ゼロトラストの初手
ゼロトラストを実現しようとすると、認証管理=Identity and Access Management(IAM)がインターネット上に必要。
オンプレ環境にあるActiveDirectoryと連携するソリューションは多いが、一番、親和性が高そうで、コスパの良いAzure ADが最有力候補になる。
Azure AD Connect
こんな記事もあるように、ActiveDirectoryとAzure ADとの連携自体はすんなりできる。
ただ、いろいろと考慮事項は多い。
サインオン方式の選択が悩む。
こちらの資料の助けを借りて、明確に認証方式が選択できました。
クラウドにパスワードを保管することへの不安についても、しっかりと答えてくれています。
既にAzureADにアカウントが存在するケース
AzureADでは、MS365を使うため、アカウントがメールアドレスになっていた。
一方で、ActiveDirectoryでは、社員番号がアカウントとして割り振られている。この場合、ActiveDirectoryのパスワードをAzure ADに同期できるのか?
結論としては、出来た。
こちらを参考にさせていただきました。
電子メールをユーザープリンシパル名と一致させておけばよい。
タダより怖いものはない?
現状、Azure ADは、無料の範囲で使用しているが、他のクラウドサービスに対してSAML認証を提供できるので、シングルサインオンが実現できてしまう。
PCへのログインも、AzureADで認証とかIntuneという機能を使うとPCの管理もクラウド上で出来てしまう。当然、追加費用が発生します。
いろんなものがクラウドに出ていくと、そのセキュリティを管理するサービスもクラウド上で提供されていて、クラウドセキュリティポスチャーマネジメント(CSPM)、と呼ばれる。
クラウドでの設定が適切か、システム的にチェックして、意図しない情報の公開などを防止できたりするようです。確かに、日々進化していくクラウドサービスで、設定項目も増えていくなかで、ミスの発見は困難なので必要になる。
セキュリティの費用対効果、というものが益々、難しくなってきます。