Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure ADとCloud Identityの基礎を比較(With Cloud)

Avatar for yasu yasu
July 20, 2023
3.3k

Azure ADとCloud Identityの基礎を比較(With Cloud)

AzureとGoogle Cloudを使用する上で、IDPがどのような役割をするのかお話しした時の資料です。

Avatar for yasu

yasu

July 20, 2023
Tweet

More Decks by yasu

Transcript

  1. 自己紹介
 • アライアンス事業部 エンジニアグループ • Google Cloudのリセール周りを担当
 • Microsoft Sentinelを少し触っていた過去


    • 趣味:筋トレ、野良猫探索、格闘技
 • クラウド資格
 ◦ Google Cloud9個、Azure8,9個、AWS1 個
 • トレーナー歴4年
 ◦ マジ筋トレ歴6年以上
 ◦ NSCA CSCS

  2. 1.クラウドを使用するには何が必要? ❏ Google Cloud(旧GCP) • Google アカウント + プロジェクト +

    (請求先アカウント) ❏ Microsoft Azure • Azure AD + サブスクリプション + (リソースグループ) ※ Microsoftアカウントは一旦無視します ※Azureにも 請求プロフィール、請求アカウントもある
  3. Google Cloudの場合 ❏ Google アカウント • [email protected]のような単体のユーザーを作成 ❏ プロジェクト •

    Google Cloudに固有のリソースを作成する箱 ❏ 請求先アカウント • クレカを登録して、使用できるリソースを増やす (必須だがなくてもGCPの登録はできる) Identity & Access Management
  4. Azureの場合 ❏ Azure AD • IDP、ユーザーをこの中に作成 ❏ サブスクリプション • Azure

    ADに紐づく(ぶら下がる形で使用する) subscription ❏ Azure AD と Azureサブスクリプションの課金は別 • Azure ADはIDP単体としての機能を提供 • 請求プロフィールと請求アカウント
  5. クラウドを触るときの IDP の役割 ❏ Google Cloud Cloud Identity • Google

    Cloudを使用する際にはオプションとして提供 ◦ Free or Premium ❏ Azure Active Directory • Azureを使用する際には必ず必要 ◦ Freeプラン P1プラン P2プラン Microsoft Entra ID Governance Cloud Identity Azure AD
  6. 組織階層を理解する ❏ 組織の全体像 【ドメイン-組織→フォルダ→プロジェクト→リソース】 • ドメインと組織は1:1 • フォルダは組織配下に作成し、主に部門ごとに分ける用途などに使用する(フォルダを 入れ子にすることは可能で ある)

    • フォルダ配下にプロジェクトを作成する、プロジェクトは 各環境ごとに作成するのがよい(開発プロジェクト、運用プ ロジェクト、検証プロジェクト…etc) ※Google Cloudドキュメントから抜粋 [email protected] 1:1
  7. 組織 セキュリティ機能の有効化 ❏ VPCサービスコントロール • 境界線を作成し、IAMで制御できない範囲をカバーする ❏ Security Command Center

    (SCC) • さまざまなセキュリティスキャンを実行する機能 ❏ 組織ポリシー • 組織、フォルダ、プロジェクトごとにポリシーを定義する ❏ 階層型ファイアウォールポリシー • 組織、フォルダ、プロジェクトごとにFWルールを定義する ❏ ログの集約 • 組織のログを一箇所に集約する機能
  8. VPCサービスコントロール ❏ 概要 • Google CloudのAPIを介したデータの流れを制御する機能 • 適切なポリシーを持つユーザーも制限される ❏ 対象となるサービス

    • BigQueryやGoogle Cloud Storage(GCS)などのAPIを介すサービスのデータを 保護 • サポートされているプロダクトに限る→App Engine、Bare Metal Solutionは❌ ❏ 機能 • 外部リソースが Google Cloud サービスにアクセスできるかどうかを制御する • 外部リソースが特定のGoogle Cloud サービスにのみアクセスできるようにする • VPC-SC内のリソースが外部にアクセスできないようにすることができる ◦ VPC ネットワークもAPIサービスも含む
  9. 組織ポリシー ❏ 概要 • 組織単位でリソースを制御する機能 ❏ 対象となるサービス • 組織、フォルダ、プロジェクト ❏

    特徴 • 上位 → 下位へと継承されていく • 特定のリージョンでしかリソースを作成できなくする ◦ 「constraints/gcp.resourceLocations」リソースの場所を制限 • 特定のリソースタイプの作成を禁止するなど ◦ 「constraints/compute.trustedImageProjects」信頼するプロジェクトからしか Compute Engineインスタンス のイメージを使用できないようにする
  10. Google Workspace(GWS) ❏ SaaS製品 • ドキュメント、スライド、AppScript、Gmail、Meet…etc ❏ 月額 or 年単位

    • プランは4つ ❏ Google Cloudとの関係 • Cloud Identityと同じ役割を持つ(ドメインを登録する) • 管理コンソールのUIが同じ( admin.google.com ) • ドメインの所有権の証明が必要 ◦ GWS、GCP(Cloud Identity)両方で必要=ドメインが必須
  11. Cloud Identity まとめ ❏ Google Cloud内のリソースである組織の作成で必要 • Google Cloudを企業として運用していくための権限管理 •

