Microsoft 365 特権をデバイスに付与することの重要性について述べられていました

2020 年最後の日、 Microsoft は SolarWinds の脅威に遭遇したことを告白しました。
が、それを逆手にとり、ゼロトラストネットワークの構築が進むと必要最小限の損失で済むことを証明しようとしているようです。

今回の脅威による被害は数件のアカウントの流出と一部のソースコートが読み取られるという事象で留めることができたみたいです。

ここで述べられている重要なことは 2 つの要素が入っているということです。

一つは、ゼロトラストとしてネットワークを信用していないため、問題の発生個所を特定するためのログや監査証跡が十分に取られていたこと。

もう一つは、 IT 管理の観点で特別な権限が分離管理されていたことに依る、さらなる流出を防げていた。ということです。

この詳細は以下のブログを読んでいただくとして、今回はその先にある、 PAW (特権アクセスワークステーション)の概念についてみていきたいと思います。

https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/?WT.mc_id=M365-MVP-5002496

PWA の概念は以下の docs に詳しく書いてありますが、そこで提示されている図が分かりやすかったので引用します。

https://docs.microsoft.com/ja-jp/security/compass/concept-azure-managed-workstation?WT.mc_id=M365-MVP-5002496

今回の件では、重要なソースコードへの権限を書き込みと読み込みの 2 つにわけで述べられているのですが、実際は Github などを利用しているのでしょうから、読み取り、書き込み、コミットの 3 つの権利に分かれていたのではないかと想像します。
その 3 つを思い描きながら以下の図を見てみましょう。

Enterprise :読み込み、 Specialized :書き込み、 Privileged :コミットとしてみると、どういった守り方がなされていたのかわかるかと思います。

今まで日本では、組織の内外の 2 つのパターンを意識し、画一的に端末を提供していることが多いと思われますが、 PAW の考え方では、それぞれの役割に応じた端末を用意するという徹底をおこなっている。という形です。

f:id:mohessu:20210105001515p:plain

この考え方はなにも物理マシンを用意する必要はなく、物理で配るものは Enterprise として用意し、 Specialized や Privileged は WVD などの仮想環境として用意するという考え方も取れますよね。

さらに、この docs には Privileged に対するテンプレートとなる設定値が書かれています。

https://docs.microsoft.com/ja-jp/security/compass/howto-azure-managed-workstation?WT.mc_id=M365-MVP-5002496

f:id:mohessu:20210105001327p:plain

この内容を見ながら PAW を設定していくことができるというわけですね。
さらには設定をスクリプト化したものが Github で配布されています。

https://github.com/Azure/securedworkstation

こちらは Enterprise と Specialized も配布されているので、よりイメージが付きやすいかもしれません。

やはり今年の一大テーマと思える ID や端末のセキュリティ。もっと幅広く確認をしていく必要がありそうですね!

音楽:New Moon