次の方法で共有

Azure CycleCloud – セキュリティのベスト プラクティス

  • [アーティクル]

この記事では、Azure CycleCloud をより安全かつ効果的に使用するためのベスト プラクティスと便利なヒントについて説明します。 Azure CycleCloud を使用する場合は、ここに記載されているベスト プラクティスをクイック リファレンスとして使用できます。

インストール

CycleCloud の既定のインストールでは、ポート 8080 で実行されている暗号化されていない HTTP が使用されます。 CycleCloud インストールへの暗号化されていないアクセスを防ぐために、すべてのインストールに SSL を構成することを強くお勧めします。 CycleCloud にはインターネットからアクセスできませんが、必要に応じてポート 443 のみを公開する必要があります。 直接インターネット アクセスを制限する場合は、インターネットにバインドされたすべての HTTP トラフィックまたは HTTPS トラフィックにプロキシを使用するように を構成します。 暗号化されていない通信と CycleCloud への HTTP アクセスを無効にするには、 SSL 構成に関するページを参照してください。

送信インターネット アクセスも制限する場合は、インターネットにバインドされたすべての HTTP または HTTPS トラフィックにプロキシを使用するように CycleCloud を構成できます。 詳細については、「 ロックダウン環境での動作 」を参照してください。

認証と承認

Azure CycleCloud には、暗号化、Active Directory、LDAP、Entra ID を含む組み込みデータベースという 4 つの認証方法が用意されています。 60 秒以内に 5 つの承認エラーが発生したアカウントは、自動的に 5 分間ロックされます。 アカウントは管理者が手動でロック解除でき、5 分後に自動的にロック解除されます。

CycleCloud は、管理者グループアクセス権のみを持つドライブにインストールする必要があります。 これにより、管理者以外のユーザーが暗号化されていないデータにアクセスできなくなります。 管理者以外のユーザーは、このグループに含めてはいけません。 理想的には、CycleCloud インストールへのアクセスは管理者のみに制限する必要があります。

信頼境界を越えて CycleCloud インストールを共有しないでください。 単一の CycleCloud インストール内の RBAC 制御は、真のマルチテナント環境では十分ではない可能性があります。 重要なデータを含むテナントごとに、個別の独立した CycleCloud インストールを使用します。

ネットワークとシークレットの管理

クラスターが起動される 仮想ネットワーク は、 ネットワーク セキュリティ グループ (NSG) でロックダウンする必要があります。 特定のポートへのアクセスは NSG によって管理されます。Azure 仮想ネットワーク内の Azure リソースとの間の受信/送信ネットワーク トラフィックを構成および制御するオプションがあります。 ネットワーク セキュリティ グループには、いくつかの種類の Azure リソースからの受信ネットワーク トラフィックまたは送信ネットワーク トラフィックを許可または拒否するセキュリティ規則が含まれています。

少なくとも 2 つのサブネットを使用することを強くお勧めします。 CycleCloud インストール VM と、同じアクセス ポリシーを持つ他の VM 用と、コンピューティング クラスター用の追加サブネット用の 1 つ。 ただし、大規模なクラスターの場合、サブネットの IP 範囲が制限要因になる可能性があることに注意してください。 そのため、一般に、CycleCloud サブネットでは小さな CIDR (クラスレス Inter-Domain ルーティング) 範囲を使用し、コンピューティング サブネットは大きくする必要があります。

CycleCloud は、クラスターの管理に Azure Resource Managerを使用します。 Azure Resource Manager呼び出しを行うには、CycleCloud VM にマネージド ID を構成することで、CycleCloud に特定のアクセス許可が付与されます。 システム割り当てマネージド ID またはユーザー割り当てマネージド ID のいずれかを使用することをお勧めします。システム割り当てマネージド ID は、そのサービス インスタンスのライフサイクルに関連付けられた ID を Azure AD に作成します。 そのリソースが削除されると、マネージド ID は自動的に削除されます。 ユーザー割り当てマネージド ID は、Azure サービスの 1 つ以上のインスタンスに割り当てることができます。 この場合、マネージド ID は、使用されるリソースによって個別に管理されます。

セキュリティで保護されたロックダウン環境

一部のセキュリティで保護された運用環境では、環境がロックダウンされ、インターネット アクセスが制限されます。 Azure CycleCloud には Azure Storage アカウントやその他のサポートされている Azure サービスへのアクセスが必要であるため、プライベート アクセスを提供するには、Virtual Network サービス エンドポイントまたはPrivate Linkを使用することをお勧めします。 サービス エンドポイントまたはPrivate Linkを有効にすると、Azure サービス リソースを仮想ネットワークにセキュリティで保護できます。 サービス エンドポイントは、Virtual Networkのプライベート IP アドレスが Azure サービスのエンドポイントに到達できるようにすることで、セキュリティを強化します。

CycleCloud アプリケーションノードとクラスター ノードは、インターネット アクセスが制限された環境で動作できますが、開いたままにする必要がある TCP ポートの数は最小限です。 Azure Firewallまたは HTTPS プロキシを構成せずに CycleCloud VM からの送信インターネット アクセスを制限する 1 つの方法は、CycleCloud 仮想マシンのサブネット用に厳密な Azure ネットワーク セキュリティ グループを構成することです。 これを行う最も簡単な方法は、サブネットまたは VM レベルのネットワーク セキュリティ グループで サービス タグ を使用して、必要な送信 Azure アクセスを許可することです。 セキュリティ規則を作成するときに、特定の IP アドレスの代わりにサービス タグを使用できます。対応するサービスのトラフィックを許可または拒否できます。