「Cloud IdentityとAzure ADの基礎を比較」というタイトルで登壇しました Vol1 #devio2023

「Cloud IdentityとAzure ADの基礎を比較」というタイトルで登壇しました Vol1 #devio2023

セッションの情報量が多いので、序盤にAzureとGoogle Cloudを比較して、後半はGoogle Cloudのみに焦点を当てます。Vol2でAzure ADの情報をブログにします。
Clock Icon2023.07.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

資料

関連ブログ

Dev.IO東京編のブログも投稿しているので、ご覧ください。(こちらは筋トレ × ITです)
「ITエンジニアこそ筋トレをやるべき理由 徹底解説(With Google Cloud)」というタイトルで登壇しました。 #devio2023

岡山登壇ブログの第2弾です。(Azure ADメイン)
「Cloud IdentityとAzure ADの基礎を比較」というタイトルで登壇しました Vol2

タイトルを選んだ経緯

前職で少しだけMicrosoft Sentinelを触っていた過去があり、クラメソではGoogle Cloudを担当しています。

さらに、資格についてもAzureGoogle Cloudともに9個ほど取得していて、その中でも私が1番興味のあるID管理周りの情報を登壇を介して、皆様にお伝えしたかったからです。

【※注意】
このセッションブログは前半Vol1(Google Cloudメイン)と後半Vol2(Azureメイン)に分かれて記事にしています。

はじめに

内容としては、機能の優劣を比較するものではありません。
Microsoft Azure、Google Cloudを使用する上で必要なID管理基盤の概念と仕組みの違いを解説します。

この辺りの知識は、資格試験でも問われるものになりますので、AzureのSC-200やGoogle CloudのProfessional Cloud Architectでも役に立つ情報かと思います。

※注意 Azure Active Directoryの名称が、Microsoft Entra IDへと変更されましたが、今回はAzure ADとして話を進めていきます。(ちなみに機能に大きな変更はないようです)

クラウドを使用するには何が必要?

Google Cloud (旧GCP)

ここで必要なリソースは、「Google アカウント + プロジェクト + (請求先アカウント)」になります。

Google アカウントとは?

[email protected]のような単体のユーザーを指します。
こちらは、企業所有のドメインで作成しているアカウントでも、無料のGmailアカウントでも、どちらでも問題ありません。

プロジェクトとは?

上で説明したGoogle アカウントを使用して、プロジェクトを作成します。
こちらは、リソース(BQやGCS,GCEなど)を作成する時に必ず必要となる一種の課金単位のようなものです。

請求先アカウントとは?

こちらはなくてもGoogle Cloudの登録はできるのですが、作成しないとほぼGoogle Cloud内のリソースは触れません。
クレカを登録して、使用できるリソースを増やすために使用するアカウントです。(請求をまとめたりもできます)

Microsoft Azure

ここで必要なリソースは、「Azure AD + サブスクリプション + (リソースグループ)」になります。

※ Microsoftアカウントは一旦無視します
※ Azureにも請求プロフィール、請求アカウントという課金アカウントも存在します。

Azure AD

MicrosoftのIDPサービスであり、AzureADユーザーを作成し、そこで初めてAzureを操作することができます。(Azure AD と Microsoft Azureは別物です)

サブスクリプション

必ずAzure ADに紐づく形で登録をします。(ぶら下がる形で使用する)

【関係性を画像にまとめます】

リソースグループ

AzureではVMやVPCを作成する時に、必ずリソースグループが必要となります。Azure内のリソースを論理的にグループ化する方法で、リソースを管理し、リソースのアクセス制御などの役割を果たします。

Azure AD と Azureサブスクリプションの課金は別

ここでは少し毛色の違う説明となりますが、Azure ADはIDP単体としての機能を提供し、課金は別です。
また、Google Cloudの請求先アカウントと同じように請求の情報を登録する役割を持つ、請求プロフィール請求アカウントというものが存在します。

クラウドを触るときの IDP の役割

Google Cloud Cloud Identity

Google Cloudを使用する際にはオプションとして提供されています。(=必須ではない)
また、Free or Premium の選択肢が用意されています。

Azure Active Directory

Azureを使用する際には必須のリソースとして提供されています。 Freeプラン P1プラン P2プラン Microsoft Entra ID Governanceの選択肢が用意されています。

Cloud Identity (組織)

Google Cloudには組織というリソースコンテナが用意されており、主にセキュリティ機能の有効化に必須なものになります。

そして、この組織を作成する際に必要なリソースがCloud Identity(Google Workspace)であり、企業が所有しているドメインと紐づけを行う(@classmethod.jpなど)ことで、Google Cloud内で組織を作成することができるのです。

