junichi anno, profile picture
Uploaded byjunichi anno
PPTX, PDF1,396 views

Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD

this is the deck used in Tech Summit Japan 2018 * sorry in Japanese

Embed presentation

Downloaded 30 times
コストと脅威を同時に削減! Azureリソースを Azure AD で効率的に守るためのノウハウ集 安納 順一 日本マイクロソフト株式会社 Commercial Software Engineering CI01
2 「安全」にしてください!
3 技術 運用 “安全”であることを維持し続けられることが重要
4 Security DevOps Secure the subscription Enable secure developme- nt Integrate security into CICD Continuous Assurance Alerting & Monitoring Cloud Risk Governance 起点はサブスクリプションのセキュリティ設 計 • Azure AD による認証と認可 • 多要素認証 • Identity Protection • Managed Identity • ARM & Role-based Access Control • モニター • Azure セキュリティセンター • Log Analytics • ガバナンス • Azure Blueprints/Azure Policy • Just Enough Administration(JEA) • PowerShell JEA • Azure AD 特権管理
5
6 Azure AD Join パスワード連携 OMA-DM オンプレミス SAML 2.0 WS-Federation OpenID Connect OAuth 2.0 ID 管理 認証 Active Directory U/P Sync SSO 業界標準プロトコルの サポート 他社 SaaS との ID 連携 Microsoft Passport Windows Hello Windows 10 Browser セキュリティ ポリシー アプリ配布/利用制限 暗号化, 権限管理,追跡 BYOD/CYOD 社内業務 SAML 2.0 WS-Fed. Azure Machine Learning Intune Subscription RBAC … Proxy Connector KCD ID 同期 条件付きアクセス 特権 ID 管理 RBAC Managed ID 多要素認証必須 アクセスOK アクセス不可 ID 連携 Information Protection MDM/ MAM/ MCM B2B Azure IaaS Domain Services VPN Kerberos ldap NTLM Group Policy SPNego IWA アクセス パネルBusiness Store SCIM 2.0 監査 ログ解析 シャドウIT検出 リスクベース認証 MS Account
7 Azure Resource Management API Azure サブスクリプション
8 アプリケーション サービス プロバイダー 条件付きアクセス Identity Protection MFA
9 Azure サブスクリプション アプリケーション サービス プロバイ ダー
https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-conditional-access
https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-dynamic-data-masking-get-started-portal name division email phone Junichia SEI jxxx@xxxx.com 000-0000-0000 Hirosho C+E hxxx@xxxx.com 000-0000-0000 Sahomma SET sxxx@xxxx.com 000-0000-0000 drobbins DevCrew dxxx@xxxx.com 000-0000-0000
const string authString = "https://login.windows.net/hogehoge.com"; const string clientID = "07e33f8a-166f-4d79-a46d-f96dccf08b76"; const string clientSecret = "s9e6moGcFsRPP0rENcniLxxxxxhgmpGxxxxxpSIenvY="; const string resAzureGraphAPI = "https://graph.windows.net"; const string serviceRootURL = "https://graph.windows.net/hogehoge.com”; こいつをなんとかしたい ※ SQL 接続文字列も同様
サブスクリプション Azure Resource Manager Azure AD で保護されたリソース”に安全にアクセスするには、
import urllib import json from collections import OrderedDict import pprint import matplotlib.pyplot as plt from PIL import Image,ImageOps import cv2 import numpy import string import glob #img = cv2.imread("./images/給振用紙サンプル_10_U6.jpg") imgfile_folder = 'images_labeled' allFiles = [] #allFiles = glob.glob(imgfile_folder + '/*.jpg') allFiles = glob.glob(imgfile_folder + '/7*.jpg') print(str(len(allFiles)) + 'このファイルを処理します') #print(allFiles) imgs = [] p = [] for f in allFiles: img = cv2.imread(f) imgs.append(img) #img = cv2.equalizeHist(img) img = cv2.cvtColor(img, cv2.COLOR_RGB2GRAY) gamma = 2.0 imax = img.max() img = imax * (img / imax)**(1/gamma) #plt.imshow(img) im = Image.fromarray(numpy.uint8(img)) #im = im.convert('L') im = ImageOps.invert(im) #plt.imshow(im) width, height = im.size img = [] for y in range(height): for x in range(width): img.append(im.getpixel((x,y))) img.insert(0,"0") #ダミーのラベルデータを入れておく
Config[“AppSecret"]
Config[“AppSecret"] ハンドオフがある んじゃない? そもそも人が介在すること自体が不安
技術だけでなく セキュリティ運用ルールにおける ガバナンスとコンプライアンス
RBAC 信頼関係
http://169.254.169.254/ metadata/instance?api- version=2018-02-01 metadata • ARM 配下の仮想マシン インスタンスに関する情報を提供するインターフェース • 実行中の仮想マシン インスタンスからのみアクセス可能 • ルーティング不可能なローカルホスト(169.254.169.254)から取得する http://169.254.169.254/metadata/instance/<category> { "compute": { "location": "westus", "name": "avset2", "offer": "UbuntuServer", "osType": "Linux", "placementGroupId": "", "platformFaultDomain": "1", "platformUpdateDomain": "1", "publisher": "Canonical", "resourceGroupName": "myrg", "sku": "16.04-LTS", "subscriptionId": "xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx", "tags": "", "version": "16.04.201708030", "vmId": "13f56399- bd52-4150-9748-7190aae1ff21", "vmScaleSetName": "", "vmSize": "Standard_D1", "zone": "1" }, "network": { "interface": [ { "ipv4": { "ipAddress": [ { "privateIpAddress": "10.1.2.5", "publicIpAddress": "X.X.X.X" } ], "subnet": [ { "address": "10.1.2.0", "prefix": "24" } ] }, "ipv6": { "ipAddress": [] }, "macAddress": "000D3A36DDED" } ] } } api-version=2017-08-01 Endpoint Parameter Header Metadata="true"
http://169.254.169.254/metadata/Identity/OAuth/Token 'http://169.254.169.254/metadata/identity/oauth2/token ?api-version=2018-02-01 &resource=https%3A%2F%2Fvault.azure.net' Endpoint Parameter api-version=2018-02-01 resource=https%3A%2F%2Fvault.azure.net Header Metadata="true"
StatusCode : 200 StatusDescription : OK Content : {"access_token":"eyJ0eXAiOiJKV1QiLxxxxxxxxxxSUzI1NiIsIng1dCI6IndVTG1ZZnNxZFF1V3RW Xy1oeFZ0REpKWkxxxxxxxxxxZCI6IndVTG1ZZnNxZFF1V3RWXy1oeFZ0REpKWk00USJ9.eyJhdWQiOiJo dHRwczovL3ZhdWx0LmF6dXJlxxxxxxxxxxlzcy... RawContent : HTTP/1.1 200 OK Content-Length: 1599 Content-Type: application/json; charset=utf-8 Date: Wed, 07 Nov 2018 04:12:01 GMT Server: Microsoft-IIS/10.0 {"access_token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUz... Forms : {} $resource = 'https%3A%2F%2Fvault.azure.net' $baseurl = 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01' $url = $baseurl + '&resource=' + $resource $response = Invoke-WebRequest ` -Uri $url ` -Method GET ` -Headers @{Metadata="true"}
