説明
https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/supported-machines-endpoint-solutions-clouds-contai

https://www.varonis.com/blog/securing-access-azure-webapps

トピック1、Litware株式会社
既存の環境
Litware には、Utvvare.com という Active Directory Domain Services (AD D%) フォレストと同期し、20 個の Azure サブスクリプションにリンクされた Azure Active Directory (Azure AD) テナントがあります。パススルー認証の実装には Azure AD Connect が使用されています。パスワードハッシュ同期は無効、パスワード ライトバックは有効です。Litware のすべてのユーザーは Microsoft 365 E5 ライセンスを保有しています。
この環境には、複数の AD DS フォレスト、Azure AD テナント、および Litware の子会社に属する数百の Azure サブスクリプションも含まれています。
計画された変更
Litware は次の変更を実施する予定です。
* Azure AD テナントごとに管理グループ階層を作成します。
* Litware の既存の Azure 環境をリファクタリングし、将来のすべての Azure ワークロードをデプロイするためのランディング ゾーン戦略を設計します。
* Azure AD アプリケーション プロキシを実装して、現在 VPN を使用してアクセスされている内部アプリケーションへの安全なアクセスを提供します。
ビジネス要件
Litware では、次のビジネス要件が特定されています。
* 追加のオンプレミス インフラストラクチャを最小限に抑えます。
* 管理オーバーヘッドに関連する運用コストを最小限に抑えます。
ハイブリッド要件
Litware では、次のようなハイブリッド クラウドの要件を特定しています。
* 次のものを含め、Azure からのオンプレミス リソースの管理を有効にします。
* 適用とコンプライアンス評価には Azure Policy を使用します。
* 変更追跡と資産インベントリを提供します。
* パッチ管理を実装します。
* ゲスト アカウントを維持するオーバーヘッドなしで、集中化されたテナント間のサブスクリプション管理を提供します。
Microsoft Sentinel の要件
Litwareは、Microsoft Sentinelのセキュリティ情報・イベント管理（SIEM）機能とセキュリティオーケストレーション自動対応（SOAK）機能を活用する予定です。同社は、Microsoft Sentinelを活用してセキュリティオペレーションセンター（SOQ）を一元化したいと考えています。
身元要件
Litware では、次の ID 要件が特定されています。
* AD DS ユーザー アカウントを直接ターゲットとするブルート フォース攻撃を検出します。
* Litware の Azure AD テナントに漏洩した資格情報の検出を実装します。
* Azure AD ユーザー アカウントをターゲットとしたブルート フォース攻撃によって AD DS ユーザー アカウントがロックアウトされるのを防ぎます。
* Litware の Azure AD テナント内のユーザーとグループの委任管理を実装します (サポートを含む)。
* グループのプロパティ、メンバーシップ、ライセンスの管理、ユーザーのプロパティ、パスワード、ライセンスの管理
* ビジネスユニットに基づいたユーザー管理の委任。
規制コンプライアンス要件
Litware では、次の規制コンプライアンス要件を特定しています。
* 米国およびフランスに拠点を置く各子会社が所有するログ、テレメトリ、データを収集する際に、データ保存場所のコンプライアンスを確保します。
* 組み込みの Azure Policy 定義を活用して、管理対象環境全体の規制コンプライアンスを評価します。
* 最小権限の原則を使用します。
Azure ランディング ゾーンの要件
Litware では、次のランディング ゾーン要件が特定されています。
* ランディング ゾーンからインターネットに向かうすべてのトラフィックを、専用の Azure サブスクリプション内の Azure Firewall 経由でルーティングします。
* ランディング ゾーンを範囲とするセキュリティ スコアを提供します。
* 各ランディング ゾーン内の Azure 仮想マシンが、パブリック エンドポイントではなく、Microsoft バックボーン ネットワーク経由で同じゾーン内の Azure App Service Web アプリと通信することを確認します。
* データ流出の可能性を最小限に抑えます。
* ネットワーク帯域幅を最大化します。
ランディングゾーンアーキテクチャには、インターネットとハイブリッド接続のハブとして機能する専用サブスクリプションが含まれます。各ランディングゾーンには以下の特性があります。
* 専用サブスクリプションで作成されます。
* litware.com の DNS 名前空間を使用します。
アプリケーションセキュリティ要件
Litware では、次のアプリケーション セキュリティ要件が特定されています。
* Azure AD アプリケーション プロキシを使用してシングル サインオン (SSO) をサポートする内部アプリケーションを識別します。
* Microsoft SharePoint Online および Exchange Online データへのアクセスをリアルタイムで監視および制御します。