組織で有効化できるセキュリティ機能

  • VPCサービスコントロール
    • 境界線を作成し、IAMで制御できない範囲をカバーする
  • Security Command Center (SCC)
    • さまざまなセキュリティスキャンを実行する機能
  • 組織ポリシー
    • 組織、フォルダ、プロジェクトごとにポリシーを定義する
  • 階層型ファイアウォールポリシー
    • 組織、フォルダ、プロジェクトごとにFWルールを定義する
  • ログの集約
    • 組織のログを一箇所に集約する機能

ここからは、3つのセキュリティ機能に絞って解説します。

VPCサービスコントロール

概要

Google CloudのAPIを介したデータの流れを制御する機能であり、 適切なポリシーを持つユーザーも制限される。

対象となるサービス

BigQueryGoogle Cloud Storage(GCS)などのAPIを介すサービスのデータを保護する役割を持ちます。
ただ、サポートされているプロダクトに限ります → 例えば、App Engine、Bare Metal Solutionは未対応(2023/7/19現在)

機能

IAM権限を持つユーザーでも、境界線内であれば特定の操作ができなかったり、そもそもアクセス自体をデバイスIPによって拒否することが可能となります。

  • 外部リソースが Google Cloudのサービスにアクセスできるかどうかを制御する
  • 外部リソースが特定のGoogle Cloudのサービスにのみアクセスできるようにする
  • VPC-SC内のリソースが外部にアクセスできないようにすることができる
  • VPC-SC内には、VPCネットワークAPIサービスどちらも入れられる

使用例

信頼されていないとつくリソースは、VPCサービスコントロールの境界線内への通信はできません。
Unauthorized Client → 信頼されていない外部クライアント
Unauthorized VPC Project → 信頼されていないVPCネットワーク
Unauthorized Project → 信頼されていないGoogle Project
Service Perimeter → 信頼された境界線内にリソースを作成する

下記のように専用線などで接続されたオンプレミスのネットワークもVPCサービスコントロールの境界線内へ入れることができます。

下記のように外部リソースからでも許可をすれば、VPCサービスコントロールの境界線内へ入れることができます。

引用元 : VPC Service Controls の概要

組織ポリシー

概要

組織単位で特定のリソースの作成やパラメータの設定を制御する機能となります。

対象となるサービス

組織、フォルダ、プロジェクト。

特徴

上位 → 下位へと継承されていく特徴を持ちます。

使用例

  • 特定のリージョンでしかリソースを作成できなくする
    • 「constraints/gcp.resourceLocations」リソースの場所を制限
  • 特定のリソースタイプの作成を禁止するなど
    • 「constraints/compute.trustedImageProjects」信頼するプロジェクトからしかCompute Engineインスタンスのイメージを使用できないようにする

階層型ファイアウォールポリシー

概要

組織単位でファイアウォールルールを制御する機能です。

対象となるサービス

組織全体、フォルダ、またはVPCネットワークに対してファイアウォールのルールを一貫して適用するための機能です。

機能

こちらも組織ポリシー同様に上から下へ継承される特性を持ち、下位のリソースでオーバーライドも可能となります。
また、個々のVPCやサブネットでも設定が可能です。

使用例

画像1番右上のルールでは、組織自体1.1.1.10/24からのインバウンドアクセスを無効にしている。

まとめ

今回はGoogle Cloudのみ

実際のセッション内容をなるべくブログにまとめたいので、Vol1Vol2に分けたいと思います。
次回はAzure AD関連のセッション内容をブログにしますので、ご期待ください。(主にセキュリティ周りです)

最後に

筋トレで頭が良くなる

東京のDev.IOで「ITエンジニアこそ筋トレをやるべき理由(With Google Cloud)」というタイトルで登壇したブログが少し注目を浴びました。

拝見いただいた方、ありがとうございました。
ただ、今回は1つお伝えしたいことがあります。

それは、筋トレの優先順位として100%の「理論」や「科学的根拠」で筋トレをやるというのは、二の次だと私は思っています。
1番大事なこと、それは最低限の成果がでるメソッドでもいいので、必ず継続させることです。

筋トレをしたら「頭が良くなる、身体が綺麗になる、見た目が美しくなる、健康になる、病気予防になる、メンタルが安定する

これだけある根拠ある効果をただ単に信じて、まずは週2回以上筋トレのための時間を確保しましょう。
それは、筋トレという言葉ではおさまらないほどのメリットを享受するための時間の確保になるでしょう。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.