ナビゲータのEVEです。
昨日から、WBCの予選が始まったようです。っというのは、WBCが終わってから知ったのですが、この予選、Netflixが独占配信することになったようです。
想定外です・・・。私デスクに、ワンセグ用のテレビがあるのですが、システム開発などをしながら、その小さいテレビで見ようと思っていたのですが・・・。
Netflixには、何回か入ろうと思ったのですが、今現時点入会していません。それは、現在、Amazonに加入し、CS、BSが見ることができる状況です。CS、BSは奥さんが加入してくれているのですが、その3つで既にすべてを見ることができていない状況です。そこに、Netflixとなると、絶対見ないと思ったからです・・・。
ただ、今回入会することにしました。当然、WBCを見るためなのですが、その他にも入会したい理由があります。Netflixって、Netflixでしか見れない番組が多く、その中に多くはないのですが、見たい番組が複数あります。まっ、入会したら退会できないわけじゃないし、しかも、プランが3つ用意されていて、一番安い広告付きスタンダードは890円です。890円なら現在の私も支払いが可能です。
現在の作業環境は、ノートパソコンから、ディスプレイを2つ接続しているので、全部で3画面で、開発や勉強をしています。その中で、ノートパソコンのディスプレイは、画面が小さいこともあって、利用する出番がなかったのですが、今回活躍しそうです。
大きな画面で見たいとも思うのですが、その場合、WBCしか見ることができず、開発、勉強ができなくなります。この時期に予定にない数日間、2~3時間拘束されるのは、問題があり、今現時点はあきらめました。まっ、トーナメントを勝ち上がり、決勝まで行ったら多分大画面の前にいるとは思いますが、当分は、小さな画面で我慢したいと思います。Xでも見たいけれど、勉強するっていう発言がありましたが、そんな人多いのでしょうね?私は我慢できないので、ながらになりますが、見ながら、開発、勉強をすることにします。
では、本日は、土曜日なので、セキュリティの日です。先週の話の続きをしましょう。
[権限設計とネットワーク構造]
先週は、の権限昇格を防ぐ方法を以下のように列記し、「端末の暗号化(Disk / Memory)」まで話をしました。本日は、「権限設計とネットワーク構造)」について話をすすめましょう。
- ①権限設計(Privilege Design)で求められること
- 管理者権限を分離する(Tierモデル)
- ローカル管理者パスワードを端末ごとにバラバラにする(LAPS)
- サービスアカウントの権限を最小化する
- ドメイン管理者は日常利用しない
- ログオンできる場所を制限する(Logon Restrictions)
- → 1つの端末を取られても、ドメイン管理者権限に到達できない構造を作る。
- ②ネットワーク構造(Network Segmentation)で求められること
- ネットワークを分割する(VLAN / セグメント)
- 管理ネットワークを分離する
- バックアップネットワークを分離する
- サーバー間通信を“許可制(Allowlist)”にする
- SMB/RDPなど横展開に使われるプロトコルを制限する
- → 攻撃者が侵入しても、横展開できず、重要サーバーに到達できない構造を作る。
以上のことは、「権限」と「ネットワーク」2つの壁で、攻撃者の攻撃を封じ込めようとしています。以上の中に、私の知らない用語もあるので深堀していきます。
[Tierモデル]
はじめて、聞くモデルです。Tierといえば、以前ブログで書きましたが、CSF(サイバーセキュリティフレームワーク)で使用されたいた言葉です。それとはまったく別物の考え方で、「権限」を以下のように3つに分け、容易に最上位のレベルのセキュリティにアクセスさせないようにするものです。
- Tier 0:最上位(Domain Control Layer)
- ドメインコントローラ(DC)
- PKI(証明書基盤)
- Azure AD Connect
- 特権アカウント管理(PAM)
- ドメイン管理者アカウント
- Tier 1:サーバー管理層(Server Control Layer)
- 業務アプリケーションサーバー
- ファイルサーバー
- SQLサーバー
- 仮想化基盤(Hyper-V / VMware)
- Tier 2:クライアント管理層(User Control Layer)
- 社員PC
- ヘルプデスク作業
- ソフト配布
- パッチ適用
Tier1 のアカウントは Tier0 にアクセス不可。Tier1 のアカウントは Tier2(一般PC)にログオン禁止。
Tier2 のアカウントは Tier1・Tier0 にアクセス不可。
アカウントを3つのレベルに分けて、権限昇格の階段を構造的に破壊することを目的にしています。
[ローカル管理者パスワードを端末ごとにバラバラにする(LAPS)]
これは、Microsoftの技術のLAPSで実現できるようです。
このLAPSとは、各PCのローカル管理者パスワードを自動でバラバラにして、定期的に自動変更する仕組みです。
自動変更されたパスワードは、Active Directory に安全に保存され、必要な管理者だけが閲覧できるようになっているそうです。私個人としては、初めて知る技術ですが、これは、現在全世界的に使用されているそうです。もう、一般企業のシステムから離れて、10年近くになろうとしています。日本の企業の多くで採用されているのかもしれません。
[あとがき]
今日、権限設計とネットワーク構造を書き上げたかったのですが、以上のように初めて知る技術や考え方が複数あるようで、ここは時間をかけて調べた方がいいようです。残りについても、きちんと時間をかけて、しっかり調べていきたいと思います。
では、また!
コメント
コメントを投稿