3. • ガバナンスを浸透させリスクを減らすため
• プロセスを自動化し生産性を高めるため
• ビジネスの成功をサポートするため!
Process
Process Process
Process
Process
Process
Process Process
Process
Process
company
politics
Process
Process
Process
temptations
Process
ProcessProcess Process
Process
Process
Process Goal!!
Pitfall
Loop
Start
Loop
Loop
PitfallBomb
Bomb
Loop
company
politics
company
politics
実態は。。。ゴールへの道筋は統制の効かない「細かく分断されたプロセスの」集合体
6. • パブリッククラウドとの「一貫性」を実現できるインフラ
= Private Cloud 化
• プロセスに連続性がある
• ガバナンスが効いている
• 生産性を落とさない
ノウハウではなく
「 IT の仕組み」の問題
Hybrid Cloud
Process Process Process Process
Private Cloud
Process Process Process Process
Public Cloud
プロセスの連続性と End to End なガバナンス
• Private Cloud の拡張先として Public Cloud が存在するという認識
8. Process Process Process Process
Private Cloud
Process Process Process Process
Public Cloud
プロセスの連続性と End to End なガバナンス
Portal
CPU Storage RAM Network
Storage
Apps Apps Apps
Scale out
tenant
ScaleUP
CPU Storage RAM Network
Storage
Apps Apps Apps
Scale out
tenant
ScaleUP
Hybrid Cloud
11. 全てのリソースとプロセスが、統一されたセキュリティ ポリシーによって管理されている
Process Process Process Process
Private Cloud
Process Process Process Process
Public Cloud
プロセスの連続性と End to End なガバナンス
Portal
CPU Storage RAM Network
Storage
Apps Apps Apps
Scale out
tenant
ScaleUP
CPU Storage RAM Network
Storage
Apps Apps Apps
Scale out
tenant
ScaleUP
Hybrid Cloud
12.
13. IT ガバナンスを “IT” でコントロールするため
IT ガバナンスとは(経済産業省)
• 企業が、ITに関する企画・導入・運営および活用を行
うにあたって、すべての活動、成果および関係者を
適正に統制し、目指すべき姿へと導くための仕組み
を組織に組み込むこと、または、組み込まれた状態
• ITガバナンスは、ITマネジメントに関わる方針や基準
を明確にし、それを経営者やユーザーに浸透させる
ことに重点が置かれており、ITマネジメントは、日々
の運営や活動の管理に重点が置かれている
http://warp.ndl.go.jp/info:ndljp/pid/286890/www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/index03.html
24. Active Directory ドメイン
AD DS
ID/Pass で Sign-in
グループポリシーによる統制
Windows
クライアント
AD CS
証明書発行
アカウント管理
AD RMS
アクセス制御
データ暗号化
ファイルサーバ
メールサーバー
WEB サーバー
DB サーバー
ア
ク
セ
ス
制
御
25. INTERNET
• 社内セキュリティポリシーによる継続的な監視
• PC のセキュリティはリアルタイムに監視されている
Active Directory ドメイン
検疫ネットワーク
社内ネットワーク
Firewall Direct Access
ServerHotel
評価
Network Access Protection
ドメインコントローラー
業務サーバー
ファイルサーバー
Windows7/8
R-Proxy
26. Active Directory ドメイン
AD DS
AD RMS
Exchange
Server
• 重要なデータ(メール、ドキュメント)を暗号化
• データにアクセス権限を付与
• 認可の集中管理
SharePoint
Server
EAS
https
認
証
認
可
Firewall
※権限を付与するのはデータ/メールの作成者
または、動的分類機能で自動化
暗号化メールを解読
27. Active Directory ドメイン
• RDP を使用して社内仮想 PC を操作
• 社内仮想PCは常に社内セキュリティポリシーが適用されている
• データは 社内仮想 PC から外に出られない
各種
業務サーバー
RDP
セキュリティ境界
踏み台(仮想PC群)
遠隔操作
AD DS
遠隔操作
61. • AD FS はリソースへのアクセス可否を集中的に判定する「前門」である
• トークンにはアプリケーションのアクセス権を得るために必要な情報
(クレーム)が格納されている(ていうか、格納するように設定する)
Resources
Web Service
Web Service
まずは俺を倒し
てからだ
AD FS
62. • WEB アプリケーションを AD FS に登録する
• アプリの種類によってアクセス方法が異なる
AD FS
AD DS
SAML/WS-Fed 対応アプリ 通常の WEB アプリ
事前に登録 事前に登録
AD FS Proxy
AD FSにリダイレクトできない
ため、AD FS Proxy を経由する
AD FS Proxy は Web Application Proxy の機能
