Tenn25 Blog
AZ-500対策メモ
18.03.202123 Min Read — In others

AZ-500 の試験範囲に対して、個人的に知らなかった箇所のメモ


AzureAD

AAD、AAD DS、オンプレ AD の違い オンプレ AD に相当するのは AzureAD Domain Servicecs ドメインコントローラーはこちらの役割 AzureADDS は AzureAD と統合されており、それ自体がオンプレ AD と同期できる。 AzureAD は単なるアカウント管理のサービスという印象。

管理者ロール ★ AD グループ セキュリティグループ Office365 グループ MFA リアルタイム監視・アラート SaaS との MFA 連携 認証方法 電話 SMS 登録デバイスへの Push 通知 MFA アプリによるコード


ID の保護

Azure AD Identity Protection

  • ID ベースのリスクの検出と修復を自動化します。
  • ポータルのデータを使用してリスクを調査します。
  • リスク検出データをサードパーティのユーティリティにエクスポートして、さらに分析します。

    1.ユーザーリスクポリシー ユーザーベースでリスクを測る、グループリスクの高さなどで、一定のルールでアクセス制御する 2.サインインリスクポリシー 3.MFA 登録ポリシー

Azure AD 条件付きアクセス

条件 → 制御

ユーザーが会社のネットワーク外にいる場合 → 多要素認証を使用してサインインする必要があります

'マネージャー' グループのユーザーがサインインする場合 →Intune に準拠しているデバイスまたはドメインに参加しているデバイスを使用している必要があります

Azure AD またはオンプレミスの MFA (AD FS と組み合わせる) から MFA を要求します。

信頼できるデバイスにのみアクセスを許可します。

ドメインに参加したデバイスが必要です。

Intune App Protection ポリシーの使用をモバイル デバイスに要求します。

AzureAD アクセスレビュー

AAD の Identity Governance から設定、実施

エンタープライズガバナンス

ARM

スコープ

管理グループ(入れ子可能)>サブスクリプション>リソース 管理グループとは…サブスクリプションをグループ化

Azure Policy

リアルタイムの実施とコンプライアンス評価 管理グループを活用して大規模にポリシーを適用 非準拠リソースを自動的に修復する修復ポリシーを活用することで修復することです

Azure Policy には、次の 2 つのリソース プロバイダーにおいて、いくつかのアクセス許可 (操作) を有しています。 Microsoft.Authorization Microsoft.PolicyInsights

複数のリソースのコンプライアンスを簡単に追跡するには、 イニシアティブ定義を作成して割り当てます。 イニシアティブ定義を使用すると、複数のポリシー定義をグループ化して、1 つの包括的な目標を達成できます。

ポリシーは、デプロイ中および既存のリソースのリソース プロパティに焦点を当てたデフォルトの許可および明示的な拒否システムです。

RBAC

リソースロック

Azure BluePrint

ブループリントは、次のようなさまざまなリソーステンプレートおよびその他の成果物の展開を調整する宣言的な方法です。

  • ロールの割り当て
  • ポリシーの割り当て A- zure Resource Manager テンプレート
  • リソース グループ

Blueprints では、ブループリントの定義 (デプロイすべき内容) とブループリントの割り当て (デプロイされた内容) の関係が保持されます。この接続は、展開の改善された追跡と監査をサポートします。ブループリントは、同じブループリントで管理されている複数のサブスクリプションを一度にアップグレードすることもできます

ARM テンプレートと BluePrint と Policy の違いを理解しよう


PIM

JIT 期限付き 承認 MFA の必須化 通知 アクセスレビュー

PIM は AD ロール、リソースロール両方に対して行える AD ロールは管理者ロールの付与


ハイブリット ID

AzureAD Connect

オンプレ AD をクラウドに同期する。

オンプレミスの  Active Directory 統合が必要な場合は、クラウド認証、パスワード保護、および認証要求が Azure AD によってネイティブにサポートされている必要がありますか。答えが「はい」の場合、 パスワード ハッシュ同期+シームレス SSO を使用します。

