プライベート クラウド環境をセキュリティで保護する方法

Azure から CloudSimple Service、CloudSimple ポータル、プライベート クラウドのロールベースのアクセス制御 (RBAC) を定義します。 vCenter of Private Cloud にアクセスするためのユーザー、グループ、ロールは、VMware SSO を使用して指定されます。

CloudSimple サービス用の Azure RBAC

CloudSimple サービスを作成するには、Azure サブスクリプションの 所有者 または 共同作成者 ロールが必要です。 既定では、すべての所有者と共同作成者が CloudSimple サービスを作成し、プライベート クラウドを作成および管理するための CloudSimple ポータルにアクセスできます。 リージョンごとに作成できる CloudSimple サービスは 1 つだけです。 特定の管理者へのアクセスを制限するには、次の手順に従います。

1. Azure portal の新しい リソース グループ に CloudSimple サービスを作成する
2. リソース グループに Azure RBAC を指定します。
3. ノードを購入し、CloudSimple サービスと同じリソース グループを使用する

リソース グループに対する 所有者 または 共同作成者 の特権を持つユーザーのみが CloudSimple サービスを表示し、CloudSimple ポータルを起動します。

詳細については、「 Azure ロールベースのアクセス制御 (Azure RBAC) とは」を参照してください。

プライベート クラウド vCenter の RBAC

プライベート クラウドの作成時に、既定のユーザー CloudOwner@cloudsimple.local が vCenter SSO ドメインに作成されます。 CloudOwner ユーザーには、vCenter を管理するための特権があります。 さまざまなユーザーにアクセスを許可するために、vCenter SSO に追加の ID ソースが追加されます。 定義済みのロールとグループは、追加のユーザーを追加するために使用できる vCenter に設定されます。

vCenter に新しいユーザーを追加する

1. プライベート クラウド上のCloudOwner@cloudsimple.localユーザーの特権をエスカレートします。
2. を使用して vCenter にサインインする CloudOwner@cloudsimple.local
3. vCenter Single Sign-On Users を追加します。
4. vCenter シングル サインオン グループにユーザーを追加します。

定義済みのロールとグループの詳細については、 VMware vCenter の CloudSimple プライベート クラウドアクセス許可モデルに 関する記事を参照してください。

新しい ID ソースを追加する

プライベート クラウドの vCenter SSO ドメインの ID プロバイダーを追加できます。 ID プロバイダーは認証を提供し、vCenter SSO グループはユーザーに承認を提供します。

• プライベート クラウド vCenter で ID プロバイダーとして Active Directory を使用します。
• プライベート クラウド vCenter で ID プロバイダーとして Azure AD を使用する

1. プライベート クラウド上のCloudOwner@cloudsimple.localユーザーの特権をエスカレートします。
2. を使用して vCenter にサインインする CloudOwner@cloudsimple.local
3. ID プロバイダーから vCenter シングル サインオン グループにユーザーを追加します。

プライベート クラウド環境でネットワークをセキュリティで保護する

プライベート クラウド環境のネットワーク セキュリティは、ネットワーク アクセスをセキュリティで保護し、リソース間のネットワーク トラフィックを制御することによって制御されます。

プライベート クラウド リソースへのアクセス

プライベート クラウドの vCenter とリソースへのアクセスは、セキュリティで保護されたネットワーク接続経由で行われます。

• ExpressRoute 接続。 ExpressRoute は、オンプレミス環境からのセキュリティで保護された高帯域幅の低待機時間接続を提供します。 この接続を使用すると、オンプレミスのサービス、ネットワーク、ユーザーがプライベート クラウドの vCenter にアクセスできるようになります。
• サイト間 VPN ゲートウェイ。 サイト間 VPN を使用すると、セキュリティで保護されたトンネルを介してオンプレミスからプライベート クラウド リソースにアクセスできます。 プライベート クラウドへのネットワーク トラフィックを送受信できるオンプレミス ネットワークを指定します。
• ポイントツーサイト VPN ゲートウェイ。 ポイント対サイト VPN 接続を使用して、プライベート クラウド vCenter にすばやくリモート アクセスします。

プライベート クラウドでネットワーク トラフィックを制御する

ファイアウォール テーブルと規則は、プライベート クラウド内のネットワーク トラフィックを制御します。 ファイアウォール テーブルを使用すると、テーブルで定義されている規則の組み合わせに基づいて、送信元ネットワークまたは IP アドレスと宛先ネットワークまたは IP アドレスの間のネットワーク トラフィックを制御できます。

1. ファイアウォール テーブルを作成します。
2. ファイアウォール テーブルに規則を追加します。
3. ファイアウォール テーブルを VLAN/サブネットにアタッチします。