Azure Kubernetes Service 基盤詳細 (Part 3/3)

Azure
2019年6月19日
IT アーキテクトのためのKubernetes
～ Azure Kubernetes Service 基盤詳細～
福原毅 ( tfukuha )
パートナーソリューションプロフェッショナル
パートナー事業本部
日本マイクロソフト株式会社
Azure Kubernetes Service を支える Azure サービス群 ( Part 3/3 )
16:30-17:15
(配布資料)

Hidden Slide
ご注意:
本スライドは、2019年6月19日に開催した「ITアーキテクトのためのKubernetes～Azure Kubernetes Service 基盤詳細～」の3つ目のセッションのスライドです。
他のセッション資料や動画は、以下より参照可能です。
• Part 1/3: 動画(YouTube) / スライド(PDF)
また、この他、Kubernetesに関するセミナーのストリーミングとスライドを、以下より公開していますので、合わせてご活用ください。
「開発者のための Kubernetes ～ Azureで学ぶコンセプトと実践～」 (2019年6月10日開催)
• しくみがわかる Azure Kubernetes Service: 動画(YouTube) / スライド(PDF)
• Azure コンテナー関連サービスとDevOps with Kubernetes: 動画(YouTube) / スライド(PDF)
「初めての Kubernetes 体感ツアー」 (2019年4月25日, 6月5日開催)
• Part 1/4: 動画(YouTube)
• Part 4/4: 動画(YouTube) ※ コンテンツ及び、サンプル: https://aka.ms/20190425/k8s-tour
本スライドは、作成日時点の情報です。製品リリース予定やサービス仕様等の情報は予告なく変更される場合があります。必要に応じて、
https://docs.microsoft.com/ja-jp/azure/ を参照し、各サービスの詳細、および最新情報をご確認ください。
資料中の参考価格は対象製品・サービスのみの価格例であり、実際の構成により他製品・サービスの費用も別途必要となる場合があります。実構成にあわせて詳
細価格の見積を取得し、ご確認ください。
!

Azure Kubernetes Service を支えるサービス群
セキュリティと運用管理
Azure Active Directory と Role Based Access Control による権限管理
開発・実行環境のガバナンス: Azure Governance
セキュリティの脅威への対応: Azure Security Center

ライフサイクルをカバーするセキュリティと運用管理機能
Azureの標準機能で、適切で、コスト効率の高い状態を維持
保護
セキュリティ
監視
構成管理
ガバナンス
セキュリティ管理
脅威からの保護
Microsoft Azure
Portal | Azure Resource Manager |
Azure Active Directory |
移行

Azure のアーキテクチャ
Azure Infrastructure
Hardware Manager
Azure Fabric Controller
Authentication
Telemetry&Insights
RBAC
(RoleBasedAccessControl)
Resource
Provider
(RP)
Compute
RP
Networking
RP
Azure Resource Manager
Storage RP
Azure Portal CLI 3rd party
Service Fabric
Azure
Kubernetes
Service
PaaS offeringWeb Apps
Workloads
Web services, IoT, ML,
Microservices,
Serverless…

IT アーキテクトのための Kubernetes
セキュリティと運用管理
Azure Active Directory と Role Based Access Control による権限管理
開発・実行環境のガバナンス: Azure Governance
セキュリティの脅威への対応: Azure Security Center

