はじめに
第31回 Tokyo Jazug Night(Japan Azure User Groupの勉強会)で学んだことを書きます。
https://jazug.connpass.com/event/202626/
Azure WAF を活用しよう 〜WAF の解説から他サービスとの連携まで〜
発表者:サイバーセキュリティクラウド WAF 自動運用サービス部部長 市川さん
発表資料はこちら
Azure WAF = Azure Web アプリケーション ファイアウォール。公式サイトは以下。
https://azure.microsoft.com/ja-jp/services/web-application-firewall/
近年、サイバー攻撃は、年々増加している。
Azure WAFは、様々なインジェクションの攻撃を防ぐことができる。
リスト型攻撃や平文による通信で中間者攻撃をWAFで防ぐのは難しい。
セキュリティ対策しているというアピールをすることがWAFの重要な効果。
(攻撃者から狙われにくくなる)
WAF Policy に、WAFのルールや設定を入れる。
Application Gateway(App GW), Frontdoor用の2種類の WAF Policy がある。
App GW:かんたんに設定できる
Frontdoor:細かく設定できる
WAFログの保存は、3つの方法でできる
- Strage Account:安い
- Azure Monitor Log Analytics:時系列でログがたまる。コストバランス良い
- Event Hubs:リアルタイム性が一番高い。必ずしも時系列順でない
Azure DDoS Protection
Azureのリソースは、特に設定しなくても、Azure DDoS Protectionで守られている。
How to Azure環境のセキュリティコンサルティング
発表者:NRIセキュアテクノロジーズ株式会社 サイバーセキュリティコンサルティング部 吉江 瞬さん
発表資料はこちら
Azureのセキュリティをどうやって対策するか?
ひと昔前は、Azure Security XXX で検索していた。
現在は「Azureのセキュリティ設計原則」というものが公開されている。
(ゼロトラストを前提とするなど)
Azure Security Center を利用することがおすすめ。
統合されたセキュリティ管理と高度な脅威保護を実現するサービス。
無償でできるセキュリティ対策もあるので、まず有効化した方がいい。
CIS Benchmark を用いてチェックすることがおすすめ。
初心者スクラムマスターがAzure DevOpsを使ってスクラムチームを立ち上げた話
発表者:PHC株式会社メディコム事業部 市川さん
Azure DevOpsを用いてスクラムチームを立ち上げた。
Azure Boardsの活用
タスクをAzure Boardsで作成してカンバンのように管理。
アイテムの管理はMSの方法に準拠。
Azure Reposの活用
Policiesで、mainブランチへのプッシュを禁止したりなど、ポリシーを設定。
Slackでプルリクエストの状況見える化(Azure Repos app for Slack)。
ダッシュボードで全体進捗見える化した(バーンダウン、ベロシティ、残りタスクなど表示)。
まとめ
Azure の知らない機能を色々学ぶことができました。
ちなみに私は、普段はエンジニアリングマネージャーとして、チームの皆で楽しく開発する施策を色々実施しています。詳しくは以下を参照ください。
1年以上かけて生産性倍増+成長し続けるチームになった施策を全部公開
Twitterでも開発に役立つ情報を発信しています → @kojimadev