702 Views
August 24, 24
スライド概要
2024/08/24の.NETラボ 勉強会 2024年8月、飛び込みLTで発表した資料です。
都内で働いているインフラエンジニアです。Azure を含むMicrosoft 製品、インフラ、開発周りに興味があります。
VM Image Builder の組み込みポリシーで 仮想ネットワークのFalse 設定が見つからず悩んだお話 2024/08/24 .NETラボ 勉強会 2024年8月 Kazuki Yamabe
アジェンダ • 自己紹介 • 今回の背景・発生した事象 • トラブルシューティング • 解決方法 • まとめ • 参考資料 2
自己紹介 名前:Kazuki Yamabe 所属:株式会社エーピーコミュニケーションズ 職種:インフラエンジニアっぽい何でも屋のサメエンジニア ◼ ブログ・SNS • ブログ:https://www.kdkwakaba.com/ • X:@kdk_wakaba • Linkedin:kdk-wakaba 3
今回の背景・発生した事象 Microsoft Defender for Cloud を使って社内のセキュリティ規定に沿っていないAzure リソースを検知したい。 指定した推奨事項のみ検知するよう 設定して検知のテストもお願いね。 おk 4
今回の背景・発生した事象 設定後のテストで「 VM Image Builder templates should use private link」の推奨事項が検知しない。 仮想ネットワークくっつけてプライベートリンク作成していないのに どうして検知されないんだ…? 5
今回の背景・発生した事象 プライベートリンクを確認してみたらVM Image Builder のプライベートリンク項目が無い…? • プライベート リンク リソース 6
トラブルシューティング – Azure Policy のルール確認 Azure Policy では vnetConfig が false だとポリシー非準拠になる設定。 7
トラブルシューティング – Azure Portal の設定項目確認 Image Templates の仮想ネットワーク設定は以下の2つ、いずれかを選択しないといけない。 • 仮想ネットワークの自動生成 • 特定の仮想ネットワークを指定 8
トラブルシューティング – CLI でImage Templates を作成 試しにAzure CLI で仮想ネットワークを指定しないで作成してみると「仮想ネットワークの自動生成」になった。 9
解決方法 – MS にSR で問い合わせ VM Image Builder に プライベートリンクが無いけど どうやって推奨事項出せばいいの? 仮想ネットワークを指定すると vnetConfig が追加されるため、 推奨事項に検知されない可能性 がある 10
解決方法 – リソース作成時のARM Template を確認 ARM Templateで vnetConfig を指定せず作成したら「仮想ネットワークの自動生成」になった。 もしかしてこれがFalse? 11
解決方法 – 仮想ネットワークの自動生成 = False 「仮想ネットワークの自動生成」で少し放置してみたらAzure Policy で非準拠が検知された! 12
補足 – 公式ドキュメントに小さく書いていた Azure VM Image Builder networking options 13
まとめ • Microsoft Defender for Cloud の検知がうまくいかないときは、該当のAzure Policy を確認する • リソース作成時のARM テンプレートからどのような設定が行われているか確認できる - 普通の設定が思わぬ設定になってることもあるので割と大事 • リソースとして表示されないが内部的にプライベートリンクを作成しているケースもある 14
参考資料 • Azure Policy Regulatory Compliance controls for Azure VM Image Builder • Create an Azure Image Builder Bicep or ARM template JSON template 15
ご清聴ありがとうございました。 16