    豊富なセキュリティ機能を使用するため ❏ 個別の管理コンソール • 個別でログインが必要な、Google Cloudコンソールとは別のUI画面がある ❏ 個別の契約となる • Free or Premiumを選択する ❏ GWSと同じ管理コンソールにアクセスする • 内部の機能は一部異なる
  12. 3.Azure AD ❏ Azure AD テナント • Azureを使用する上では必ず必要(GCPと異なる) • Azure

    ADの中にユーザーを作成する(GCPと異なる) • サブスクリプションは1つのAzure ADに所属する subscription subscription subscription テナント subscription ⭕ ❌ テナント
  13. Azure ADの役割 ❏ ユーザーとグループの管理 • Azure サブスクションとAzure ADの権限管理は別物 ◦ グローバル管理者

    → Azure AD(テナントへの権限) ◦ オーナーロール → サブスクリプション(RBAC) ❏ IDとアクセス管理 • ユーザーの認証/認可、SSO、アカウント保護(二段階認証や暗号化など) • Azure B2B、Azure B2C • 監査、レポート機能 • 特権ID管理(Privileged Identity Management:PIM) • Identity Protection機能
  14. Azure ADとサブスクリプションの権限管理 ❏ Azure ADの権限(Azure ADディレクトリロール) • Global Administrator •

    User Account Administrator • Guest Inviter • Privileged Role Administrator ❏ サブスクション権限(RBAC/リソース ロール/IAM制御) • Owner • User Access Administrator • Contributor • Reader
  15. Azure ADの権限 ❏ Azure ADの権限(Azure ADディレクトリロール) • Global Administrator ◦

    Microsoft365の権限も合わせ持つ • User Account Administrator ◦ ユーザーに権限を付与する • Guest Inviter ◦ 他のAzure ADユーザーを招待する • Privileged Role Administrator ◦ 時限性/期限付きの権限割り当てを行う....etc
  16. Azure ADのテナントと組織 ❏ Azure AD テナント • 1組織につき、1つのAzure ADテナントを使用(推奨) ◦

    他のテナントのリソースを触りたい ◦ Guest Inviter 機能が存在する • セキュリティのため(野ばなしのアカウントの制御) subscription テナントA subscription テナントB 招待可能
  17. Azure ADのPrivileged Identity Management(PIM) ❏ 特権アクセス権限の管理(PIM) • Azure AD P2の機能

    • 権限を付与するためのロール ◦ オンデマンドで割り当てが可能(期限付き:60minだけ 付与/剥奪) ◦ Azure ADとAzureリソースに対するJust-In-Timeの特権アクセスの提供 • アクセスレビュー ◦ 特定のロール(権限)の棚卸しを行う
  18. Azure ADのIdentity Protection機能 ❏ リスクベースの条件付きアクセスポリシー • サインイン時のリスクを評価 ◦ ユーザーがサインインを試みる際のリスクレベルを評価 ◦

    (例)不審なIPからの接続や異常なログイン試行といったパターンが検出された 場合、リスクが高まると判断し、評価されたリスクレベルに基づいて、条件付き アクセスポリシー(ユーザーに対する追加的な認証要求やブロック)が適用され る • ユーザーアカウントの危険度を評価 ◦ ユーザーアカウントが危険にさらされていることを示すシグナルを評価 ◦ ブラックマーケットを見張る ▪ 不正な取引所でユーザーの資格情報が売買されていることが確認された 場合、そのユーザーのリスクレベルが上昇する そうしたシグナルが検出された場合にも、特定のアクション(例えばパス ワードのリセット要求)がトリガーされる
  19. Azure ADのIdentity Protection ❏ リスクベースの条件付きアクセスポリシー • サインイン時のリスク ◦ あり得ない移動 ◦

    悪意のある IP アドレス ◦ 異常なユーザー アクティビティ ◦ 匿名 IP アドレス
  20. Azure ADの BtoB BtoC の機能 ❏ Azure AD BtoB •

    企業間での協業を支援する機能 ◦ 自社のAzure環境のインフラ構築のために、他の企業のAzure ADテナントに所 属するAzure ADユーザーを招待し協業する ❏ Azure AD BtoC • コンシューマー向けのID連携を提供する ◦ 自社開発の「一般ユーザー向けのショッピングアプリケーション」を使用させる 際に、Azure ADとFacebookやTwitterを連携させて、ユーザー認証は FacebookやTwitterに委任し、Azure ADで認可する
  21. Azure リソースへの権限管理 ❏ Azure リソースへのアクセス権限(RBAC/リソース ロール/IAM制御) • Owner ◦ サブスクリプション全ての権限を持つ

    • User Access Administrator ◦ ユーザーへの権限の割り当てが可能 • Contributor ◦ 権限の割り当て以外が可能 • Reader ◦ 読み取りアクセスが可能
  22. 既定のディレクトリ(試用版のAzure AD) ❏ Microsoftアカウントで作成したサブスクリプション • 仮のAzure ADテナントが作成される • 緊急事態用の設定ができない ◦