$token = ($response.content | ConvertFrom-Json).access_token eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IndVTG1ZZnNxZFF1V3RWXy1oeFZ0REpKWk00USIsImtpZCI6IndVTG1ZZn NxZFF1V3RWXy1oeFZ0REpKWk00USJ9.eyJhdWQiOiJodHRwczovL3ZhdWx0LmF6dXJlLm5ldCIsImlzcyI6Imh0dHBzOi8vc3RzLnd pbmRvd3MubmV0L2M5Njg3MTQ1LTUyMWYtNDJlNi1hMDAyLWMyZGY0MDRhNzFlZS8iLCJpYXQiOjE1NDE1NjM2MjEsIm5iZiI6MTU0M TU2MzYyMSwiZXhwIjoxNTQxNTkyNzIxLCJhaW8iOiI0MlJnWUlnTys5WmZMcjV1cnl6djNUV3Jkd3ZjQXdBPSIsImFwcGlkIjoiZDR mMDAzMmMtODBiNy00NzMyLThiOTUtZjFlYjllZmQ1N2NjIiwiYXBwaWRhY3IiOiIyIiwiZV9leHAiOjI4ODAwMCwiaWRwIjoiaHR0c HM6Ly9zdHMud2luZG93cy5uZXQvYzk2ODcxNDUtNTIxZi00MmU2LWEwMDItYzJkZjQwNGE3MWVlLyIsIm9pZCI6ImNlNDY2OGM1LWF lOWQtNDZmYS1iMTYxLWYxOGFiYWI2ODRkOSIsInN1YiI6ImNlNDY2OGM1LWFlOWQtNDZmYS1iMTYxLWYxOGFiYWI2ODRkOSIsInRpZ CI6ImM5Njg3MTQ1LTUyMWYtNDJlNi1hMDAyLWMyZGY0MDRhNzFlZSIsInV0aSI6ImhNLWlCeXBXUGtLaE9UNWlvZmtEQUEiLCJ2ZXI iOiIxLjAiLCJ4bXNfbWlyaWQiOiIvc3Vic2NyaXB0aW9ucy8zMjZjMzU5Ni04YWRhLTQ0YmItYWY2OS1iZDk4YWVmMGFjYmUvcmVzb 3VyY2Vncm91cHMvdGVjaHN1bW1pdDIwMTgvcHJvdmlkZXJzL01pY3Jvc29mdC5Db21wdXRlL3ZpcnR1YWxNYWNoaW5lcy90czIwMTh 2bTAyIn0.jWbL_EZyr43BgQEN-CC5cM15XTFeSVmZpKrUW3-N5SJpNONpES6Q8YQQkKRhRrpmkBADy45fI8eMj28R7sCDo1lTl4hzz aEplNlgSKtDv1xO6GD9vaxlS9V1eMcjimLEHk9N5QyZSllv21_F32rsnC_dv67W5v0KQZVGgTpHallEDR1SL_p9-kagdy4KBJ00GnR ooW7laLmQUkxDlYBVAv0kB6ebnkPspWKoFQSxk0xd-HVKHDBvUVhCBW8dTVTX3XGDM8dcIH6c-EOde_uXdWO6q-nVJJZEYAzf4F3Vi IeMbM851Bc57Mp4MkhG38tEP4GF9eK7Jj8zXOTPLY10NA
$KeyVault = "https://pharaojpkey.vault.azure.net/" $KeyContainer = $KeyVault + "secrets/testSecret" $KVuri = $KeyContainer + "?api-version=2016-10-01" $KeyVaultResponse = Invoke-WebRequest ` -Uri $KVuri ` -Method GET ` -Headers @{Authorization="Bearer $KeyVaultToken"} ($KeyVaultResponse.Content | ConvertFrom-Json).Value
const rp = require('request-promise'); const getToken = function(resource, apiver, cb) { var options = { uri: `${process.env["MSI_ENDPOINT"]}/?resource=${resource}&api- version=${apiver}`, headers: { 'Secret': process.env["MSI_SECRET"] } }; rp(options) .then(cb); }
• システム割り当てマネージド ID(system-assigned managed identity) • Azure サービス インスタンス上で直接有効にされるID • 各インスタンスで機能を有効にする • インスタンスが削除された場合、Azure AD の資格情報および ID を自動的にクリーンアップされる • ユーザー割り当てマネージド ID(user-assigned managed identity) ※Preview • 複数のリソースに割り当て可能なマネージド ID • 現時点では VM と Container サービスでのみ使用可能 RBAC 信頼関係 信頼関係
サービス システム割り当てID ユーザー割り当てID Azure Virtual Machines 〇 Preview Virtual Machine Scale Sets 〇 Preview Azure App Service Windows:〇 Linux: Coming Soon ー Azure Functions 〇 ー Azure Logic Apps 〇 ー Azure Data Factory V2 〇 ー Azure API Management 〇 ー Azure Container Instances Windows: ー Linux: Preview Windows: - Linux: Preview 最新情報 https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/services-support-msi 2018/10/23 現在
Service Resource ID Status Azure Resource Manager https://management.azure.com/ 使用可能 Microsoft Graph https://graph.windows.net 使用可能 Azure Key Vault https://vault.azure.net/ 使用可能 Azure Data Lake https://datalake.azure.net/ 使用可能 Azure SQL https://database.windows.net/ 使用可能 Azure Event Hubs https://eventhubs.azure.net/ プレビュー Azure Service Bus https://servicebus.azure.net/ プレビュー Azure Storage https://storage.azure.com/ プレビュー 最新情報 https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/services-support-msi 2018/10/23 現在
Resource Group
{ "properties": { "displayName": "NSG X on every nic", "description": "This policy enforces a specific NSG on every virtual network interface", "parameters": { "nsgId": { "type": "string", "metadata": { "description": "Resource Id of the Network Security Group", "displayName": "Network Security Group Id" } } }, "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Network/networkInterfaces" }, { "not": { "field": "Microsoft.Network/networkInterfaces/networkSecurityGroup.id", "equals": "[parameters('nsgId')]" } } ] }, "then": { "effect": "deny" } } } }
42 Blueprint Policy Assignment Role Assignment(RBAC) Azure Resource Manager Template Built-in Custom Management Group and
43 43
Resource Group
Azure Blueprints & Policy to get DevOps right | Best of Microsoft Ignite 2018 https://www.youtube.com/watch?v=OiOXlgFNgDo
NoOps
uncomfortable No Ops
Security DevOps Secure the subscriptio n Enable secure developme -nt Integrate security into CICD Continuous Assurance Alerting & Monitoring Cloud Risk Governance 起点はサブスクリプションのセキュリティ設計 • Azure AD による認証と認可 • 多要素認証 • Identity Protection • Managed Identity • ARM & Role-based Access Control • モニター • Azure セキュリティセンター • Log Analytics • ガバナンス • Azure Blueprints/Azure Policy • Just Enough Administration(JEA) • PowerShell JEA • Azure AD 特権管理
52 参考URL https://docs.microsoft.com/ja-jp/azure/security/ • Advanced threat detection • Azure logging and auditing • Azure network security • Azure serverless platform security • Container security in Azure • Enabling operational security • Isolation in the Azure cloud • Secure hybrid network architecture • Security technical capabilities
Information 「Ask The Speaker」 各ブレイクアウトセッション終了後の休憩時 間に、 登壇したスピーカーに直接ご質問いただける コーナーを B2F 「Ask The Speaker」 Room に用意 しています。セッション内容のより深い理解 のため、 ぜひお役立てください。 (※ハンズオンラーニング、シアターセッション、ビジネス トラック 及び 一部のセッションを除きます) EXPO AREA 1 EXPO AREA 2 Room C
セッションアンケートにご協力ください。 公式イベントアプリで、「Microsoft Tech Summit 2018 参加者アンケート(必 須)」と 「各セッションアンケート( 5 つ以上)」、合わせて 6 つ以上のアンケートに ご回答ください。 もれなくオリジナルグッズを贈呈いたします。 Information Twitter のご案内 本セッションに関するご質問やご感想は、 #mstsjp18 と セッション ID の ハッシュタグで、ご投稿をお願いします。 #mstsjp18
55 © 2018 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