WEBアプリの
URLはAD FS
Proxy に向ける
63. • WS 2012 R2 デバイス レジストレーション サービス(DRS)を有効化し、
デバイスを AD DS に事前登録しておく
• ドメインに参加している社内 PC
• ドメインに参加していない個人デバイス
• サポートされている OS
• Windows 8.1, Windows RT 8.1
• Windows 7(ドメイン参加)※Beta
• iOS
• Android(機種依存)
Start
AD FS
AD DS
①「社内ネットワークに参加」
UserID/Password クレーム処理
エンジン
デバイス登録
サービス
(DRS)
②ユーザー
認証
④デバイス登録
Start
⑤ 証明書インストール
個人デバイス
HTTPS
75. BYOD
Web Service
Web Service
Web Service
Web Service
Web Service
Web Service
Web
Service
Salesforce.com
Google.com
office365Public Cloud
アプリケーションにとっては、
「どこの馬の骨ともわからないデ
バイス」を、社内AD DSによって
認証し、一定の安全性を担保する
ことができる。
76. • Active Directory ドメインに個人デバイスを登録しておく(ドメイン参加ではない)
• “AD FS トークンが必要なサービス”にアクセスする前にデバイス認証を実施
AD FS
/DRS
Office 365
個人デバイス
デバイスのアクセスを許可するか
どうかを判断
認証
77. • AD FS にはクレーム対応アプリに加え、通常の WEB アプリも登録できる
Windows 統合認証に対応したアプリには クレデンシャルを渡すことも
できる
• WEB APPLICATION PROXY を通過する際に、
AD FS による事前認証/認可が行える
WAP を通過するようにインフラを設計しさえすれば、
旧来の社内WEBアプリを AD FS による事前認証/認可 機能で保護できる
78.
79. Microsoft Azure Active Directory
アクセスコントロール
• ID 連携
• トークン変換
ディレクトリ
• ユーザー管理
• Graph API
• Auth. Library
• 認証
• ID/Password
• 多要素認証
• AD DS 同期
• Application Access
• ユーザー同期
Active Directory
IDMaaS としての機能を実装したマルチテナント型のディレクトリ サービス
AD DS Azure AD
多要素認証プロバイダー(有償)
• 電話応答
• ワンタイムパスワード
Rights Management
• メールおよびドキュメントのIRM
102. Intern
et
Site to Site 接続
Microsoft Azure
Software Load Balancer
Intern
et
Microsoft Azure
Software Load Balancer
Cloud Service
AD FS
Cloud Service Cloud Service
SaaS
WS-Fed.
信頼関係
VPN
Gateway
VPN
Device
103. • 少なくとも以下の 3 種類のサーバーを配置する
• AD DS & DNS
• AD FS
• Web Application Proxy
• それぞれのサーバーは個別のクラウドサービスに所属させる
• それぞれのサーバーは少なくとも2台で構成し、2台は同じ可用性セットに所属させる
• AD FS と Web Application Proxy は負荷分散セットを構成することで VIP に対してロードバランスが可能になる
Point
インターネットからの認証要求を受け入れる場合、AD DS および AD FS を直接インターネット
に公開するのではなく、Web Application Proxy を介することで安全性を高められる。
Point
クラウドサービス単位にパブリックなIPアドレス(VIP)が1つ付与される
Point
可用性セットを構成することで、障害やメンテナンスにより2台が同時にダウンすることを防ぐことができる(SLA 99.95)
Point
仮想ネットワーク上のローカル IP アドレス(DIP)はロードバランスを構成できないため、VIP側でロードバランスする必要がある
112. AD FS
Internet Internet
Site to Site 接続
Microsoft Azure
Software Load Balancer
Microsoft Azure
Software Load Balancer
VIP VIP
DIP DIP DIP DIP
Cloud Service Cloud Service Cloud Service
DIP DIP
AD DSはロードバラ
ンスの必要が無い
115. Internet
Site to Site VPN 接続
Microsoft Azure
Software Load Balancer
VIP
DIP DIP DIP DIP
Internet
Microsoft Azure
Software Load Balancer
VIP
Cloud Service
AD FS
Cloud Service Cloud Service
ACL Rules
AD FS は全力で守る!
DIP DIP
116. • IP アドレス
DHCP のまま利用(IaaS 上では静的IPアドレスは使用できない)
一度リースされたアドレスは VM が廃棄されない限り永続される
• DNS
AD DS と同時に DNS もインストール
Virtual Network に当該 DNS を設定する
Microsoft Azure の内部 DNS は使用できない
• DISK
C: OS
D: テンポラリ
E:~
• 通信課金について
課金対象は Azure → オンプレミス 方向のみ
RODC(Read-Only Domain Controller)→ DC への通信は発生しない
自身で追加し、
キャッシュをオフ
既定のディスク
Active Directory のデータベース用ディスク
として使用