subscription subscription subscription テナント subscription ⭕ ❌ テナント
  13. Azure ADの役割 ❏ ユーザーとグループの管理 • Azure サブスクションとAzure ADの権限管理は別物 ◦ グローバル管理者

    → Azure AD(テナントへの権限) ◦ オーナーロール → サブスクリプション(RBAC) ❏ IDとアクセス管理 • ユーザーの認証/認可、SSO、アカウント保護(二段階認証や暗号化など) • Azure B2B、Azure B2C • 監査、レポート機能 • 特権ID管理(Privileged Identity Management:PIM) • Identity Protection機能
  14. Azure ADとサブスクリプションの権限管理 ❏ Azure ADの権限(Azure ADディレクトリロール) • Global Administrator •

    User Account Administrator • Guest Inviter • Privileged Role Administrator ❏ サブスクション権限(RBAC/リソース ロール/IAM制御) • Owner • User Access Administrator • Contributor • Reader
  15. Azure ADの権限 ❏ Azure ADの権限(Azure ADディレクトリロール) • Global Administrator ◦

    Microsoft365の権限も合わせ持つ • User Account Administrator ◦ ユーザーに権限を付与する • Guest Inviter ◦ 他のAzure ADユーザーを招待する • Privileged Role Administrator ◦ 時限性/期限付きの権限割り当てを行う....etc
  16. Azure ADのテナントと組織 ❏ Azure AD テナント • 1組織につき、1つのAzure ADテナントを使用(推奨) ◦

    他のテナントのリソースを触りたい ◦ Guest Inviter 機能が存在する • セキュリティのため(野ばなしのアカウントの制御) subscription テナントA subscription テナントB 招待可能
  17. Azure ADのPrivileged Identity Management(PIM) ❏ 特権アクセス権限の管理(PIM) • Azure AD P2の機能

    • 権限を付与するためのロール ◦ オンデマンドで割り当てが可能(期限付き:60minだけ 付与/剥奪) ◦ Azure ADとAzureリソースに対するJust-In-Timeの特権アクセスの提供 • アクセスレビュー ◦ 特定のロール(権限)の棚卸しを行う
  18. Azure ADのIdentity Protection機能 ❏ リスクベースの条件付きアクセスポリシー • サインイン時のリスクを評価 ◦ ユーザーがサインインを試みる際のリスクレベルを評価 ◦

    (例)不審なIPからの接続や異常なログイン試行といったパターンが検出された 場合、リスクが高まると判断し、評価されたリスクレベルに基づいて、条件付き アクセスポリシー(ユーザーに対する追加的な認証要求やブロック)が適用され る • ユーザーアカウントの危険度を評価 ◦ ユーザーアカウントが危険にさらされていることを示すシグナルを評価 ◦ ブラックマーケットを見張る ▪ 不正な取引所でユーザーの資格情報が売買されていることが確認された 場合、そのユーザーのリスクレベルが上昇する そうしたシグナルが検出された場合にも、特定のアクション(例えばパス ワードのリセット要求)がトリガーされる
  19. Azure ADのIdentity Protection ❏ リスクベースの条件付きアクセスポリシー • サインイン時のリスク ◦ あり得ない移動 ◦

    悪意のある IP アドレス ◦ 異常なユーザー アクティビティ ◦ 匿名 IP アドレス
  20. Azure ADの BtoB BtoC の機能 ❏ Azure AD BtoB •

    企業間での協業を支援する機能 ◦ 自社のAzure環境のインフラ構築のために、他の企業のAzure ADテナントに所 属するAzure ADユーザーを招待し協業する ❏ Azure AD BtoC • コンシューマー向けのID連携を提供する ◦ 自社開発の「一般ユーザー向けのショッピングアプリケーション」を使用させる 際に、Azure ADとFacebookやTwitterを連携させて、ユーザー認証は FacebookやTwitterに委任し、Azure ADで認可する
  21. Azure リソースへの権限管理 ❏ Azure リソースへのアクセス権限(RBAC/リソース ロール/IAM制御) • Owner ◦ サブスクリプション全ての権限を持つ

    • User Access Administrator ◦ ユーザーへの権限の割り当てが可能 • Contributor ◦ 権限の割り当て以外が可能 • Reader ◦ 読み取りアクセスが可能
  22. 既定のディレクトリ(試用版のAzure AD) ❏ Microsoftアカウントで作成したサブスクリプション • 仮のAzure ADテナントが作成される • 緊急事態用の設定ができない ◦