More Related Content

PPTX
Microsoft Azure のセキュリティ
byjunichi anno
 
PPTX
Azure Key Vault
byjunichi anno
 
PPTX
Azure AD による Web API の 保護
byjunichi anno
 
PDF
SaaS としての IDM の役割
byjunichi anno
 
PDF
Vdi を より使いやすいインフラにするためのセキュリティ設計
byjunichi anno
 
PPTX
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
byjunichi anno
 
PPTX
Azure Active Directory 1枚資料 20151125版
byjunichi anno
 
PDF
IoT のセキュリティアーキテクチャと実装モデル on Azure
byjunichi anno
 
Microsoft Azure のセキュリティ
byjunichi anno
 
Azure Key Vault
byjunichi anno
 
Azure AD による Web API の 保護
byjunichi anno
 
SaaS としての IDM の役割
byjunichi anno
 
Vdi を より使いやすいインフラにするためのセキュリティ設計
byjunichi anno
 
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
byjunichi anno
 
Azure Active Directory 1枚資料 20151125版
byjunichi anno
 
IoT のセキュリティアーキテクチャと実装モデル on Azure
byjunichi anno
 

What's hot

PDF
AAD authentication for azure app v0.1.20.0317
byAyumu Inaba
 
PDF
Azure ADとIdentity管理
byNaohiro Fujie
 
PDF
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
byShinichiro Kosugi
 
PDF
Azure monitoring and alert v0.2.21.0707
byAyumu Inaba
 
PPTX
GoAzure 2015 Azure AD for Developers
bykekekekenta
 
PDF
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
byjunichi anno
 
PDF
[SC14] IoT のセキュリティアーキテクチャと実装モデル
byde:code 2017
 
PPTX
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
byShinya Yamaguchi
 
PDF
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティング
byID-Based Security イニシアティブ
 