セキュリティのポイント全体像
AKS利用時に気を付ける箇所
2. ノードとクラスタレベル
• 夜間自動セキュリティパッチ
• 公開アドレスなしでプライベート仮想ネットワーク
サブネットにデプロイされたノード
• 名前空間（とノード）において、ネットワークポリ
シーで通信経路を保護
• ポッドセキュリティポリシー
• 認証に K8s RBAC と AAD
AKS with RBAC
1. イメージとコンテナレジストリレベル
• AAD 認証で Container registry へアクセス
• ACR イメージスキャンとコンテンツの信頼
（Content Trust）でイメージ検証
3. ポッドレベル
• AAD ポッド ID (Pod Identity) を使ったポッドレ
ベルのコントロール
• ポッドセキュリティコンテキスト
4. ワークロードレベル
• Azure RBAC & セキュリティポリシーグループ
• ポッド ID によるリソース＆サービス (e.g. Azure
Key Vault) へのセキュアなアクセス
• ストレージ暗号化
• 攻撃や侵入を保護する WAF を備えた App
Gateway
Developer
Azure
Container
Registry
Kubernetes
Admin
Azure Storage SQL Database Cosmos DB
Internal
User
Internal
Load Balancer
External
User
External
Load Balancer
Azure VNet
Node Node
Pod Pod
AAD Pod Identity
Ingress
Controller
Encrypted Storage
Azure
Key Vault
Ingress
Controller
App Gateway
External
DNS
Active
Directory
5. ネットワークレベル
• ポッド間の通信

Security DevOps
Secure the
subscription
Enable
secure
developme-
nt
Integrate
security into
CICD
Continuous
Assurance
Alerting &
Monitoring
Cloud Risk
Governance
起点はサブスクリプションのセキュリティ設計
• Azure AD による認証と認可
• 多要素認証
• Identity Protection
• Managed Identity
• ARM & Role-based Access Control
• 監視
• Azure Security Center
• Azure Monitor
• ガバナンス
• Azure Blueprints / Azure Policy
• Just Enough Administration（JEA）
• PowerShell JEA
• Azure AD 特権管理

Azure Resource Management API
Azure サブスクリプション

アプリケーションサービスプロバイダー
条件付きアクセス
Identity Protection
MFA

Role-Based Access Control（RBAC）
ROLE1
アクション
アクション
アクション
User
• IdP 側で Role をコントロールする
Role が持つ権限
ROLE1
ROLE2
ROLE3 権限

Azure Resource の RBAC
仮想ネットワーク
仮想マシン
NIC
パブリックIP
ストレージ
リソースグループ
サブスクリプション
所有者
Azure AD でアクセス管理をおこなう
Role人/グループを
割り当て
仮想マシンの共
同作業者
人/グループを
割り当て

サブスクリプション契約最初の状態
hogehoge

大きく分けて 2 種類のロールが存在する
Azure サブスクリプション Azure Active Directory テナント

「所有者」が最初にやるべきこと
※ここで行うことは Azure AD に対する権限設定
※ここで行うことは Azure リソースに対する権限設定

（参考）EA 契約の場合
僕に〇〇権限
をください!

そんなときは新たなテナントを作成
全体管理者権限

サブスクリプションのディレクトリを変更

他のテナントのユーザーを招待可能

Azure AD: Managed ID ( 旧名称Manages Service Identity)
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/
RBAC
信頼関係

• システム割り当てマネージド ID(system-assigned managed identity)
• Azure サービスインスタンス上で直接有効にされるID
• 各インスタンスで機能を有効にする
• インスタンスが削除された場合、Azure AD の資格情報および ID を自動的にクリーンアップされる
• ユーザー割り当てマネージド ID(user-assigned managed identity) ※Preview
• 複数のリソースに割り当て可能なマネージド ID
• 現時点では VM と Container サービスでのみ使用可能
2種類のManaged ID
RBAC
信頼関係
信頼関係

IMDS & Managed Identity
http://169.254.169.254/metadata/Identity/OAuth/Token
'http://169.254.169.254/metadata/identity/oauth2/t
oken?api-version=2018-02-01
&resource=https%3A%2F%2Fvault.azure.net'
Endpoint
Parameter api-version=2018-02-01
resource=https%3A%2F%2Fvault.azure.net
Header Metadata="true"
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/tutorial-linux-vm-access-storage

