マイクロソフトのクラウドとは？

コントロール。セグメント自動化。

エンタープライズグレードの柔軟なクラウドコンピューティングプラットフォームであるMicrosoft^® Azure^®は、俊敏性、スケーラビリティ、グローバルリーチという利点を備え、増大するデータ センター の需要に対応する組織を支援します。

クラウドに参入するほとんどの組織は、ハイブリッド・アーキテクチャを採用しており、基本的には企業ネットワークをセキュアな接続を介してAzureに拡張しています。しかし、このアプローチの利点に付随して、オンプレミスのデータセンターで直面するのと変わらないセキュリティ上の課題が発生することも少なくありません。また、Azure デプロイメントは、物理的なネットワークベースのデプロイメントよりもホストしているアプリケーションの数が少ないかもしれませんが、攻撃者は悪意のある目標を達成するために差別を行いません。そのため、Azureデプロイメントを脅威から保護することが最も重要です。

組織は、以下のセキュリティ対策を実装することで、物理データセンターをMicrosoft Azureパブリッククラウドに安全に拡張することができます。

1.デプロイメントへのアクセス制御

Azure ネイティブのセキュリティ対策を補完するものとして、 次世代ファイアウォール をデプロイし、Azure 環境のワークロードとデータを保護することができます。

• ユーザーの認証情報と必要性に基づいて、さまざまな環境へのアクセスを許可するポリシーを設定します。
• より多くのワークロードがAzureクラウドにデプロイされると、より多くのアプリケーションの更新が必要になります。アップデートをまず企業ネットワーク経由で行い、次にインターネットベースのリソースに送信するのではなく、ワークロードがアップデートを直接インターネットに送信できるようにするインターネット・ゲートウェイ・セキュリティ・ポリシーを実装し、最初のステップを省きます。これにより、Azure環境に出入りするアプリケーションを厳密に管理しながら、効率を高めることができます。

2.Azureデプロイメントのセグメント化によるセキュリティとコンプライアンスの向上

物理データセンターと同様に、脅威防御技術を含むセグメンテーションポリシーとアプリケーションベースのポリシーを使用して、ワークロードへのアクセスを阻止し、ワークロード間で横方向に移動する攻撃をブロックすることができます。

• セグメンテーションを適用して、アプリケーションをデフォルトのポートで動作させるアプリケーションベースのポリシーを確立し、セキュリティを向上させます。次世代ファイアウォールの前提である「すべてを拒否する」ことを暗黙のうちに強制し、アタックサーフェスエリアを縮小します。
• コンプライアンスを維持するために、セグメンテーション・ポリシーによって、データ・ソースから分離したまま、異なるサブネット間やVNet間のアプリケーション通信を制御することができます。

3.管理の合理化とAzureデプロイの自動化

クラウド・コンピューティングの主な利点は、自動化による機能アップデートやまったく新しいアプリケーションのデプロイメントに迅速に対応し、より俊敏に対応できることです。

• 一元化されたネットワーク セキュリティ管理システムは、物理ファイアウォールと仮想ファイアウォールのデプロイメント間でポリシーの一貫性と一貫性を確保するのに役立ちます。
• ブートストラップと動的なポリシー・アップデートの自動化により、管理されたアップデート・プロセスを起因とするボトルネックを軽減することで、セキュリティはビジネスと歩調を合わせることができます。

詳しくは、 Securing Your Microsoft Environment ホワイトペーパーをご覧ください。