PPTX
.NETラボ勉強会資料 Azure AD Identity Protection を知る
byShinya Yamaguchi
 
PDF
ハイブリッド時代のID基盤構成の基礎
byNaohiro Fujie
 
PDF
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
byde:code 2017
 
PDF
Dynamic Access Control 解説編
byjunichi anno
 
PPT
4/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
byjunichi anno
 
PDF
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
byjunichi anno
 
PDF
クラウドにおける Windows Azure Active Directory の役割
byjunichi anno
 
PPTX
リソーステンプレート入門
byjunichi anno
 
PPT
1/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう v1.1
byjunichi anno
 
PDF
Microsoft の ID 連携技術
byshigeya
 
PDF
Azure Active Directory 最新活用シナリオアップデート
byID-Based Security イニシアティブ
 
AAD authentication for azure app v0.1.20.0317
byAyumu Inaba
 
Azure ADとIdentity管理
byNaohiro Fujie
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
byShinichiro Kosugi
 
Azure monitoring and alert v0.2.21.0707
byAyumu Inaba
 
GoAzure 2015 Azure AD for Developers
bykekekekenta
 
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
byjunichi anno
 
[SC14] IoT のセキュリティアーキテクチャと実装モデル
byde:code 2017
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
byShinya Yamaguchi
 
AzureAD 最新情報とAzureAD B2Bの使い方_ID-based Security イニシアティブ 第4回全体ミーティング
byID-Based Security イニシアティブ
 
.NETラボ勉強会資料 Azure AD Identity Protection を知る
byShinya Yamaguchi
 
ハイブリッド時代のID基盤構成の基礎
byNaohiro Fujie
 
[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装
byde:code 2017
 
Dynamic Access Control 解説編
byjunichi anno
 
4/5 ADFS 2.0 を使用して Windows Azure との SSO を実現しよう V1.1
byjunichi anno
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
byjunichi anno
 
クラウドにおける Windows Azure Active Directory の役割
byjunichi anno
 
リソーステンプレート入門
byjunichi anno
 
1/5 ADFS 2.0 を使用してWindows Azure との SSO を実現しよう v1.1
byjunichi anno
 
Microsoft の ID 連携技術
byshigeya
 
Azure Active Directory 最新活用シナリオアップデート
byID-Based Security イニシアティブ
 

Similar to Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD

PDF
SAP on Azure Cloud Workshop Material Japanese 20190221
byHitoshi Ikemoto
 
PPTX
Azure Active Directory 利用開始への第一歩
byYusuke Kodama
 
PDF
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
byde:code 2017
 
PDF
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
byAi Hayakawa
 
PDF
クラウドにおける Zero Trust の考え方 PALO ALTO NETWORKS DAY 2019 | TOKYO
byRyuki Yoshimatsu
 
PDF
[Modern Cloud Day Tokyo 2019] ゼロから再設計したOracle Cloudのデータ保護戦略~7つの原則とその実装
byオラクルエンジニア通信
 
PDF
あなたもハマるかもしれない "Azure あるある" ~アーキテクトがクラウド導入の現場で見た課題の傾向と対策~
byRyuki Yoshimatsu
 
PDF
S94 Microsoft Azure セキュリティについて
byMicrosoft Azure Japan
 
PPTX
KubernetesのRBACを掘り下げてみる(Kubernetes Novice Tokyo #17 発表資料)
byNTT DATA Technology & Innovation
 
PDF
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
byGenki WATANABE
 
PPTX
Microsoft Azure の概要と最近のアップデート(2016年6月25日)
bykekekekenta
 
PDF
Paas_Security_Part1
byRyoma Nagata
 
PDF
Sec004 cloud first、_mobile_first_におけるid
byTech Summit 2016
 
PDF
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
byID-Based Security イニシアティブ
 
PDF
20130222 osc tokyo
byMasaki Takeda
 
PDF
Oss on Azure, Websites, WordPress
byMicrosoft Openness Japan
 
PPTX
Java/Android開発者のためのWindows Azure入門 (パート2)
byNaoki (Neo) SATO
 
PDF
decode2016振り返り Azure IaaSなどインフラ系8セッションのポイントについて語ります!
bywintechq
 
PDF
第29回長岡開発者勉強会
byMasaki Takeda
 
PDF
ARC-005_あなたもハマるかもしれない "Azure あるある" ~アーキテクトがクラウド導入の現場で見た課題の傾向と対策~
bydecode2016
 
SAP on Azure Cloud Workshop Material Japanese 20190221
byHitoshi Ikemoto
 
Azure Active Directory 利用開始への第一歩
byYusuke Kodama
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
byde:code 2017
 
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
byAi Hayakawa
 
クラウドにおける Zero Trust の考え方 PALO ALTO NETWORKS DAY 2019 | TOKYO
byRyuki Yoshimatsu
 
[Modern Cloud Day Tokyo 2019] ゼロから再設計したOracle Cloudのデータ保護戦略~7つの原則とその実装
byオラクルエンジニア通信
 