オンプレミスの Active Directory 統合が必要でも、クラウド認証やパスワード保護を使用する必要がなく、認証要件が Azure AD でネイティブにサポートされている場合は、 パススルー認証シームレス SSO を使用します。

オンプレミスの Active Directory 統合が必要で、既存のフェデレーション プロバイダーがあり、認証要件が Azure AD でネイティブにサポートされていない場合は、 フェデレーション認証を使用します。

パスワードハッシュ同期(PHS)

パスワードのハッシュをクラウドに保存して、クラウド側で認証を行う。 オンプレ AD も AAD シングルサインオンではなく、同じサインイン。

パススルー認証(PTA)

Azure AD パススルー認証(PTA) は、Azure AD パスワード ハッシュ同期の代わりとなり、組織にクラウド認証の同じ利点を提供します。PTA を使用すると、ユーザーは同じユーザー アカウントとパスワードを使用して、オンプレミスアプリケーションとクラウドにある基づくアプリケーションの両方にサインインできます。ユーザーが Azure AD を使用してサインインすると、パススルー認証は、オンプレミスの Active Directory に対してユーザーのパスワードを直接検証します。

パスワードライトバック

パスワードの書き戻しは、クラウド内のパスワードの変更をリアルタイムに既存のオンプレミス ディレクトリに書き戻すことを可能にする  Azure AD Connect  に有効にする機能です。

→ これにより、Office365 でパスワード変更したときに、オンプレ AD に反映されている?

Azure B2B

外部のテナントを自分のテナントにゲストユーザーとして追加する場合(会社はこっち)

Azure B2C

アプリケーションを使用する顧客の管理制御


境界セキュリティ

VNET

ExpressRoute を使用してオンプレミスネットワークと Azure Virtual Network に接続します。Azure とサイト間のリンクは、パブリック インターネットを経由しない専用の接続を使用します。

Azure Traffic Manager を使用して、アプリケーションのインスタンス間でユーザーからの要求をインテリジェントにルーティング

ネットワークアダプタ

VM は、仮想 ネットワーク アダプターを使用して、ネットワーク上のその他の VM やその他のリソースと通信します。仮想ネットワーク アダプターは、プライベート IP アドレスおよびパブリック IP アドレス (オプション) を使用して VM を構成します。VM は、異なるネットワーク構成に対して複数のネットワーク アダプターを持つことができます。

Azure DDoS Protection

Standard: Basic サービス レベルに加えて、特に Azure Virtual Network リソースに対してチューニングされた追加の軽減機能を提供

ポリシーは、Azure Load Balancer、Azure Application Gateway、Azure Service Fabric のインスタンスなど、仮想ネットワーク内にデプロイされたリソースに関連付けられたパブリック IP アドレスに適用されますが、この保護は App Service 環境には適用されません

アプリケーション レイヤー保護は、Azure Application Gateway Web アプリケーション ファイアウォール を通して、または Azure Marketplace からサードパーティ製のファイアウォールをインストールすることで、追加できます。

DDoS Protection Standard で軽減される DDoS 攻撃の種類

ボリューム攻撃: 攻撃の目的は、一見、正当な大量のトラフィックでネットワーク層を溢れさせる

プロトコル攻撃: これらの攻撃は、レイヤー 3 およびレイヤー 4 のプロトコル スタックの弱点を悪用

リソース (アプリケーション) レイヤの攻撃: Web アプリケーション ファイアウォールと組み合わせると、DDoS Protection Standard は、レイヤー 3 からレイヤー 7 までの完全な緩和機能を提供できます。