    Azure サブスクリプションへの全権限を取得できる機能がある ❏ Azure ADユーザーアカウント / マイクロソフトアカウント • 使用する目的が異なる • Azure ADユーザーアカウント ◦ 主に組織内での使用を目的としており、ユーザーの管理やアクセス制御を一元 化するためのもの(組織内のリソースへのアクセス制御) • マイクロソフトアカウント ◦ 個々のユーザーがMicrosoftのコンシューマ向けサービスにサインインするため のもの(Xbox、Skype、 OneDriveなど、あくまでも個人)
  23. まとめ ❏ 共通すること • ユーザーとグループ、アプリケーションの権限管理 • セキュリティ機能の提供 ◦ 階層型FWポリシー ◦

    VPCサービスコントロール ◦ PIM(特権ID管理) ◦ リスクに基づいたアクセス制御 ❏ プラン • プラン選定は基本有料プラン使用が前提となる • それぞれデバイス管理機能なども搭載 • 他サービスとの連携多数
  24. Google Cloudで言い換えると、、
 ❏ 筋トレをしていない身体の状態 • 筋トレをしていない状態はいわば、 組織なしの単一CGEで f1-micro の状態でアプリケーショ ンを動かしているのと同じ

    ◦ 組織が無い=ポリシーなどがなく、セキュリティがまっさらな状態 ◦ GCPはカスタムマシンを定義できる • ロードバランサーがなく、何もカバーができないアプリケーション構成 ◦ グローバルロードバランサーを使用すると 1つのグローバルIPで複数リージョンでバック エンドを配置できる(Serverless NEG、MIG、Internet NEG、Cloud Storage)
  25. 筋肉とβエンドルフィン
 ❏ 筋トレによってβエンドルフィンが分泌される • 強力な鎮痛作用の効果 • 筋トレや運動で心拍数向上 →ストレス状態と認識する、ストレスの対抗策としてエンドルフィン を放出する •

    エンドルフィンは体全体に影響を与え、痛みやストレスを軽減し、気分を高揚させる効果があ る • 筋トレ後の放出により、その後も 1日中あなたをハッピーな状態にしてくれる ◦ ストレスの緩和(打ち消し)、睡眠の質の向上 ...etc
  26. 筋トレによる生涯に通じる健康効果
 ❏ さまざまな健康効果 • 心臓病リスクの低減 ◦ 心臓の強化(心肥大) ▪ 通常は心臓の機能を向上させるため、健康に問題はないが、過度な筋トレを行う と心臓に負担が大きくかかり心筋の肥大が過剰に進む

    ◦ 体脂肪減少による悪玉コレステロール値の改善、血流の改善による心疾患リスクの減 少 • 骨密度の改善 ◦ コラーゲンの線維芽細胞が骨を強化する(筋トレが低身長にするは嘘)
  27. 筋トレによる生涯に通じる健康効果
 ❏ さまざまな健康効果 • 免疫力の向上 ◦ ナチュラルキラーセル( NK細胞)というウィルスに対抗する細胞が活性化する ▪ 免疫応答の初期段階で活性化され、感染した細胞やがん細胞を攻撃する

    ▪ ストレスや生活習慣、高齢化などによって、 NK細胞の数や活動が低下する可能 性があり、すると身体はウィルスやがん細胞に対抗する力が減退し、感染症にか かりやすくなったり、がんのリスクが高まったりする ▪ 身体を動かすと血流が増え NK細胞が体中を流れる機会が増える これにより、ウィルスやがん細胞を発見しすばやく攻撃する可能性が高まる ▪ 適度な運動でNK細胞が増える
  28. 筋トレによる生涯に通じる健康効果
 ❏ さまざまな健康効果 • ホルモン ◦ マイオカイン、BDNF、成長ホルモン(IGF-1)、セロトニン...etc • サルコペニアの予防 ◦

    加齢による筋肉量が著しく落ちる病気を予防 →転倒、骨折など物理的危険性減 • 認知症の予防 ◦ 脳の血流が改善され、脳細胞の活性化 ◦ BDNFの分泌 → 脳細胞の成長と修復
  29. 完全な経験談
 ❏ 完全な体験談に基づく筋肉コミュニケーション利活用方法 • 初対面はとりあえずきんにくんしておけば何とかなる • 話に詰まった時は相手の健康の悩みを聞く • 業務に関係ない相談がおおい(=部署外のコミュにケーション多数) •

    Googleさんにも筋トレのアドバイスで打ち解ける • 合コンで「あたしも筋トレ教えて〜」となることがある(冗談です ....半分) • クラメソの社員に覚えてもらえる ◦ 例:社長に「お!筋肉やってる?」「腕立てしよう」となった
  30. 1. レッツ質問タイム
 56 • お酒って太るの? • リバウンドしたくない ... • 筋トレを効率よく続けるには?

    • どのくらいの期間やれば結果が出るの? • 筋トレの時間は? • たくさん食べて痩せたいのですが ... • 女性へおすすめの筋トレは? • 大きくなりたい人の筋トレメニューを教えて .....etc • 筋肉が多い人が太りにくい理由 なんでも聞いてください