あなたもハマるかもしれない "Azure あるある" ~アーキテクトがクラウド導入の現場で見た課題の傾向と対策~
byRyuki Yoshimatsu
 
S94 Microsoft Azure セキュリティについて
byMicrosoft Azure Japan
 
KubernetesのRBACを掘り下げてみる(Kubernetes Novice Tokyo #17 発表資料)
byNTT DATA Technology & Innovation
 
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
byGenki WATANABE
 
Microsoft Azure の概要と最近のアップデート(2016年6月25日)
bykekekekenta
 
Paas_Security_Part1
byRyoma Nagata
 
Sec004 cloud first、_mobile_first_におけるid
byTech Summit 2016
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
byID-Based Security イニシアティブ
 
20130222 osc tokyo
byMasaki Takeda
 
Oss on Azure, Websites, WordPress
byMicrosoft Openness Japan
 
Java/Android開発者のためのWindows Azure入門 (パート2)
byNaoki (Neo) SATO
 
decode2016振り返り Azure IaaSなどインフラ系8セッションのポイントについて語ります!
bywintechq
 
第29回長岡開発者勉強会
byMasaki Takeda
 
ARC-005_あなたもハマるかもしれない "Azure あるある" ~アーキテクトがクラウド導入の現場で見た課題の傾向と対策~
bydecode2016
 

More from junichi anno

PDF
Active Directory 最新情報 2012.8.31 暫定版
byjunichi anno
 
PDF
Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版
byjunichi anno
 
PDF
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
byjunichi anno
 
PDF
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
byjunichi anno
 
PPTX
PowerShell の基本操作とリモーティング&v3のご紹介 junichia
byjunichi anno
 
PPTX
個人情報を守るための アプリケーション設計(概要)
byjunichi anno
 
PPTX
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
byjunichi anno
 
PDF
Windows File Service 総復習-Windows Server 2012 R2編 第1版
byjunichi anno
 
PDF
Hyper-V を Windows PowerShell から管理する
byjunichi anno
 
PDF
仮想化した DC を PowerShell で複製する
byjunichi anno
 
PPTX
Power shell の基本操作と処理の自動化 v2_20120514
byjunichi anno
 
PDF
Shared Nothing Live Migration で重要な「委任」について
byjunichi anno
 
PDF
Dynamic Access Control 演習編
byjunichi anno
 
PPTX
Windows Server 2012 で管理をもっと自動化する
byjunichi anno
 
PPTX
Azureの管理権限について
byjunichi anno
 
PDF
Microsoft と Digital Identity
byjunichi anno
 
PDF
File Server on Azure IaaS
byjunichi anno
 
Active Directory 最新情報 2012.8.31 暫定版
byjunichi anno
 
Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版
byjunichi anno
 
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
byjunichi anno
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
byjunichi anno
 
PowerShell の基本操作とリモーティング&v3のご紹介 junichia
byjunichi anno
 
個人情報を守るための アプリケーション設計(概要)
byjunichi anno
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
byjunichi anno
 
Windows File Service 総復習-Windows Server 2012 R2編 第1版
byjunichi anno
 
Hyper-V を Windows PowerShell から管理する
byjunichi anno
 
仮想化した DC を PowerShell で複製する
byjunichi anno
 
Power shell の基本操作と処理の自動化 v2_20120514
byjunichi anno
 
Shared Nothing Live Migration で重要な「委任」について
byjunichi anno
 
Dynamic Access Control 演習編
byjunichi anno
 
Windows Server 2012 で管理をもっと自動化する
byjunichi anno
 
Azureの管理権限について
byjunichi anno
 
Microsoft と Digital Identity
byjunichi anno
 
File Server on Azure IaaS
byjunichi anno
 

Recently uploaded

PDF
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
PDF
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
PDF
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
PPTX
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 
PDF
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 

Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD

  • 1.
    コストと脅威を同時に削減! Azureリソースを Azure ADで効率的に守るためのノウハウ集 安納 順一 日本マイクロソフト株式会社 Commercial Software Engineering CI01
  • 2.
  • 3.
  • 4.
    4 Security DevOps Secure the subscription Enable secure developme- nt Integrate securityinto CICD Continuous Assurance Alerting & Monitoring Cloud Risk Governance 起点はサブスクリプションのセキュリティ設 計 • Azure AD による認証と認可 • 多要素認証 • Identity Protection • Managed Identity • ARM & Role-based Access Control • モニター • Azure セキュリティセンター • Log Analytics • ガバナンス • Azure Blueprints/Azure Policy • Just Enough Administration(JEA) • PowerShell JEA • Azure AD 特権管理
  • 5.
  • 6.
    6 Azure AD Join パスワード連携 OMA-DM オンプレミス SAML2.0 WS-Federation OpenID Connect OAuth 2.0 ID 管理 認証 Active Directory U/P Sync SSO 業界標準プロトコルの サポート 他社 SaaS との ID 連携 Microsoft Passport Windows Hello Windows 10 Browser セキュリティ ポリシー アプリ配布/利用制限 暗号化, 権限管理,追跡 BYOD/CYOD 社内業務 SAML 2.0 WS-Fed. Azure Machine Learning Intune Subscription RBAC … Proxy Connector KCD ID 同期 条件付きアクセス 特権 ID 管理 RBAC Managed ID 多要素認証必須 アクセスOK アクセス不可 ID 連携 Information Protection MDM/ MAM/ MCM B2B Azure IaaS Domain Services VPN Kerberos ldap NTLM Group Policy SPNego IWA アクセス パネルBusiness Store SCIM 2.0 監査 ログ解析 シャドウIT検出 リスクベース認証 MS Account
  • 7.
    7 Azure Resource ManagementAPI Azure サブスクリプション
  • 8.
  • 9.
  • 12.
  • 13.
    https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-dynamic-data-masking-get-started-portal name division emailphone Junichia SEI jxxx@xxxx.com 000-0000-0000 Hirosho C+E hxxx@xxxx.com 000-0000-0000 Sahomma SET sxxx@xxxx.com 000-0000-0000 drobbins DevCrew dxxx@xxxx.com 000-0000-0000
  • 14.
    const string authString= "https://login.windows.net/hogehoge.com"; const string clientID = "07e33f8a-166f-4d79-a46d-f96dccf08b76"; const string clientSecret = "s9e6moGcFsRPP0rENcniLxxxxxhgmpGxxxxxpSIenvY="; const string resAzureGraphAPI = "https://graph.windows.net"; const string serviceRootURL = "https://graph.windows.net/hogehoge.com”; こいつをなんとかしたい ※ SQL 接続文字列も同様
  • 17.
    サブスクリプション Azure Resource Manager AzureAD で保護されたリソース”に安全にアクセスするには、
  • 18.
    import urllib import json fromcollections import OrderedDict import pprint import matplotlib.pyplot as plt from PIL import Image,ImageOps import cv2 import numpy import string import glob #img = cv2.imread("./images/給振用紙サンプル_10_U6.jpg") imgfile_folder = 'images_labeled' allFiles = [] #allFiles = glob.glob(imgfile_folder + '/*.jpg') allFiles = glob.glob(imgfile_folder + '/7*.jpg') print(str(len(allFiles)) + 'このファイルを処理します') #print(allFiles) imgs = [] p = [] for f in allFiles: img = cv2.imread(f) imgs.append(img) #img = cv2.equalizeHist(img) img = cv2.cvtColor(img, cv2.COLOR_RGB2GRAY) gamma = 2.0 imax = img.max() img = imax * (img / imax)**(1/gamma) #plt.imshow(img) im = Image.fromarray(numpy.uint8(img)) #im = im.convert('L') im = ImageOps.invert(im) #plt.imshow(im) width, height = im.size img = [] for y in range(height): for x in range(width): img.append(im.getpixel((x,y))) img.insert(0,"0") #ダミーのラベルデータを入れておく
  • 19.
  • 20.
  • 21.
  • 22.
  • 24.
    http://169.254.169.254/ metadata/instance?api- version=2018-02-01 metadata • ARM 配下の仮想マシンインスタンスに関する情報を提供するインターフェース • 実行中の仮想マシン インスタンスからのみアクセス可能 • ルーティング不可能なローカルホスト(169.254.169.254)から取得する http://169.254.169.254/metadata/instance/<category> { "compute": { "location": "westus", "name": "avset2", "offer": "UbuntuServer", "osType": "Linux", "placementGroupId": "", "platformFaultDomain": "1", "platformUpdateDomain": "1", "publisher": "Canonical", "resourceGroupName": "myrg", "sku": "16.04-LTS", "subscriptionId": "xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx", "tags": "", "version": "16.04.201708030", "vmId": "13f56399- bd52-4150-9748-7190aae1ff21", "vmScaleSetName": "", "vmSize": "Standard_D1", "zone": "1" }, "network": { "interface": [ { "ipv4": { "ipAddress": [ { "privateIpAddress": "10.1.2.5", "publicIpAddress": "X.X.X.X" } ], "subnet": [ { "address": "10.1.2.0", "prefix": "24" } ] }, "ipv6": { "ipAddress": [] }, "macAddress": "000D3A36DDED" } ] } } api-version=2017-08-01 Endpoint Parameter Header Metadata="true"
  • 25.
  • 27.
    StatusCode : 200 StatusDescription: OK Content : {"access_token":"eyJ0eXAiOiJKV1QiLxxxxxxxxxxSUzI1NiIsIng1dCI6IndVTG1ZZnNxZFF1V3RW Xy1oeFZ0REpKWkxxxxxxxxxxZCI6IndVTG1ZZnNxZFF1V3RWXy1oeFZ0REpKWk00USJ9.eyJhdWQiOiJo dHRwczovL3ZhdWx0LmF6dXJlxxxxxxxxxxlzcy... RawContent : HTTP/1.1 200 OK Content-Length: 1599 Content-Type: application/json; charset=utf-8 Date: Wed, 07 Nov 2018 04:12:01 GMT Server: Microsoft-IIS/10.0 {"access_token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUz... Forms : {} $resource = 'https%3A%2F%2Fvault.azure.net' $baseurl = 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01' $url = $baseurl + '&resource=' + $resource $response = Invoke-WebRequest ` -Uri $url ` -Method GET ` -Headers @{Metadata="true"}
  • 28.