AzureFirewall

  • NAT ルール

    • SNAT…外に出る通信
    • DNAT…内に入る通信
  • アプリケーション
  • ネットワーク ルールのアプリケーション順序の優先順位は、ネットワーク ルールが先に適用され、次にアプリケーション ルールが適用されます ルールのコレクションは、優先度の順序でルール タイプに従って処理され、数値は 100 から 65,000 の数値に下がっています。

FQDN タグ…たとえば WindowsUpdate で通信する FQDN などを個別で指定して許可 FQDN タグは、よく知られている Microsoft サービスに関連付けられた、完全修飾ドメイン名 (FQDN) のグループを表します。アプリケーション ルールで FQDN タグを使用して、ファイアウォールを経由する必要な送信ネットワーク トラフィックを許可できます。

サービス タグ サービス タグは、IP アドレス プレフィックスのグループを表し、セキュリティ ルール作成の複雑さを最小限に抑えます。 Microsoft は、サービス タグに含まれるアドレス プレフィックスを管理し、アドレスの変更に応じてサービス タグを自動的に更新します。

脅威インテリジェンス ベースのフィルタリング 関連付けられたルールは、NAT ルール、ネットワーク ルール、またはアプリケーション ルールの前に処理されます。

ルールがトリガーされたときにアラートをログに記録するか、アラートと拒否モードを選択するかを選択できます。

VDI(リモートワーク環境)などを構成するのに Firewall が使える VDI デプロイとの間で送受信されるインターネット アクセスを保護する方法が必要です。Azure Firewall の DNAT ルールと脅威インテリジェンス ベースのフィルター機能を使用して、VDI のデプロイを保護できます。

仮想デスクトップのサポート

Windows Virtual Desktop は、Azure で実行されている包括的なデスクトップおよびアプリの仮想化サービスです。これは、管理の簡略化、マルチセッションの Windows 10、Office 365 用リソースの最適化、およびリモート デスクトップ サービス (RDS) 環境のサポートを提供する唯一の仮想デスクトップ インフラストラクチャ (VDI) です。

VPN 強制トンネリング

サイト間 (S2) VPN は、トンネルを使用して、通常の IP パケット内のデータ パケットをカプセル化して IP ベースのネットワーク経由で転送し、暗号化を使用してプライバシーと認証を行い、データの整合性を確保します。

強制トンネリングを使用すると、検査および監査のために、サイト間の VPN トンネルを介して、インターネットへのすべてのトラフィックをオンプレミスの場所にリダイレクトまたは強制的に戻すことができます。これは、ほとんどの企業 IT ポリシーの重要なセキュリティ要件です。強制トンネリングを使用しない場合、Azure の VM からインターネットへのトラフィックは、トラフィックを検査または監査できるオプションを使用せずに、常に Azure ネットワーク インフラストラクチャからインターネットへ直接トラバースします。認証されていないインターネット アクセスは、情報の漏えいまたは他の種類のセキュリティ侵害を招く可能性があります。

フロント用の VNET はインターネットから繋ぐようにして、 バックエンド用の VNET は強制 VPN トンネリングを使用するなど。


ネットワークセキュリティ

NSG

NSG は、トラフィックが許可されるか拒否されるかを指定するルールを含みます。各規則は、送信元 IP アドレス、送信元ポート、接続先 IP アドレス、接続先ポートに基づいています。

Firewall は外との通信のフィルタリング NSG は VNET 内の通信のフィルタリング

VNET または仮想 NIC 1つに対して1つずつ割り当てられる。 したがって、仮想マシンの場合は、最初に NSG をサブネットに関連付け、次に別の NSG を VM のネットワーク インターフェイスに関連付けることで、仮想マシンのトラフィック制限を効果的に設定できます

優先度。複数のルールがトラフィックに該当する場合、優先度の高いルールが適用されます。

受信トラフィックの場合、Azure はまずサブネットに関連付けられたネットワーク セキュリティ グループ内のルールを処理します。次に、ネットワーク インターフェイスに関連付けられたネットワーク セキュリティ グループ内のルールを処理します

