え？帰省中にノーパソでゲームを！？できらぁ！

え！？ 帰省中にノーパソでゲームがしたい！？ できらぁ！！！！！！！！ ～セキュアに自動化を交えてゲーム環境を構築する～

Whoami  今年で30歳  普段は客先で Microsoft365/Azure/AWS と日々格闘中  クラウド大好き4年目 （ふれっしゅめん） Twitter：ryuuu_ch

きっかけ：帰省中にあるゲームをやりたすぎて禁断症状に

Azureの基礎  Azureは管理グループ ＞サブスクリプション（課金単位）＞リソースグループ＞リソースと階 層構造を持つ。  なんとリソースグループを削除すると配下のリソースはまるっと消える。ごみは残りにくい！ <管理レベルと階層>

• https://learn.microsoft.com/ja-jp/azure/cloud-adoption-framework/ready/azure-setup-guide/organize-resources

Azureで仮想ネットワークを作ろう  リソースグループに仮想ネットワークのリソースを作成する。  ついでに無料でNSGと呼ばれるL3/L4ファイアウォールも使えるぞ！ <NSG と Azure Firewall の違い>

• https://jpaztech.github.io/blog/network/difference-nsg-fw/

これでよくね？

え！？ パブリックIPそのままなんですか？？？？

Azure Bastionを作ろう  プライベート IP アドレスを介して仮想マシンに安全に接続するためにプロビジョニングするフル マネージド PaaS サービス  ローカル コンピューター上のネイティブ クライアント (SSH または RDP) から VNet 内の VM への接続もできる  ハブアンドスポークトポロジにおいてハブVNETに配置することで各スポークVNETへのアクセスに 利用できる <ネイティブ クライアント接続用に Bastion を構成する> <Bastion のサブネットに 適用する NSG の設定例> <VNet ピアリングと Azure Bastion>

• https://learn.microsoft.com/ja-jp/azure/bastion/native-client
• https://jpaztech.github.io/blog/network/bastion-nsg/
• https://learn.microsoft.com/ja-jp/azure/bastion/vnet-peering

Azure Policy でガバナンスを実装しよう  既存のリソースの一括修復と新しいリソースの自動修復を使用して、お客様のリソースでコン プライアンスを実現  ポリシー定義のまとまりを“イニシアチブ”と呼ぶ  一部のポリシー効果では“修復タスク”と呼ばれる非準拠のリソースを修正することができる  一部のリソース、スコープに適用させたくない場合は“適用除外”ができる  組織のコンプライアンスのためのイニシアチブのプリセットがある <Azure Policy とは> <Azure Policy を使って準拠していないリソースを修復する> <Azure Policy 適用除外の構造> <NIST SP 800-53 Rev. 5 規制コンプライアンスの組み込みイニシアチブの詳細>

• https://learn.microsoft.com/ja-jp/azure/governance/policy/overview
• https://learn.microsoft.com/ja-jp/azure/governance/policy/how-to/remediate-resources?tabs=azure-portal
• https://learn.microsoft.com/ja-jp/azure/governance/policy/concepts/exemption-structure
• https://learn.microsoft.com/ja-jp/azure/governance/policy/samples/nist-sp-800-53-r5

まともになってきた？ <Allowed locations> <Network interfaces should not have public IPs>

• https://www.azadvertizer.net/azpolicyadvertizer/e56962a6-4747-49cd-b67b-bf8b01975c4c.html
• https://www.azadvertizer.net/azpolicyadvertizer/83a86a26-fd1f-447c-b59d-e51f44264114.html

え！？ ログも取らずに運用する気か？？？

Log Analytics でログを収集・分析しよう  Log Analytics は Azure Monitor Logs ストア内のデータに対するログ クエリの編集と 実行に使用する  KQL（Kusto Query Language）と呼ばれる特殊なクエリ言語でクエリを実行する <Azure Monitor の Log Analytics の概要> <Kusto 照会言語 (KQL) の概要>

