1.4K Views
March 16, 25
スライド概要
主に勉強会の資料を公開しています。
SCUGJ 第45回勉強会 ロゴ作成中 2025/3/15 Windows Server and Cloud User Group Japan 後藤 諭史(Satoshi GOTO)
ロゴ作成中 後藤 諭史( Satoshi GOTO ) 国内SIerでプリセールスやっています 仮想化製品が主な専門分野です。 が、基本的には雑用係 Microsoft MVP - Cloud and Datacenter Management (Jul.2012 - Jun.2025) Microsoft MVP – Microsoft Azure(Jul.2024 - Jun.2025) 2
ロゴ作成中 本セッション資料ですが、個人で準備した環境において、個人的に実施した検証/結果を基に記載しています。 あくまで個人の意見/見解であり、所属する会社の正式な回答/見解ではない事に留意してください。 3
ロゴ作成中 クラウドサービスを取り扱っているため、セッション当日(2025/03/15)時点の情報となります。 セッション終了直後、いきなり仕様が変更される場合もありますのでご了承ください。 4
ロゴ作成中 無条件の信用はもう存在しない ◦ ◦ ゼロトラストネットワーク → かならず検証して確認せよ(どうやって?) 境界型ネットワークの限界 → 境界の内側のデバイスやユーザーを本当に信用していいのか? → 境界の外側にいるテレワークユーザーは……? VPNをどうにかしたい ◦ ◦ ◦ 境界の外側にいるテレワークユーザーを無条件に信頼していいの? VPN装置という攻撃対象領域(Attack Surface) → VPN装置(Firewall)の脆弱性がよく狙われます → 攻撃対象となるグローバルIPアドレスをもつ機器を極力減らしたい VPN接続の認証をがっちがちにしてあげれば、あとは信頼してもいいの? 今回はこちら ほかにもいろいろありますが…… 5
ロゴ作成中 これって、Microsoftのソリューションで 実現できるんだっけ? 6
ロゴ作成中 Microsoft のセキュリティ サービス エッジ (SSE) ソリューション 以下の2つのサービスから構成 ◦ ◦ Microsoft Entra Internet Access(EIA) Microsoft Entra Private Access (EPA) Microsoft Entra Internet Access(EIA)は、 Entra IDと連携されたセキュ リティで保護されたWebゲートウェイ(SWG)を提供し、ユーザーを安 全ではないコンテンツや非準拠コンテンツから守りながら、Webセキュリ ティを提供 Microsoft Entra Private Accessは、 Entra IDと連携されたアプリケーショ ンプロキシを提供し、インターネットからのセキュリティが担保された社 内リソースへのアクセスを提供 今回はこちら 7
ロゴ作成中 管理者の任意で ON/OFF可 8
ロゴ作成中 基本的にはクライアントにエージェントをインストールする サポートクライアントOSは以下の通り ◦ ◦ ◦ ◦ Windows 10/11 Android (10.0以降) iOS(Preview)(iOS 15.0以降) macOS(Preview)(macOS Ver.13以降) すべてのデバイスで、Microsoft Entraに登録されていることが前提 (WindowsクライアントはEntra joinが必要、他はIntune等で管理されたマ ネージドデバイスであること) 9
ロゴ作成中 認証 Microsoftサービス/ インタ-ネット通信 App Proxy Connector グローバル セキュア アクセス クライアント(エージェント) インストール Microsoft Entra Internet Access App Proxy Connector 443/TCP 同期 443/TCP Microsoft Entra Private Access 要 Microsoft Entra hybrid join or Microsoft Entra join イントラネット通信 (プライベートアクセス) ドメイン参加 10
ロゴ作成中 デモ: イントラネットサーバーへのRDP接続 11
ロゴ作成中 MicrosoftEntraPrivateNetworkConnectorService.exe mstsc.exe 192.168.100.39 3389/TCP 443/TCP 150.171.15.10 443/TCP GlobalSecureAccessTunnelingService.exe Microsoft Entra Private Access 192.168.100.39 3389/TCP 192.168.100.47 クライアントPC内 • ルートテーブルなどは通常通りだったところから、ネットワークドライバーに近 いレイヤーで「GlobalSecureAccessTunnelingService.exe」がポリシーにマッチ したパケットをフックし、トンネリング処理を実施していると考えられる。 • プライベートアクセス先は、コネクタ発の443/TCPのトンネルを利用して Microsoft Entra Private Accessサービスから転送されてきたパケットを自身発の パケットとしてターゲットサーバーに転送することで、通信を成立させている。 192.168.100.47のnetstat 12
ロゴ作成中 4つのサービスが導入される。実行ユーザーはローカルシステム 13
ロゴ作成中 グローバルセキュアアクセスのLWFドライバーが導入される グローバルセキュアアクセスクライアントの トラフィックを取得する LWF ドライバー 14