ASG

ルールごとに、送信元と宛先、ポート、およびプロトコルを指定できます。ネットワーク セキュリティ グループ フロー ログを有効にして、ネットワーク セキュリティ グループが関連付けられているリソースとの間のネットワーク トラフィックを分析できます。

ASG を使用すると、アプリケーションの構造の自然な拡張機能としてネットワーク セキュリティを構成できます。その後、VM をグループ化し、それらのグループに基づいてネットワーク セキュリティ ポリシーを定義することができます。

ASG の制約 セキュリティー規則の送信元および送信先として、1 つの ASG を指定できます。 送信元と送信先両方の ASG 内のすべてのネットワーク インターフェイスは、同じ仮想ネットワークに存在する必要があります。

サービスエンドポイント

Azure サービスを VNET の中に入れて保護できるイメージ

サービス エンドポイントを使用すると、サービス トラフィックスイッチは、仮想ネットワークから Azure サービスにアクセスするときに、仮想ネットワーク プライベート アドレスをソース IP アドレスとして使用します。 のスイッチを使用すると、IP ファイアウォールで使用される予約済みのパブリック IP アドレスを必要とすることなく、サービスにアクセスできます

セキュリティの向上と、最適ルーティングによってパフォーマンスも上がる、管理も楽になります

プライベートリンク

サービスエンドポイント PaaS のアドレスはグローバル IP のままだけど、仮想ネットワーク内の特定のサブネットからのみにアクセスを制限できるようにする。各サービスが持っているファイアウォール側でサブネットの IP を許可してあげればつながる。

プライベートエンドポイント 通常 PaaS の IP アドレスはグローバル IP の所を仮想ネットワークのプライベート IP アドレスを付与する Azure Storage などのサービスに仮想ネットワーク内のサブネットにあるネットワークインターフェイスがマップされて、 Azure Storage などのサービスに対して プライベート IP が割り振られ、その IP に直接アクセスできるようにする機能である。 ExpressRoute なども使えば、オンプレからもプライベートでつながるようになる。 → プライベートリンクはこちらを使う!

ApplicationGateway

Front Door

Azure サービスをリージョンをまたいだ利用をするときのロードバランサーのような役割 可用性とパフォーマンス向上が目的

Azure Front Door 環境へのルーティングでは、DNS (ドメイン ネーム システム) と HTTP (ハイパーテキスト転送プロトコル) トラフィックの両方に Anycast が使用されるため、ユーザー トラフィックはネットワーク トポロジ (最もホップ数が少ない) の観点から最も近い環境に移動します。

その他機能は ApplicationGateway に似ている印象

Azure Front Door を使用すると、最高のパフォーマンスとインスタント グローバル フェールオーバーを最適化して高可用性を実現することで、Web トラフィックのグローバル ルーティングを定義、管理、および監視できます。

ユーザー定義ルート

???

ExpressRoute, Express Route Direct

???


ホストセキュリティ

エンドポイント保護

IaaS のエンドポイント保護について

ステップ1 Microsoft Partner から、Microsoft Antimalware または Endpoint Protection ソリューションをインストール

ステップ2 Security Center は、 「Endpoint protection issues」 (Endpoint Protection の問題)

特権アクセス ワークステーション

???

仮想マシンテンプレート

ARMTemplate の話 そのアクセスの制御、監査、およびタグ付け機能を使用して、デプロイ後にリソースをセキュリティで保護し、整理することができます。

リモート アクセス管理

Windows…RDP   or Get-AzRemoteDesktopFile Linux…SSH クライアント

Azure Bastion

Azure portal での直接 RDP および SSH TLS およびファイアウォール トラバーサルを介した RDP/SSH のリモート セッション Azure の仮想マシン上でパブリック IP アドレス不要 NSG の管理が容易…PaaS として提供されている ポート スキャンに対する保護: ゼロデイ エクスプロイトからの保護