    Azure サブスクリプションへの全権限を取得できる機能がある ❏ Azure ADユーザーアカウント / マイクロソフトアカウント • 使用する目的が異なる • Azure ADユーザーアカウント ◦ 主に組織内での使用を目的としており、ユーザーの管理やアクセス制御を一元 化するためのもの(組織内のリソースへのアクセス制御) • マイクロソフトアカウント ◦ 個々のユーザーがMicrosoftのコンシューマ向けサービスにサインインするため のもの(Xbox、Skype、 OneDriveなど、あくまでも個人)
  23. まとめ ❏ 共通すること • ユーザーとグループ、アプリケーションの権限管理 • セキュリティ機能の提供 ◦ 階層型FWポリシー ◦

    VPCサービスコントロール ◦ PIM(特権ID管理) ◦ リスクに基づいたアクセス制御 ❏ プラン • プラン選定は基本有料プラン使用が前提となる • それぞれデバイス管理機能なども搭載 • 他サービスとの連携多数
  24. Google Cloudで言い換えると、、
 ❏ 筋トレをしていない身体の状態 • 筋トレをしていない状態はいわば、 組織なしの単一CGEで f1-micro の状態でアプリケーショ ンを動かしているのと同じ

    ◦ 組織が無い=ポリシーなどがなく、セキュリティがまっさらな状態 ◦ GCPはカスタムマシンを定義できる • ロードバランサーがなく、何もカバーができないアプリケーション構成 ◦ グローバルロードバランサーを使用すると 1つのグローバルIPで複数リージョンでバック エンドを配置できる(Serverless NEG、MIG、Internet NEG、Cloud Storage)
  25. 筋肉とβエンドルフィン
 ❏ 筋トレによってβエンドルフィンが分泌される • 強力な鎮痛作用の効果 • 筋トレや運動で心拍数向上 →ストレス状態と認識する、ストレスの対抗策としてエンドルフィン を放出する •

    エンドルフィンは体全体に影響を与え、痛みやストレスを軽減し、気分を高揚させる効果があ る • 筋トレ後の放出により、その後も 1日中あなたをハッピーな状態にしてくれる ◦ ストレスの緩和(打ち消し)、睡眠の質の向上 ...etc
  26. 筋トレによる生涯に通じる健康効果
 ❏ さまざまな健康効果 • 心臓病リスクの低減 ◦ 心臓の強化(心肥大) ▪ 通常は心臓の機能を向上させるため、健康に問題はないが、過度な筋トレを行う と心臓に負担が大きくかかり心筋の肥大が過剰に進む

    ◦ 体脂肪減少による悪玉コレステロール値の改善、血流の改善による心疾患リスクの減 少 • 骨密度の改善 ◦ コラーゲンの線維芽細胞が骨を強化する(筋トレが低身長にするは嘘)
  27. 筋トレによる生涯に通じる健康効果
 ❏ さまざまな健康効果 • 免疫力の向上 ◦ ナチュラルキラーセル( NK細胞)というウィルスに対抗する細胞が活性化する ▪ 免疫応答の初期段階で活性化され、感染した細胞やがん細胞を攻撃する

    ▪ ストレスや生活習慣、高齢化などによって、 NK細胞の数や活動が低下する可能 性があり、すると身体はウィルスやがん細胞に対抗する力が減退し、感染症にか かりやすくなったり、がんのリスクが高まったりする ▪ 身体を動かすと血流が増え NK細胞が体中を流れる機会が増える これにより、ウィルスやがん細胞を発見しすばやく攻撃する可能性が高まる ▪ 適度な運動でNK細胞が増える
  28. 筋トレによる生涯に通じる健康効果
 ❏ さまざまな健康効果 • ホルモン ◦ マイオカイン、BDNF、成長ホルモン(IGF-1)、セロトニン...etc • サルコペニアの予防 ◦

    加齢による筋肉量が著しく落ちる病気を予防 →転倒、骨折など物理的危険性減 • 認知症の予防 ◦ 脳の血流が改善され、脳細胞の活性化 ◦ BDNFの分泌 → 脳細胞の成長と修復
  29. 完全な経験談
 ❏ 完全な体験談に基づく筋肉コミュニケーション利活用方法 • 初対面はとりあえずきんにくんしておけば何とかなる • 話に詰まった時は相手の健康の悩みを聞く • 業務に関係ない相談がおおい(=部署外のコミュにケーション多数) •

    Googleさんにも筋トレのアドバイスで打ち解ける • 合コンで「あたしも筋トレ教えて〜」となることがある(冗談です ....半分) • クラメソの社員に覚えてもらえる ◦ 例:社長に「お!筋肉やってる?」「腕立てしよう」となった
  30. 1. レッツ質問タイム
 56 • お酒って太るの? • リバウンドしたくない ... • 筋トレを効率よく続けるには?

    • どのくらいの期間やれば結果が出るの? • 筋トレの時間は? • たくさん食べて痩せたいのですが ... • 女性へおすすめの筋トレは? • 大きくなりたい人の筋トレメニューを教えて .....etc • 筋肉が多い人が太りにくい理由 なんでも聞いてください