Managed ID をサポートしているサービス
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-
resources/services-support-msi
サービスシステム割り当てID ユーザー割り当てID
Azure Virtual Machines 〇 Preview
Virtual Machine Scale Sets 〇 Preview
Azure App Service
Windows:〇
Linux: Coming Soon
Preview
Azure Blueprint Preview Preview
Azure Functions 〇 Preview
Azure Logic Apps Preview ｰ
Azure Data Factory V2 〇ｰ
Azure API Management 〇ｰ
Azure Container Instances
Windows: ｰ
Linux: Preview
Windows: -
Linux: Preview
2019/06/18 現在

Azure AD 認証をサポートしているサービス
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-
identities-azure-resources/services-support-msi
Service Resource ID Status
Azure Resource Manager https://management.azure.com/ 使用可能
Microsoft Graph https://graph.windows.net 使用可能
Azure Key Vault https://vault.azure.net/ 使用可能
Azure Data Lake https://datalake.azure.net/ 使用可能
Azure SQL https://database.windows.net/ 使用可能
Azure Event Hubs https://eventhubs.azure.net/ プレビュー
Azure Service Bus https://servicebus.azure.net/ プレビュー
Azure Storage https://storage.azure.com/ 使用可能
Azure Analysis Services https://*.asazure.windows.net 使用可能
2019/06/18 現在

• Azure Resource Manager 経由でアクセスキーを取得
• アクセスキーを KeyVault で管理し、KeyVault から取得
Azure AD 認証をサポートしていない場合は?

おすすめのウェビナーシリーズ
• Azure へのお引越しシリーズ (全6回)
• Azure はじめの一歩 (全6回)
• 一歩先行く Azure Computing シリーズ (全3回)
• インフラモダナイゼーション特集 (全7回)
第4回 Azure AD と RBAC によるAzure リソースのアクセスコントロール
https://azure.microsoft.com/ja-jp/overview/webinars/
200以上のオンデマンド
ウェビナーと、随時ライブ
ウェビナーを、提供中

Microsoft Tech Summit 2018: セッション資料および動画の閲覧
https://www.event-marketing.jp/events/mstechsummit/2018/download/freesess.aspx
「コストと脅威を同時に削減!
Azureリソースを Azure AD で効率的に守るためのノウハウ集」
• 動画: https://youtu.be/dI3XpsIAPRc
• PDF: https://eventmarketing.blob.core.windows.net/mstechsummit2018-after/CI01_PDF_TS18.pdf
Azure Active Directory（Azure AD）を単なるユーザー認証基盤だと思ってはいないでしょうか。それは宝の持ち
腐れというものです。Azure サブスクリプション上の全てのリソースは、Azure AD で保護できるように設計されていま
す。それを知らないばかりに、セキュリティ設計に余計な手間をかけたり、余分な製品を購入したりと、とてももったい
ない状況が見受けられます。このセッションでは、Azure 上のリソースを、Azure AD でどのように保護することができ
るのかについて、その設計ノウハウ、具体的な組み込み方法を解説します。もちろん、マネージド ID もここに含まれま
す。Azure Cosmos DB や Azure Functions、Azure Blockchain Workbench など、はやりのテクノロジに携わる
方にこそ知っておいてほしい Azure AD の活用方法を短い 50 分でマシンガンのように解説いたします。
■関連テクノロジー
Azure Active Directory, Azure Key Vault, マネージド ID、および関連製品, RBAC (ロールベースのアクセス制御)

なぜ、ガバナンスが必要か？
デジタル化へ
の
プレッシャー
市場展開の
短縮が必要
DevOps
へのシフト
無秩序に
拡大する
クラウド活用

ガバナンス: 従来のアプローチ
◼ 統制のためにスピードを犠牲に
開発担当者
運用担当者
クラウド管理者
申請書デプロイ
チェックシート

ガバナンス: 俊敏性と両立するアプローチ
開発担当者
ワークフローでは
なく組み込みポ
リシーで管理
運用担当者
クラウド管理
チーム
システムのデプロイ
コストの管理
ポリシー準拠

