プライベート クラウド環境をセキュリティで保護する方法

Azure のプライベート クラウド、CloudSimple サービス、CloudSimple ポータルに対してロールベースのアクセス制御 (RBAC) を定義します。 プライベート クラウドの vCenter にアクセスするためのユーザー、グループ、ロールは、VMware SSO を使用して指定します。

CloudSimple サービスの Azure RBAC

CloudSimple サービスの作成には、Azure サブスクリプションの所有者ロールまたは共同作成者ロールが必要です。 既定では、すべての所有者および共同作成者が CloudSimple サービスを作成し、CloudSimple ポータルにアクセスして、プライベート クラウドを作成したり管理したりすることができます。 作成できる CloudSimple サービスは、各リージョンにつき 1 つだけです。 特定の管理者にアクセスを限定するには、次の手順に従ってください。

1. Azure portal で新しいリソース グループに CloudSimple サービスを作成します。
2. リソース グループの Azure RBAC を指定します。
3. ノードを購入し、CloudSimple サービスと同じリソース グループを使用します。

以後、CloudSimple サービスの表示と CloudSimple ポータルの起動は、このリソース グループの所有者と共同作成者の特権を持つユーザーに限定されます。

詳細については、「Azure ロールベースのアクセス制御 (Azure RBAC) とは」を参照してください。

プライベート クラウドの vCenter の RBAC

プライベート クラウドを作成すると、vCenter SSO ドメインに既定のユーザー CloudOwner@cloudsimple.local が作成されます。 CloudOwner ユーザーには、vCenter を管理するための特権が与えられます。 vCenter SSO には、さまざまなユーザーにアクセス権を付与するための ID ソースが別途追加されます。 vCenter には、新たにユーザーを追加する際に使用できる定義済みのロールとグループが設定されます。

vCenter に新しいユーザーを追加する

1. プライベート クラウドにおける CloudOwner@cloudsimple.local ユーザーの権限をエスカレートします。
2. CloudOwner@cloudsimple.local を使用して vCenter にサインインします。
3. vCenter シングル サインオン ユーザーを追加します。
4. vCenter シングル サインオン グループにユーザーを追加します。

定義済みのロールとグループについて詳しくは、「VMware vCenter の CloudSimple プライベート クラウド アクセス許可モデル」の記事を参照してください。

新しい ID ソースを追加する

プライベート クラウドの vCenter SSO ドメインに使用する ID プロバイダーを別途追加できます。 ID プロバイダーは認証の働きをし、また、vCenter SSO グループはユーザーの承認の働きをします。

• プライベート クラウドの vCenter の ID プロバイダーとして Active Directory を使用する。
• プライベート クラウドの vCenter の ID プロバイダーとして Azure AD を使用する。

1. プライベート クラウドにおける CloudOwner@cloudsimple.local ユーザーの権限をエスカレートします。
2. CloudOwner@cloudsimple.local を使用して vCenter にサインインします。
3. ID プロバイダーから vCenter シングル サインオン グループにユーザーを追加します。

プライベート クラウド環境のネットワークをセキュリティで保護する

プライベート クラウド環境のネットワーク セキュリティは、ネットワーク アクセスのセキュリティを保護し、リソース間のネットワーク トラフィックをコントロールすることで制御されます。

プライベート クラウド リソースへのアクセス

プライベート クラウドの vCenter とリソースへのアクセスは、セキュリティで保護されたネットワーク接続上で行われます。

• ExpressRoute 接続 。 オンプレミス環境との間には、ExpressRoute によって待ち時間の短い高帯域幅の安全な接続が確保されます。 オンプレミスのサービス、ネットワーク、ユーザーは、この接続を使用してプライベート クラウドの vCenter にアクセスすることができます。
• サイト間 VPN ゲートウェイ 。 サイト間 VPN により、オンプレミスから安全なトンネルを介してプライベート クラウドのリソースにアクセスできます。 どのオンプレミス ネットワークがプライベート クラウドへのネットワーク トラフィックを送受信できるかは、ユーザーが指定します。
• ポイント対サイト VPN ゲートウェイ 。 プライベート クラウドの vCenter に対して迅速にリモート アクセスするには、ポイント対サイト VPN 接続を使用します。

プライベート クラウドのネットワーク トラフィックを制御する

プライベート クラウドのネットワーク トラフィックは、ファイアウォール テーブルとファイアウォール規則によって制御します。 ファイアウォール テーブルに定義された規則の組み合わせに基づいて、送信元ネットワーク アドレス (IP アドレス) と送信先ネットワーク アドレス (IP アドレス) との間のネットワーク トラフィックを制御できます。

1. ファイアウォール テーブルを作成します。
2. ファイアウォール テーブルに規則を追加します。
3. ファイアウォール テーブルを VLAN/サブネットに接続します。