• https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/log-analytics-overview
• https://learn.microsoft.com/ja-jp/azure/data-explorer/kusto/query/?toc=/azure/azure-monitor/toc.json

NSGフローログ を収集しよう  NSGを通過する IP トラフィックに関する情報をログに記録できる Azure Network Watcher の機能  ストレージアカウントが必要（LogAnalyticsだけでは利用できない(´；ω；`)ｳｯ…  Rawデータをいい感じにまとめてLogAnalyticsにぶちこんで分析する <トラフィック分析のしくみ> <フロー ログに使用するストレージ アカウントを削除した場合、Log Analytics ワークスペース に格納されているデータは失われますか?>

• https://learn.microsoft.com/ja-jp/azure/network-watcher/traffic-analytics
• https://learn.microsoft.com/ja-jp/azure/network-watcher/traffic-analytics-faq

Defender for Servers を導入しよう  Defender for Servers は、エンドポイントでの検出と応答 (EDR) およびその他の脅威保護 機能を提供  Azure VMの脆弱性スキャン  Microsoft Defender for Servers は、Azure、AWS、GCP、オンプレミスで実行されている Windows および Linux マシンの保護ができるぞ（やったことない）  継続的な評価とセキュリティの推奨事項を確認できる（VM以外も評価対象） メモ：Microsoft365系のポータルには個人アカウントでサインインはできないぞ！注意しよう！ <Defender for Servers のデプロイを計画する> <VM のエージェントレス スキャンを有効にする> <Defender for Cloud の統合 EDR ソリューションを使用してサーバーを保護する: Microsoft Defender for Endpoint> <セキュリティに関する推奨事項を確認する> <Microsoft Defender for Endpoint P2 Trial>

• https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/plan-defender-for-servers
• https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/enable-agentless-scanning-vms
• https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/integration-defender-for-endpoint
• https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/review-security-recommendations
• https://signup.microsoft.com/create-account/signup?products=7f379fee-c4f9-4278-b0a1-e4c8c2fcdf7e&amp;ru=https://aka.ms/MDEp2OpenTrial?ocid=docs-wdatp-exposedapis-abovefoldlink

プライベートエンドポイント と サービスエンドポイント を導入しよう   サービス エンドポイント:Azure PaaS のパブリック IP アドレスに対する接続を最適化する  接続元のIPアドレスを制限できるファイアウォールとしての機能  信頼できるAzureサービスからアクセスはファイアウォールバイパスできる プライベート エンドポイント:プライベート IP アドレスで Azure PaaS に接続する <サービス エンドポイントとプライベート エンドポイントの違い> <Azure VM からストレージ アカウントへアクセスする際の挙動とアクセス元制御> <Azure Storage ファイアウォールおよび仮想ネットワークを構成する> <信頼された Azure サービスにアクセスを許可する>

• https://jpaztech.github.io/blog/network/pe-difference-se/
• https://jpaztech.github.io/blog/storage/storageFirewall-accesscontroll/
• https://learn.microsoft.com/ja-jp/azure/storage/common/storage-network-security?toc=/azure/storage/blobs/toc.json&amp;bc=/azure/storage/blobs/breadcrumb/toc.json&amp;tabs=azure-portal
• https://learn.microsoft.com/ja-jp/azure/storage/common/storage-network-security?tabs=azure-portal

Azure Monitoring Agent（AMA）を導 入しよう  Windows イベントログやsyslogなどを収集できる <エージェントをインストールしてデータ収集を構成する> <Azure Monitor のデータ収集エンドポイント> <Azure Private Link を使用して、ネットワークを Azure Monitor に接続する>

• https://learn.microsoft.com/ja-jp/azure/azure-monitor/agents/agents-overview
• https://learn.microsoft.com/ja-jp/azure/azure-monitor/essentials/data-collection-endpoint-overview?tabs=portal
• https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/private-link-security