    $token = ($response.content| ConvertFrom-Json).access_token eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IndVTG1ZZnNxZFF1V3RWXy1oeFZ0REpKWk00USIsImtpZCI6IndVTG1ZZn NxZFF1V3RWXy1oeFZ0REpKWk00USJ9.eyJhdWQiOiJodHRwczovL3ZhdWx0LmF6dXJlLm5ldCIsImlzcyI6Imh0dHBzOi8vc3RzLnd pbmRvd3MubmV0L2M5Njg3MTQ1LTUyMWYtNDJlNi1hMDAyLWMyZGY0MDRhNzFlZS8iLCJpYXQiOjE1NDE1NjM2MjEsIm5iZiI6MTU0M TU2MzYyMSwiZXhwIjoxNTQxNTkyNzIxLCJhaW8iOiI0MlJnWUlnTys5WmZMcjV1cnl6djNUV3Jkd3ZjQXdBPSIsImFwcGlkIjoiZDR mMDAzMmMtODBiNy00NzMyLThiOTUtZjFlYjllZmQ1N2NjIiwiYXBwaWRhY3IiOiIyIiwiZV9leHAiOjI4ODAwMCwiaWRwIjoiaHR0c HM6Ly9zdHMud2luZG93cy5uZXQvYzk2ODcxNDUtNTIxZi00MmU2LWEwMDItYzJkZjQwNGE3MWVlLyIsIm9pZCI6ImNlNDY2OGM1LWF lOWQtNDZmYS1iMTYxLWYxOGFiYWI2ODRkOSIsInN1YiI6ImNlNDY2OGM1LWFlOWQtNDZmYS1iMTYxLWYxOGFiYWI2ODRkOSIsInRpZ CI6ImM5Njg3MTQ1LTUyMWYtNDJlNi1hMDAyLWMyZGY0MDRhNzFlZSIsInV0aSI6ImhNLWlCeXBXUGtLaE9UNWlvZmtEQUEiLCJ2ZXI iOiIxLjAiLCJ4bXNfbWlyaWQiOiIvc3Vic2NyaXB0aW9ucy8zMjZjMzU5Ni04YWRhLTQ0YmItYWY2OS1iZDk4YWVmMGFjYmUvcmVzb 3VyY2Vncm91cHMvdGVjaHN1bW1pdDIwMTgvcHJvdmlkZXJzL01pY3Jvc29mdC5Db21wdXRlL3ZpcnR1YWxNYWNoaW5lcy90czIwMTh 2bTAyIn0.jWbL_EZyr43BgQEN-CC5cM15XTFeSVmZpKrUW3-N5SJpNONpES6Q8YQQkKRhRrpmkBADy45fI8eMj28R7sCDo1lTl4hzz aEplNlgSKtDv1xO6GD9vaxlS9V1eMcjimLEHk9N5QyZSllv21_F32rsnC_dv67W5v0KQZVGgTpHallEDR1SL_p9-kagdy4KBJ00GnR ooW7laLmQUkxDlYBVAv0kB6ebnkPspWKoFQSxk0xd-HVKHDBvUVhCBW8dTVTX3XGDM8dcIH6c-EOde_uXdWO6q-nVJJZEYAzf4F3Vi IeMbM851Bc57Mp4MkhG38tEP4GF9eK7Jj8zXOTPLY10NA
  • 31.
    $KeyVault = "https://pharaojpkey.vault.azure.net/" $KeyContainer= $KeyVault + "secrets/testSecret" $KVuri = $KeyContainer + "?api-version=2016-10-01" $KeyVaultResponse = Invoke-WebRequest ` -Uri $KVuri ` -Method GET ` -Headers @{Authorization="Bearer $KeyVaultToken"} ($KeyVaultResponse.Content | ConvertFrom-Json).Value
  • 32.
    const rp =require('request-promise'); const getToken = function(resource, apiver, cb) { var options = { uri: `${process.env["MSI_ENDPOINT"]}/?resource=${resource}&api- version=${apiver}`, headers: { 'Secret': process.env["MSI_SECRET"] } }; rp(options) .then(cb); }
  • 34.
    • システム割り当てマネージド ID(system-assignedmanaged identity) • Azure サービス インスタンス上で直接有効にされるID • 各インスタンスで機能を有効にする • インスタンスが削除された場合、Azure AD の資格情報および ID を自動的にクリーンアップされる • ユーザー割り当てマネージド ID(user-assigned managed identity) ※Preview • 複数のリソースに割り当て可能なマネージド ID • 現時点では VM と Container サービスでのみ使用可能 RBAC 信頼関係 信頼関係
  • 35.
    サービス システム割り当てID ユーザー割り当てID AzureVirtual Machines 〇 Preview Virtual Machine Scale Sets 〇 Preview Azure App Service Windows:〇 Linux: Coming Soon ー Azure Functions 〇 ー Azure Logic Apps 〇 ー Azure Data Factory V2 〇 ー Azure API Management 〇 ー Azure Container Instances Windows: ー Linux: Preview Windows: - Linux: Preview 最新情報 https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/services-support-msi 2018/10/23 現在
  • 36.
    Service Resource IDStatus Azure Resource Manager https://management.azure.com/ 使用可能 Microsoft Graph https://graph.windows.net 使用可能 Azure Key Vault https://vault.azure.net/ 使用可能 Azure Data Lake https://datalake.azure.net/ 使用可能 Azure SQL https://database.windows.net/ 使用可能 Azure Event Hubs https://eventhubs.azure.net/ プレビュー Azure Service Bus https://servicebus.azure.net/ プレビュー Azure Storage https://storage.azure.com/ プレビュー 最新情報 https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/services-support-msi 2018/10/23 現在
  • 40.
  • 41.
    { "properties": { "displayName": "NSGX on every nic", "description": "This policy enforces a specific NSG on every virtual network interface", "parameters": { "nsgId": { "type": "string", "metadata": { "description": "Resource Id of the Network Security Group", "displayName": "Network Security Group Id" } } }, "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Network/networkInterfaces" }, { "not": { "field": "Microsoft.Network/networkInterfaces/networkSecurityGroup.id", "equals": "[parameters('nsgId')]" } } ] }, "then": { "effect": "deny" } } } }
  • 42.
    42 Blueprint Policy Assignment Role Assignment(RBAC) AzureResource Manager Template Built-in Custom Management Group and
  • 43.
  • 44.
  • 47.
    Azure Blueprints &Policy to get DevOps right | Best of Microsoft Ignite 2018 https://www.youtube.com/watch?v=OiOXlgFNgDo
  • 49.
  • 50.
  • 51.
    Security DevOps Secure the subscriptio n Enable secure developme -nt Integrate security intoCICD Continuous Assurance Alerting & Monitoring Cloud Risk Governance 起点はサブスクリプションのセキュリティ設計 • Azure AD による認証と認可 • 多要素認証 • Identity Protection • Managed Identity • ARM & Role-based Access Control • モニター • Azure セキュリティセンター • Log Analytics • ガバナンス • Azure Blueprints/Azure Policy • Just Enough Administration(JEA) • PowerShell JEA • Azure AD 特権管理
  • 52.
    52 参考URL https://docs.microsoft.com/ja-jp/azure/security/ • Advanced threatdetection • Azure logging and auditing • Azure network security • Azure serverless platform security • Container security in Azure • Enabling operational security • Isolation in the Azure cloud • Secure hybrid network architecture • Security technical capabilities
  • 53.
    Information 「Ask The Speaker」 各ブレイクアウトセッション終了後の休憩時 間に、 登壇したスピーカーに直接ご質問いただける コーナーをB2F 「Ask The Speaker」 Room に用意 しています。セッション内容のより深い理解 のため、 ぜひお役立てください。 (※ハンズオンラーニング、シアターセッション、ビジネス トラック 及び 一部のセッションを除きます) EXPO AREA 1 EXPO AREA 2 Room C
  • 54.
    セッションアンケートにご協力ください。 公式イベントアプリで、「Microsoft Tech Summit2018 参加者アンケート(必 須)」と 「各セッションアンケート( 5 つ以上)」、合わせて 6 つ以上のアンケートに ご回答ください。 もれなくオリジナルグッズを贈呈いたします。 Information Twitter のご案内 本セッションに関するご質問やご感想は、 #mstsjp18 と セッション ID の ハッシュタグで、ご投稿をお願いします。 #mstsjp18
  • 55.
    55 © 2018 MicrosoftCorporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

