Microsoft Ignite 2019レポート 〜 【セッション】Securing Azure IaaS virtual machines 〜

◆ Live配信スケジュール ◆
サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。
⇒ 詳細スケジュールはこちらから
⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください
【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました
生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!!
https://tech-lab.connpass.com/event/315703/

【5/27開催】事業変革を最新ソフトウェア技術で加速する「OSS利活用事例セミナー」
OSSのビジネス活用事例などを紹介します!登壇者はスカパー様やIPAなど🎤
OSSを活用した新たなビジネス創出やDX推進のヒントを得られる機会です。
https://ossforum.connpass.com/event/318583/
【6/19開催】Kong Community Japan Meetup #4
本イベントでは、Kong Inc. のVP of ProductであるReza Shafii氏もプレゼンターとして参加。当社からはアーキテクト マネージャーの槌野の登壇が決定!参加無料です!!
https://column.api-ecosystem.sios.jp/connect/kong/1081/

こんにちは、サイオステクノロジー技術部 武井です。私は、マイクロソフトが実施しているテクニカルカンファレンス「Ignite」に参加するためにフロリダのオーランドということろに来ております。Igniteが実施している期間中に、「ほぼ」リアルタイムレポートをお届けしたいと思います。今回は「Securing Azure IaaS virtual machines」について記載します。

IMG_2321

本セッションは以下のような方向けです。

Azure上に立てた仮想マシンのセキュリティを強固なものにしたい!!

Hyatt Regencyの端っこの方にある場所でわかりにくかったです^^;

IMG_2320

冒頭では仮想マシンをセキュアにするために以下のTIPSが提示されました。一つずつ説明いたします。

IMG_2325

Secure Administrative panel

IMG_2328

Azureの仮想マシンの管理画面に対するアクセスを強固にしましょうという意味になります。そのためにできることは、MFA(多要素認証)を有効にしたり、RBACを活用したりするなどが挙げられていました。確かに管理画面を乗っ取られたら、いくら仮想マシン自体のセキュリティを強固にしても意味がないので、この対策は非常に重要となります。

Azure Software Update

IMG_2331

Azureの「Update Management」という機能を使って常にソフトウェアを最新にしましょうということです。Update Managementを有効にした仮想マシンには、専用のエージェントがインストールされ、OSの更新状態をチェックした結果をAzure側に送信します。そして、専用の管理画面からOSの更新状態(どのパッチが適用済みなのか未適用なのか)を確認、必要であればパッチをインストールします。

パッチを放置しておくと、OS自体に脆弱性が生まれて、管理者権限を乗っ取られる等の被害が出る可能性がありますので、この作業は確かに重要です。

Azure Firewall, NSG,  & NVA

IMG_2334

Azure上で構築できるFirewallであるAzure Firewallや、Network Security Groupで適切なポートの開け締めや、FQDNによるフィルタリングなど、通信の制御を行いましょう。

言わずもがな、必要な通信のみ許可するというのはセキュリティの基本です。

Bastion and JiT

IMG_2336

対象の仮想マシンに直接SSHやRDPをするのではなく、Azureから提供されるマネージドな踏み台サーバーBastionや、必要に応じてRDPやSSHのポートを限られた時間開放するJiT(Just in time VM access)を使うことが推奨されています。

確かに、SSHやRDPのポートは攻撃の対象になりやすいので、必要なときにのみ必要な場所から使えるようにしておけば安心です。

Adaptive Application Control

IMG_2337

アダプティブアプリケーション制御によって、ホワイトリスト規則を使って、VM上のアプリケーションをマルウェアから保護することが出来ます。

IaaS VN Disk Encryption

IMG_2341

題名に記載のあります通り、VMのディスクを暗号化する方法です。暗号化のキーはKey Vaultによって適切に管理されている必要があります。また、VHDファイルへのアクセスは、認証されたユーザーのみに限定することも必要とあります。

File Integrity Monitoring

IMG_2343

ファイルの改竄チェックになります。Security Centerで提供されている機能で、対象のファイルのが変更されたかどうかをApplication Insightsに通知することが可能です。

これを使えば、例えばWebサイトのコンテンツをチェック対象にしておいて、改ざんされたらApplication Insightsからメールで通知を行うように設定することで被害を最小限に食い止めることができるかもしれません。

まとめ

以上、Azureの仮想マシンのセキュリティを向上させるTIPSについて記載させて頂きました。AzureではたくさんのManagedなサービスが出ていますが、また仮想マシンの出番はたくさんあります。意外に立てたら立てっぱなしのことが多いと思いますが、これらTIPSに従って、仮想マシンのセキュリティを向上させて、事故を未然に防ぎましょう。

アバター画像
About 武井 宜行 269 Articles
Microsoft MVP for Azure🌟「最新の技術を楽しくわかりやすく」をモットーにブログtech-lab.sios.jp)で情報を発信🎤得意分野はAzureによるクラウドネイティブな開発(Javaなど)💻「世界一わかりみの深いクラウドネイティブ on Azure」の動画を配信中📹 https://t.co/OMaJYb3pRN
ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。


ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!



>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!

Be the first to comment

Leave a Reply

Your email address will not be published.


*


質問はこちら 閉じる