Microsoft の SSE の現在地

Transcript

1. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. https://www.progrive.co.jp https://www.progrive.co.jp

   株式会社プログライブ コンサルティング Kazuyuki Sakemi (酒見 一幸) Microsoft の SSE の現在地 2025/04/26 1

2. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 自己紹介 https://twitter.com/_skmkzyk

   https://zenn.dev/skmkzyk https://atbex.attokyo.co.jp/blog/001013001/ Summary Azure を中心とした開発や運用自動化のスペシャリストとして、 日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活 躍中。独法や文教業界を中心に、要件定義から設計構築、 NW/SV/アプリ運用までの幅広いプロジェクトに従事。 日本マイクロソフト時代は、顧客のコスト最適化や人材育成に 向けたコンサルティングを中心に、ビジネスの加速に貢献。 酒見 一幸 (Kazuyuki Sakemi) from 株式会社プログライブ コンサルティング https://speakerdeck.com/skmkzyk

3. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Global Secure

   Access

4. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Global Secure

   Access とは ◼ Microsoft の Secure Service Edge (SSE) サービス ⁻ 以下の 3 種類のサービスで構成 Microsoft Entra Internet Access (いわゆる SWG) Microsoft Entra Internet Access – Microsoft traffic profile Microsoft Entra Private Access (いわゆる ZTNA) ⁻ 2024/07 に GA が発表 Microsoft Security Service Edge now generally available - Microsoft Community Hub ⁻ Microsoft Entra Suite というかたちで、いくつかのソリューションの組合せとなった Microsoft Entra Suite now generally available - Microsoft Community Hub ◼ 世界中に PoP があるため、全世界で最適な環境が利用可能 ⁻ Global Secure Access points of presence and IP addresses - Global Secure Access | Microsoft Learn

5. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ネットワーク接続 イメージ

   12 ◼ PC → MEPA ⁻ VPN フリーでのアクセス ◼ PC → MEIA / MEIA4M365 ⁻ インターネット アクセスを制限 ◼ NW → MEIA ⁻ クライアント インストール不要 家 Microsoft Secure Service Edge (SSE) オフィス 家 Microsoft Secure Service Edge (SSE) オフィス Microsoft Secure Service Edge (SSE)

6. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. コア コンポーネント

   13 ◼ Global Secure Access Client ⁻ PC などのエンドポイントにインストールして利用する ⁻ lightweight filter (LWF) を利用しているため、VPN ベースの他のソリューションとの併用が可能 ⁻ 現時点では Microsoft Entra joined もしくは Microsoft Entra hybrid joined が必須 ⁻ Windows、Android に対応、iOS は preview ◼ Microsoft Entra Private Access Connector ⁻ 以前の Application proxy connector と同様のもの ⁻ PC 等のエンドポイント → SSE → オンプレミス/VNet というトラフィックの出口となるような場所に配置 ⁻ 冗長化、自動更新などに対応

7. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (ちなみに) Global

   Secure Access Client の実体は 14 ◼ Microsoft Entra Private Access はどうやってパケットを曲げているのか (分からんかった) ⁻ https://zenn.dev/skmkzyk/articles/me-private-access-routing Global Secure Access Client Wireshark で使っているもの

8. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 特徴的な機能 15

   ◼ ソース IP の復元 ⁻ “グローバル セキュア アクセスのソース IP 復元は、Microsoft Entra のお客様において 元のユーザー ソース IP の使用を継続できるようにするための下位互換性機能です” ⁻ グローバル セキュア アクセスのソース IP 復元を有効にする - Global Secure Access | Microsoft Learn ⁻ Microsoft 製品限定ではあるものの、SSE での NAT の IP アドレスではなく、 本当の送信元 IP アドレスを使って条件付きアクセス・アクセス制御が可能 ⁻ 多くの SASE 製品では個別 IP アドレスオプションとなり、そこそこお金がかかるらしい ◼ ユニバーサルアクセス評価 (CAE) サポート (パブリック プレビュー中) ⁻ “重大なイベントが検出された際に、ほぼリアルタイムでネットワーク アクセスを取り消すことが可能です。これは、ポリ シー条件が満たされるまでインターネット接続をオフにする自動緊急スイッチのようなものといえます。これらの制御は ネットワーク レベルで動作するため、アプリケーションまたはクライアントが先進認証と CAE をネイティブにサポートしてい るかどうかに関係なく機能します”

9. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 先行各社との (個人的な)

   比較 ◼ GSA は SASE という意味ではかなり後発 ⁻ Private Access についてはある程度よさそうだが、Internet Access については足りていない機能が多い ◼ SASE の一般的な機能 ⁻ Internet Access SWG (Secure Web Gateway)、CASB (Cloud Access Security Broker)、AV (Antivirus)、 DLP (Data Loss Prevention)、RBI (Remote Browser Isolation) ⁻ Private Access ZTNA (Zero Trust Network Access) ⁻ Management/Monitoring DEM (Digital Experience Monitoring) ⁻ Connectivity SD-WAN (Software-Defined Wide Area Network) ⁻ Threat Protection IPS/IDS、TI (Threat Intelligence)

10. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Internet Access 17

11. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Internet Access (MEIA) 18 ◼ Internet access profile ⁻ Secure Web Gateway Web のカテゴリによるフィルタリング、FQDN によるフィルタリング ⁻ 条件付きアクセスに統合する形で実装 セキュリティ プロファイルの中で Web category や FQDN により許可・拒否を定義 セキュリティ プロファイルを条件付きアクセスの形でユーザーに紐づけて設定 ◼ Microsoft traffic profile ⁻ FQDN、IP アドレスのリストが自動的にメンテナンスされる ⁻ 合致しないトラフィックを bypass とし、別のソリューションでカバーする組み合わせが可能 ◼ Global Secure Access Client をクライアントにインストール ⁻ Microsoft Entra ID のアカウントでログインして利用 ⁻ 現時点では Microsoft Entra joined が必要 Internet Access

12. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft traffic

    profile 19 ◼ Microsoft 365 トラフィックを扱う ⁻ Microsoft 365 の URL を自動管理し、 トラフィックを最適化 ⁻ Tunnel → MEIA 経由 ⁻ Bypass → ローカルブレイクアウト相当 Internet Access

13. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. BTW: 継続的アクセス評価

    21 ◼ 継続的アクセス評価 = Continuous Access Evaluation (CAE) ◼ SaaS (= RP) へのアクセスには token が使われていることがほとんど ⁻ Token を取得するタイミングや、refresh token をもって更新するタイミングで条件は評価される ⁻ しかし、ユーザーが削除されたタイミングと token 失効のタイミングが異なることがほとんど 例えば 1 時間ずれたとしてその 1 時間でデータ漏洩が・・・？ ⁻ タイムリーに同期するためには IdP と RP 側で連携する必要がある ◼ Microsoft 製品群では IdP (Microsoft Entra ID) との連携ができていた ⁻ SharePoint Online、Exchange Online、Teams サービス、、、etc ⁻ Microsoft Entra での継続的なアクセス評価 - Microsoft Entra ID | Microsoft Learn ◼ 世の中に IdP はそんなに多くないが RP は星の数ほどある ⁻ その RP たちが CAE に対応する動機は・・・？あんまり・・・？？ないかも・・・？？？ Internet Access

14. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. CAE の仕組み

    22 ◼ ユーザー失効イベントのフロー ⁻ 1→2 までは通常のフロー ⁻ ユーザーが無効化された際に、 RP に対して event が飛ぶ ⁻ その後 2 でもらった token を提示 (4) しても RP から reject (5) される ◼ ユーザー状態変更のフロー ⁻ IdP RP 間で policy を共有しておく ⁻ 1→3 までは通常のフロー ⁻ ユーザーのデバイスが当初の IP アドレス帯から 外に出た (4) 後にリソースにアクセスした (5) 際、 policy を確認 (6) し、reject される Internet Access

15. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ユニバーサル継続的アクセス評価 (プレビュー)

    23 ◼ Global Secure Access としてユニークな機能の一つ ⁻ CAE を Microsoft 製品以外にも広げるもの ⁻ GSA が RP との間で token を事前に評価することで、 各 RP が CAE に対応してくれなくても セキュリティ レベルを高めることができる ◼ Proxy やローカル ブレイクアウトとの相性が悪い可能性 ⁻ Microsoft Entra ID へのアクセスする送信元 IP と RP へアクセスする IP が異なると問題になる可能性 ⁻ そのほか制約事項がけっこうある グローバル セキュリティで保護されたアクセスに関する既 知の制限事項 - Global Secure Access | Microsoft Learn Internet Access GSA

16. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. アクセス制御の制限事項 24

    ◼ プライベート アクセス トラフィックへの条件付きアクセス ポリシーの適用は現在サポートされていません。 この動作をモデル化するには、クイック アクセス アプリとグローバル セキュア アクセス アプリのアプリケーション レベルで条件付きア クセス ポリシーを適用します。 詳細については、「プライベート アクセス アプリへの条件付きアクセスの適用」を参照してください。 ◼ Microsoft トラフィックは、グローバル セキュア アクセス クライアントなしでリモート ネットワーク接続を介してアクセスできます。ただし、条件付きアクセス ポリシーは適用されません。 つまり、グローバル セキュア アクセス Microsoft トラフィックの 条件付きアクセス ポリシーは、ユーザーがグローバル セキュア アクセス クライアントを持っている場合にのみ適用されます。 ◼ 継続的アクセス評価を使用した準拠ネットワーク チェック データ プレーンの適用 (プレビュー) は、SharePoint Online と Exchange Online でサポートされています。 ◼ グローバル セキュア アクセス条件付きアクセスシグナリングを有効にすると、認証プレーン (Microsoft Entra ID) とデータ プレーン シグナリング (プレビュー) の両方のシグナリングが可能になります。 現時点では、これらの設定を個別に有効にす ることはできません。 ◼ 現在、プライベート アクセス アプリケーションでは、準拠しているネットワーク チェックはサポートされていません。 ◼ ソース IP 復元が有効になっている場合は、ソース IP のみが表示されます。 グローバル セキュリティで保護されたアクセス サービスの IP アドレスが表示されません。 グローバル セキュア アクセス サービスの IP アドレスを表示する場合は、ソース IP 復元を無効にします。 ◼ 現在、元のソース IP アドレスは継続的アクセス評価 (CAE) によって保護されている Microsoft 以外のリソースでは認識されないため、IP の場所ベースの条件付きアクセス ポリシーを評価 Microsoft リソース のみです。 ◼ CAE の厳密な場所の強制を使用している場合、ユーザーは信頼できる IP 範囲にあるにもかかわらずブロックされます。 この条件を解決するには、次のいずれかの推奨事項を実行します。 ⁻ Microsoft 以外のリソースを対象とする IP の場所ベースの条件付きアクセス ポリシーがある場合は、厳密な場所の適用を有効にしないでください。 ⁻ ソース IP 復元でトラフィックがサポートされていることを確認します。 そうでない場合は、関連するトラフィックをグローバル セキュリティで保護されたアクセス経由で送信しないでください。 ◼ 現時点では、プライベート アクセス トラフィックを取得するには、グローバル セキュリティで保護されたアクセス クライアントを介した接続が必要です。 ◼ データ プレーン保護機能はプレビュー段階です (認証プレーンの保護は一般提供されています)。 ◼ ユニバーサル テナント制限を有効にし、許可リストのテナントの Microsoft Entra 管理センターにアクセスすると、"アクセスが拒否されました" というエラーが表示されることがあります。 このエラーを修正するには、Microsoft Entra 管理センター に次の機能フラグを追加します。 ⁻ ?feature.msaljs=true&exp.msaljsexp=true ⁻ たとえば、Contoso で働いているとします。 パートナー テナントである Fabrikam が許可リストにあります。 Fabrikam テナントの Microsoft Entra 管理センターのエラー メッセージが表示される場合があります。  URL https://entra.microsoft.com/の "アクセスが拒否されました" というエラー メッセージを受け取った場合は、次のように機能フラグを追加します https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home ◼ ユニバーサル CAE を認識するのは、バージョン 1.8.239.0 以降の Windows 用グローバル セキュア アクセス クライアントのみです。 他のプラットフォームでは、グローバル セキュリティで保護されたアクセス クライアントは通常のアクセス トークンを 使用します。 ◼ Microsoft Entra ID は、グローバル セキュリティで保護されたアクセスの有効期間が短いトークンを発行します。 ユニバーサル CAE アクセス トークンの有効期間は 60 ~ 90 分で、ほぼリアルタイムの失効がサポートされます。 ◼ Microsoft Entra ID シグナルがグローバル セキュア アクセス クライアントに到達し、ユーザーに再認証を求めるのに約 2 ~ 5 分かかります。 ◼ ユーザーは、再認証を完了するために CAE イベントを受信した後、2 分間の猶予期間を持ちます。 2 分後、ユーザーが Global Secure Access クライアントに正常にサインインするまで、グローバル セキュリティで保護されたアクセスを経由する 既存のネットワーク フローが中断されます。 Internet Access

17. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. CAE は独自規格ではないっぽい

    25 ◼ この会話のメカニズムは、Open ID Continuous Access Evaluation Profile (CAEP) に基づく業界標準である 継続的アクセス評価 (CAE) です。 ⁻ OpenID Continuous Access Evaluation Profile 1.0 - draft 01 ⁻ OpenID Shared Signals and Events Framework Specification 1.0 - draft 01 ↑ も SSE、Secure Service Edge も SSE、最近 MCP と関連して話題の SSE は server-sent events ◼ 参考リンクとか ⁻ OpenID Foundation の SSF、CAEP、RISC の概要と Microsoft Entra ID での実装について ⁻ Microsoft Entra ID の CAE の仕組みを深堀したい Internet Access

18. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Private Access 26

19. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Private Access (MEPA) 27 ◼ Zero Trust Network Access ⁻ Azure やオンプレミスに出口を設けて、プライベート ネットワークに対するアクセスを提供 ⁻ ネットワーク毎に、ユーザーごとに、条件付きアクセスと組み合わせてアクセス制御が可能 ◼ Application proxy との違い ⁻ 以前から Application proxy という機能が Microsoft Entra にあったが、HTTP(S) トラフィック専用の機能だった ⁻ MEPA になり、TCP/UDP や FQDN (wildcard 指定可能) 対応へと柔軟性が上がった ◼ PIM との組合せ ⁻ PIM で承認したネットワークに対してのみ、アクセス許可、というワークフローが構成できる ⁻ より高いセキュリティ レベルの求められるネットワークに対する多段認証など ⁻ Secure private application access with Privileged Identity Management (PIM) and Global Secure Access - Global Secure Access | Microsoft Learn Private Access

20. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Application discovery

    が意外と便利 28 ◼ MEPA で扱うトラフィックの粒度を後から調整できる ⁻ いったん /24 で開ける、そのあと /32 ごとに権限を分離していく、など Private Access

21. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. MEPA のちょっと困ってる点

    29 ◼ 同じセグメントにいるのに MEPA 経由になってしまう ⁻ GSA が有効になっていると、社内ネットワーク通信 (192.168.10.10/24 → 192.168.10.21/24 とか) が SSE を経由してしまう ⁻ Connector と同じネットワークにいることを検知する仕組みを開発中らしい Private Access

22. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. MEPA の困っている点

    (contd.) 30 ◼ 単一ラベル ドメインとの組み合わせが悪そう。。。 ⁻ 単一ラベル ドメイン = SLD、FQDN ではないもの 単一ラベル ドメインの Microsoft サポート - Windows Server | Microsoft Learn http://app-ui/login とか http://server01/share/photos/2025/04/report.html みたいなやつ ◼ FQDN になっていれば NRPT Policy で曲げられる ⁻ Name Resolution Policy Table (NRPT) ⁻ The NRPT | Microsoft Learn ⁻ Windows Client OS で条件付きフォワーダー的なことをやってみる example.local なら DNS サーバーは x.x.x.x という条件付きフォワーダーみたいなものが Client OS でもできる ◼ トラブルシュート中。。 ⁻ DNS suffix を見ていくつかトライしてくれるはずなのでなんかうまくいくはずなんだけども。。。 Private Access

23. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 38 会社名

    株式会社プログライブコンサルティング [ProGrive Consulting Co., Ltd.] お問い合わせ [email protected] ~ Expand Your Business ~ ～ビジネスの成長、新たな機会の追求、そして未来を切り開く～