Editor's Notes

  • #5 安全なクラウドサブスクリプションは、その後の開発および展開活動を実行するための基盤を提供します。エンジニアリングチームは、アラート、ARMポリシー、RBAC、セキュリティセンターポリシー、JEA、リソースロックなどの要素を含む、サブスクリプションのセキュリティを展開および設定する機能を備えている必要があります。同様に、すべての設定が安全なベースラインへの適合。 コーディング段階と初期開発段階では、開発者はセキュアなコードを記述し、クラウドアプリケーションの安全な構成をテストする能力を備えている必要があります。ビルド検証テスト(BVT)と同様に、Azureのさまざまなリソースタイプのセキュリティをチェックできるセキュリティ検証テスト(SVT) テストの自動化はdevopsの中心的な教えです。 VSTS CICDパイプラインの一部としてSVTを実行する機能を提供することで、これを強調します。これらのSVTを使用すると、クラウドアプリケーションの展開に使用されるターゲットサブスクリプションと、アプリケーションが構築されているAzureリソースがすべて確実にセットアップされるようにすることができます。 絶え間なく変わるdevオペレーション環境では、セキュリティの考え方から離れることは重要なマイルストーンです。我々は、セキュリティをシステムの連続的に変化する状態として扱わなければならない。これは、自動化されたrunbooks、スケジュールなどの組み合わせを使用して継続的な保証を可能にする機能によって可能になります。 セキュリティステータスの可視性は、個々のアプリケーションチームや中央のエンタープライズチームにとって重要です。私たちは、両方のニーズに応えるソリューションを提供しています。さらに、このソリューションは、デベロッパーチームのすべてのステージにわたって展開され、デベロッパーチームと運用チームの間のギャップをセキュリティの観点から、単一の統合されたビューを通じてブリッジします。
  • #52 安全なクラウドサブスクリプションは、その後の開発および展開活動を実行するための基盤を提供します。エンジニアリングチームは、アラート、ARMポリシー、RBAC、セキュリティセンターポリシー、JEA、リソースロックなどの要素を含む、サブスクリプションのセキュリティを展開および設定する機能を備えている必要があります。同様に、すべての設定が安全なベースラインへの適合。 コーディング段階と初期開発段階では、開発者はセキュアなコードを記述し、クラウドアプリケーションの安全な構成をテストする能力を備えている必要があります。ビルド検証テスト(BVT)と同様に、Azureのさまざまなリソースタイプのセキュリティをチェックできるセキュリティ検証テスト(SVT) テストの自動化はdevopsの中心的な教えです。 VSTS CICDパイプラインの一部としてSVTを実行する機能を提供することで、これを強調します。これらのSVTを使用すると、クラウドアプリケーションの展開に使用されるターゲットサブスクリプションと、アプリケーションが構築されているAzureリソースがすべて確実にセットアップされるようにすることができます。 絶え間なく変わるdevオペレーション環境では、セキュリティの考え方から離れることは重要なマイルストーンです。我々は、セキュリティをシステムの連続的に変化する状態として扱わなければならない。これは、自動化されたrunbooks、スケジュールなどの組み合わせを使用して継続的な保証を可能にする機能によって可能になります。 セキュリティステータスの可視性は、個々のアプリケーションチームや中央のエンタープライズチームにとって重要です。私たちは、両方のニーズに応えるソリューションを提供しています。さらに、このソリューションは、デベロッパーチームのすべてのステージにわたって展開され、デベロッパーチームと運用チームの間のギャップをセキュリティの観点から、単一の統合されたビューを通じてブリッジします。