セキュリティまで考慮したぞ！！

え！？ 今時、自動化もしないの？？

Azure DevOps を構築しよう  計画と開発からテストとデプロイまで、ソフトウェア プロジェクトを管理するためのサービスとツールの 統合セット  タスク管理などアジャイルをサポートする Boards 、コード管理の repos 、CI/CDのための Pipelines などがある  Pipelines のジョブを実行するためにエージェントが必要 これには無料のMicrosoft-Hosted エージェントや独自に設定管理できる Self-Hosted エー ジェントがある  Microsoft-Hosted エージェントは Microsoft のパブリックネットワーク内で動作する 企業ネットワークのファイアウォール内部にアクセスする必要がある場合は予め許可しておく必要がある  Self-Hosted エージェントはインバウンド通信がDenyであっても動作する <Azure DevOps ドキュメント> <DevOps の Self-hosted エージェントを構築して使ってみよう！> <Microsoft によりホストされるエージェント セキュリティ> <Azure Pipelines エージェントの IP について>

• https://learn.microsoft.com/ja-jp/azure/devops/?view=azure-devops
• https://jpdscore.github.io/blog/azuredevops/try-self-hosted-agent/
• https://learn.microsoft.com/ja-jp/azure/devops/pipelines/agents/hosted?view=azure-devops&amp;tabs=yaml
• https://jpdscore.github.io/blog/azuredevops/pipelines-agents-ip-settings/

できらぁぁぁぁ！

え！？ 利用者増えること考えてないよね？

ハブ アンド スポーク トポロジ で構築しよう  ハブVNETには共用リソースを配置し、スポークVNETは各環境を配置することでコストを抑 えつつ環境の分離ができる <Azure のハブスポーク ネットワーク トポロジ> <VNet ピアリングと Azure Bastion> <プライベートリンクの設計 ハブアンドスポーク ネットワーク> <Azure Monitor のデータ収集エンドポイント>

• https://learn.microsoft.com/ja-jp/azure/architecture/reference-architectures/hybrid-networking/hub-spoke?tabs=cli
• https://learn.microsoft.com/ja-jp/azure/bastion/vnet-peering
• https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/private-link-design
• https://learn.microsoft.com/ja-jp/azure/azure-monitor/essentials/data-collection-endpoint-overview?tabs=portal

利用者なんて増えるわけないだろ！！

動作検証をしよう ファイルレスマルウェア攻撃  怪しいコマンドの検知 <シミュレーション ギャラリー>

• https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/evaluation-lab?view=o365-worldwide

動作検証をしよう ログを確認してみよう  NSG フローログからは悪意のあるIPアドレスが検出  Azure Monitoring Agent（AMA）からはHeart Beatを確認h

動作検証をしよう パイプラインからファイルの更新してみよう

最後にお掃除  Azureはリソースグループを削除することできれいさっぱり関連リソースを消せるのが良い

やっとけばよかったこと  ほんとはスポークVNETごと自動構築する形にしたかった、、、時間がががが  検証の時間が足りなかった。。  ほんとなら Microsoft Sentinel を使いたかった(´；ω；`)ｳｯ…  DNS Private ResolverでDNSクエリをフォワードしてみたかった(´；ω；`)ｳｩｩ <オンプレミスワークロード用の Azure プライベート リゾルバー>  共有ダッシュボードとかでいい感じに洗い出しとけばよかったかも  暗黙的なSNATがなくなるアナウンスがあったので NAT GW を使うようにしとけばよかた <Azure VM の送信接続 (SNAT) オプション まとめ>

• https://learn.microsoft.com/ja-jp/azure/private-link/private-endpoint-dns-integration
• https://jpaztech.github.io/blog/network/snat-options-for-azure-vm/

まとめ  運用監視設計は進行形で初めて触ってるのでここで失敗できるうちにやりたかった  サービスを横断的に人に説明できなくもないレベルになれたので成長といっても良いので は！？  最初の構成にJITアクセスだけつけとけばよかったのでは？ →それはそう、ただ癖を抑えられなかった <Just-In-Time (JIT) VM アクセスについて>

• https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/just-in-time-access-overview?tabs=defender-for-container-arch-aks

たっっっっっっか  皆さんは普通に高性能なノートパソコンでも買いましょう