ロゴ作成中 ユーザー権限で、エージェント停止可能 (社内ネットワーク接続時等に、明示的に停止可能) この3つのサービスが停止 「Global Secure Access Client Manager Service」は不停止 15
ロゴ作成中 「監視」→「トラフィックログ」→「プライベートアクセス」で参照可能 16
ロゴ作成中 送信元プロセス、通信プロトコルまで可視化 ユーザー名等取得 送信元プロセス UDP可 17
ロゴ作成中 プライベートネットワークコネクタのインストール コネクタグループの作成 エンタープライズ アプリケーションの作成 条件付きアクセスの設定 18
ロゴ作成中 オンプレミスに設置する、Microsoft Entra Private Access及びアプリケーション プロキシサービスへの軽量なエージェント プライベートネットワーク上のリソースへのアクセスは、このコネクタを介して 実施される そのため、高可用性を実現するために2台のコネクタを導入することも可能 (本番環境では冗長化を推奨) ネットワーク要件としては、インターネット(AzureやGSAのサービス)に対し て80/TCP、443/TCPを開けるだけで問題なし。インバウンド(インターネットへ の公開)ルールは不要 同一プライベートネットワーク内に複数のコネクタ(およびグループ)を展開す ることも可能。アプリケーション単位で展開することも可能 19
ロゴ作成中 Windows Server 2012R2以降であればインストール可能 その他のソフトウェア要件は以下の通り ◦ ◦ ◦ 最小 .NET バージョンは v4.7.1 以上 Windows Server 2019以降にインストールする場合はHTTP 2.0を無効化 TLS1.2を有効化 ドメイン参加は任意。ただしアプリケーションで統合Windows認証を使用 する場合には、要ドメイン参加 インターネット接続の際にプロキシが必須であるネットワークでもコネク タは使用可能。ただし、以下の点に注意する必要あり ◦ ◦ 認証機能付きプロキシーは非サポート プロキシーのTLSインスペクション機能は使用不可 20
ロゴ作成中 【HTTP 2.0 の無効化】 Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\’ ` -Name EnableDefaultHTTP2 -Value 0 【TLS 1.2 の有効化】 New-Item -Path 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2' New-Item -Path 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' New-Item -Path 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client’ ` -Name DisabledByDefault -Value 0 Set-ItemProperty ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client’ ` -Name Enabled -Value 1 Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server’ ` -Name DisabledByDefault -Value 0 Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server’ ` -Name Enabled -Value 1 ※ レジストリキー追加後は、要再起動 21
ロゴ作成中 エンタープライズアプリケーションに接続するための単体もしくは複数の コネクタをまとめるグループを作成 同一コネクタグループに複数のコネクタが存在する場合、すべてのコネク タが使用されるために可用性が向上する 作成時に地域を指定することで トラフィックフローを最適化 可能。無指定の場合はテナントの 場所に従って設定 アプリケーション単位、地域単位 等でグループを作成し、適用 22
ロゴ作成中 アプリケーション名、接続するためのコネクタグループを指定し、アプリ ケーションの接続先とプロトコルを指定して作成 ささっとテストしてみたい場合は、「クイックアクセス」にアプリケー ションをセグメントを作成することで使用可能 エンタープライズアプリケーションの作成 クイックアクセス設定 23
ロゴ作成中 条件付きアクセスは、エンタープライズアプリケーション作成後に改めて 作成 24
ロゴ作成中 HTTPSのアウトバウンド通信のみで実装可能で、Entraの条件付きアクセスでコント ロールできるため、VPNの代替として非常に有用です UDPも使用可能なので安心(Previewの時はTCPオンリーでした) Entra P1とEntra SuiteないしはEPAのスタンドアロンライセンスが必要なので、若干ラ イセンス的なハードルが高いかも……。すでにM365 E3やBPなどを使用中であれば、 Entra SuiteないしはEPAのスタンドアロンライセンスでOKなのでおすすめ 25
ロゴ作成中 Global Secure Access に関するドキュメント https://learn.microsoft.com/ja-jp/entra/global-secure-access/ Microsoft Entra Private Access について学習する https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-private-access グローバル セキュリティで保護されたアクセスに関する既知の制限事項 https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-current-known-limitations 26
ロゴ作成中 27