ガバナンス: Azure Governance Services
クラウドリソースがコンプライアンス準拠していることを保証するネイティブプラットフォーム
Blueprints
ポリシーを再利用可能
な形で定義
ポリシー適合状態維持
しながらデプロイや更新
を実施
Resource Graph
自身のクラウドリソース
を検索、分析
Management Group
組織構造に応じて
階層構造を定義、
グループ化
Cost
利用料を監視、分析
コストを最適化
Policy
リアルタイム統制
コンプライアンス適合
の調査と修復
NEW NEW
Control VisibilityEnvironment ConsumptionHierarchy

ガバナンス: アーキテクチャ
開発スピードを損なわず、クラウド環境のコントロールを提供
CRUD
Azure Resource Manager (ARM)
Query
2. Policy-based Control:
リアルタイム統制
コンプライアンス適合の調査と修復
1. Environment Factory:
ポリシーを再利用可能な形
で定義
ポリシー適合状態を維持し
ながらデプロイや更新を実施
Role-based
Access
Policy
Definitions
ARMTemplates
Management Groups
Subscriptions
3. Resource Visibility:
自身のクラウドリソースを検索、分析

リソースへのプロアクティブなポリシー適用
• 拒否ポリシーを設定することで、そのクラウド環境に
おける統制に必要な“ガードレール”を作成
CI/CD パイプラインでのポリシー適用
• Azure DevOps との統合により、デプロイ前のポリ
シー違反やデプロイ後のコンプライアンス調査を可能
に
修復の自動化
• プラットフォームに組み込まれている自動修復機能を
使用して、ベストプラクティスを守りつつ安心して使
用
ガバナンス: Azure Policy
https://azure.microsoft.com/ja-jp/services/azure-policy/➔

簡単に環境設定
• リソーステンプレート、ポリシー、アクセスコントロー
ルを簡単にデプロいし、すぐに利用可能
コンプライアンス対応を可能に
• セルフサービスモデルで素早くかつ継続的にコンプ
ライアンス対応アプリケーションを開発運用可能
リソースのロック機能
• 不要な変更を防ぐために、サブスクリプション間
で共有される主要なインフラストラクチャへのアク
セスを制限
ガバナンス: Azure Blueprints
https://azure.microsoft.com/ja-jp/services/blueprints/➔

ポリシーを再利用可能な形で定義し、ポリシー適合状態を維持しながらデプロイや更新を実施
クラウドエンジニア
1
Blueprintの作成
Contoso Blueprint
2
使用するアーティファクト
(Azure リソース) を追加
3
デフォルトでインスタンス化される
アーティファクトを識別
その他テンプレート
ポリシー
ネットワーク
RBAC
Functions¥Runbooks
厳選したマーケットプレース
4 Blueprint を対象へ適用
( Management Group, サブスクリプション )
クラウドエンジニア
基本的なアーティファクトを展開

ポリシーを再利用可能な形で定義し、ポリシー適合状態を維持しながらデプロイや更新を実施
その他テンプレート
ポリシー
RBAC
Functions¥Runbooks
厳選されたマーケットプレース
ネットワーク
アプリケーションチーム
スコープへログインすると
ガバナンスが効いた環境を体験
Blueprintに準拠した環境
5

エクスプローラー
• 全ての環境・サービス要素への簡単なアクセスを提
供するクエリ言語
ドリルダウン
• リソースへの深い洞察を実現するクエリを利用可能
分析
• 集約と詳細なプロパティの解析を使用して、リソース
とその関係を分析
ガバナンス: Azure Resource Graph
https://azure.microsoft.com/ja-
jp/features/resource-graph/
➔

ガバナンス: Azure Management Groups
サブスクリプション管理モデル
サブスクリプションのグループ化
• 複数のサブスクリプションをグループ化することで管理
を容易に
組織構造を反映
• 組織構造を反映させてグループ化することでサブスク
リプションとリソースを効果的に管理
ポリシーやアクセスコントロールを全サービ
スに適用
• RBAC サポートにより、管理グループに任意の組み込
み RBAC ロールの割り当てが可能。
• 階層内の全てのアクセス許可がその子リソースに継承
https://azure.microsoft.com/ja-
jp/features/management-groups/
➔