仮想マシンの更新

Azure Update Management Update Management で管理されるコンピューターでは、評価と更新プログラムの実行に次の構成を使用します。

Update Management は、クラウドにデプロイされた仮想マシンにのみ関連します。Update Management は、オンプレミス環境および他のクラウド環境の仮想マシンに関連します。

  • Windows または Linux 用の Microsoft Monitoring Agent (MMA)
  • Linux 用の Windows PowerShell の Desired State Configuration (DSC)
  • Azure Automation の Hybrid Runbook Worker
  • Windows コンピューター用の Microsoft Update または Windows Server Update Services (WSUS)

ディスクの暗号化

Windows VM 用の Azure Disk Encryption

DM-Crypt。Azure Disk Encryption は、Windows および Linux IaaS VM ディスクを暗号化できる機能です。Azure Disk Encryption は、Windows の業界標準の BitLocker 機能と Linux の DM-Crypt 機能を活用して、データの保護に役立つ OS とデータ ディスクの暗号化を提供します。

Windows Defender

Security Center

CIS ベンチマークを使用して Azure ワークロードを保護する

コンテナセキュリティ

Azure Container Instances のセキュリティに関する推奨事項

プライベート レジストリを使用する コンテナー イメージを継続的に監視およびスキャンする…SecurityCenter 統合 資格情報の保護…KeyVault 脆弱性のスキャン…Push 前にパイプラインでスキャン

ランタイムでの最小特権を適用 監査のためにすべてのコンテナー管理ユーザー アクセスをログに記録

ACI

機械学習などのコンピューティング集約型のジョブの場合、Azure Container Instances は、NVIDIA Tesla GPU リソースを使うように Linux コンテナーがスケジュールできます。

固定ストレージ Azure Container Instances で状態を取得して持続するために、Azure Storage によってサポートされる Azure Files 共有を直接マウントします。

ACR

統合認証、ネットワークに近接した場所にデプロイする場合の geo レプリケーションによる世界規模での分散や信頼性の確保、仮想ネットワークとファイアウォールの構成、タグ ロックなど、

Premium SKU のセキュリティ機能には、コンテンツの信頼によるイメージ タグへの署名、ファイアウォールと仮想ネットワークによるレジストリへのアクセスの制限などがあります。Azure Security Center を Azure Container Registry と統合すると、イメージがレジストリにプッシュされるたびに、イメージをスキャンすることもできます。

AzureAD で認証 サービスプリンシパル 管理者 ID,パスワード

AKS

Kubernetes の ネットワーク ポリシー機能を使用すると、クラスター内のポッド間のイングレスおよびエグレス トラフィックのルールを定義できます。

AKS の認証

k8s は基本的に内部にサービスアカウントというのを使っており、Secret で管理している AKS の場合、AAD と統合して、ユーザーアカウントとしてアクセス許可ができる

kubectl 構成コンテキストを取得するには、ユーザーは az aks get-credentials コマンドを実行できます。 AKS クラスターでの Azure AD 認証には、OAuth 2.0 プロトコルの上に構築された ID 層である OpenID Connect が使用されます。

AKS と RBAC

①Kubernetes ロールを定義する

  • kubernetes ロール…名前空間のアクセス許可の付与
  • Cluster ロール…クラスタ全体のリソースに適用

② ロール バインディングとクラスタ ロール バインディングで RBAC アクセス許可をバインディング

  • RoleBindings
  • ClusterRoleBindings 上記と同じくそれらをバインディングする

Secret について 各 Pod のノード上に tmpfs というディスクに書き込まれない領域に保存される。 同じ名前空間の Pod のみがアクセス可能

Secret を使うとマニフェストに機密情報を記載しなくて済む 生のマニフェストには Base64 でデータが含まれるので Git にはコミットしないように注意


その他

Blob アクセスキーを更新すると SasURL は無効化される?

Tags:  Azure