ガバナンス: Azure Management Groups
サブスクリプション管理モデル
App A
Pre-Prod
App B
Pre-Prod
Shared
services
(Pre-Prod)
App C
Pre-Prod
App A
Prod
App B
Prod
Shared
services
(Prod)
App D
Prod
Prod RBAC + Policy Pre-Prod RBAC + Policy
組織の Management Group

Azure Blueprint によるリソースのガバナンス
Azure Policy、RBAC、ARM テンプレートを包括的に適用する仕組み
Blueprint
Policy Assignment
Role Assignment(RBAC)
Azure Resource Manager Template
Built-in
Custom
Management Group
and

社内の複数サブスクリプションにも適用

Azure Security Center
https://blogs.msdn.microsoft.com/azuresecurity/2016/10/31/how-does-azure-security-center-help-microsoft-it/
•
•
•

Azure Security Center による、IaaS上のLinux コンテナーの保護
https://azure.microsoft.com/ja-jp/blog/protect-linux-containers-running-in-iaas-with-azure-security-center/
1. IaaSのLinuxマシン上にホストされたコンテナーの可視化
2. Docker用のCIS ベンチマーク
を基にしたセキュリティ推奨事項
3. リアルタイムで
コンテナーの脅威検出

Detecting threats targeting containers with Azure Security Center
https://azure.microsoft.com/ja-jp/blog/detecting-threats-targeting-containers-with-azure-security-center/
Docker Analytics
Docker Daemonを、TLSを利用せずにTCP Socketで公開していないか？
高い特権でコンテナーが実行されていないか？
コンテナーで、SSHサーバーが実行されていないか？
コンテナーで、悪意のあるイメージを実行していないか？

Cluster Level Security
Kubernetes ノードから API サーバーに対する不審な要求を識別して警告 ( AAD & RBACを使っていない場合 )

Cluster Level Security
Kubernetes ノードから API サーバーに対する不審な要求を識別して警告 ( Kubernetes Dashboard )

Azure Security Centerの計算単位が、月あたりから時間あたりに変更
https://azure.microsoft.com/ja-jp/updates/azure-security-center-monthly-to-hourly-resource-guid-change/
2019 年 5 月 1 日に、Azure Security Center Standard ノードの計算単位が
変更されます。価格は影響されません。詳しくは、以下の表をご覧ください。
古いリソース
GUID
新しいリソース
GUID
サービス名リソース名リージョン名旧計算
単位
新しい
計算単位
dcd983ef-
db32-4340-
bf23-
13f7e9f5f48a
0fad698c-40bf-
4ee1-a096-
565fc6f0cddd
Security Center Standard
ノード
グローバル 1/月 1/時間

Microsoft Azure に関するストリーミング
パートナー事業本部パートナー技術統括本部で実施したセミナー
MPN ( Microsoft Partner Network ) 参加パートナーの皆様向けに実施した、
Azure 関連セミナーの “再生リスト”
https://www.youtube.com/playlist?list=PLBh-4mawktV8Mk-Eo19cnEZIkhiRU1aHG
• 初めてのKubernetes体感ツアー (2019年6月5日開催)
• 開発者のためのKubernetes ～ Azure で学ぶコンセプトと実践～ (2019年6月10日開催)
• Azure Update セミナー (2019年6月12日開催)
• IT アーキテクトのためのKubernetes ～ Azure Kubernetes Service 基盤詳細～ (2019年6月19日開催)
• これから始める .NET Core セミナー (2019年6月27日午前開催)
• クラウドネイティブ時代の.NETアプリケーション～本格化するクラウド移行とそのアーキテクチャ～ (2019年6月27
日午後開催)

© 2019 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be
registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date
of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a
commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of
this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Azure Kubernetes Service 基盤詳細 (Part 3/3)

Recommended

Recommended

More Related Content

More from Takeshi Fukuhara

More from Takeshi Fukuhara (20)

Azure Kubernetes Service 基盤詳細 (Part 3/3)