NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Enterprise Cloud Security Architecture
※本コースは中止となりました。次回の開催をお待ちください。
Cloud Security
English2023年11月13日(月)~11月17日(金)
1日目: 9:00-17:30
2日目~5日目: 9:30-17:30
オンライン
早期割引価格:1,030,000 円(税込み 1,133,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格 :1,140,000円(税込み 1,254,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
コース教材には「セットアップ手順」文書が含まれており、ライブクラスのイベントへ参加する前、またはオンラインクラスを開始する前に行うべき重要な手順が詳細に記載されています。これらの手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を表示させておくのに便利です。DESIGN IT RIGHT FROM THE START
クラウドにおける脅威のメンタルモデルがないまま、アーキテクトはオンプレミスの世界で意図された設計パターンをクラウドシステムに強引に適用しようとし、クラウドの採用と近代化のスピードを妨げている。さらに悪いことに、クラウドにおける信頼の境界を識別できないために、アイデンティティやネットワークプレーンでのセキュリティ管理が欠落し、セキュリティの成果が上がらないという結果になる。SEC549では、クラウドセキュリティアーキテクチャを紹介します。このコースでは、クラウドの明確なメンタルモデルと利用可能な制御を習得し、分散された境界と見慣れない信頼境界を持つこの新しい、大きく異なる世界に脅威モデルを移行できるようにします。
そのためこのコースでは、セキュリティ・オペレーション・センターがクラウド上のインシデントを監視、検出、対応、回復できるようにするアーキテクチャについて深く掘り下げます。このエンタープライズ・クラウド・セキュリティ・アーキテクチャ・コースでは、クラウド・テレメトリの堅牢なロギングと、エッジで収集されたイベントと洞察の一元化によって、ビジネス目標を効果的にサポートする方法を学びます。このコースでは、アーキテクトがクラウド環境で適切なロギングが設定されていることを確認し、可用性を考慮した設計の必要性を強調したリカバリ戦略を策定できるようにします。
SEC549は、架空の企業のクラウド移行の旅と、その過程で遭遇する課題を中心に構成されている。クラウド・セキュリティ・アーキテクトを目指す学生は、一元化されたアイデンティティ・プランを段階的に導入し、クラウドでホストされるアプリケーションを有効にするためのセキュアなパターンを設計することが課題となる。分散型リソースへのアクセスを保護するための補完的なメカニズムとして、ネットワーク層とID層の両方の制御を詳しく取り上げる。特にクラウドの台頭と複数のクラウド・サービス・プロバイダーの採用により、断片化されたアイデンティティとその危険性についての議論を通して、アイデンティティを一元化することの重要性がこのコースの中核をなすものであることが示されます。受講生は、段階的なID統合を設計する際に使用される基本的な概念を学ぶことで、自信を持って同様の課題に取り組むことができるようになります。
「このコースはお勧めできる。このコースはセキュアな設計の多くの核心的な側面を突いています。さらに、クラウドセキュリティアーキテクチャと戦略の欠如、安全でない設計は、Cloud Security AllianceやOWASPのような組織によってトップリスクとして強調されています。クラウドセキュリティアーキテクチャのトピックは、一般的にもっと注目され、フォーカスされる必要がある。」
- Greg Lewis, SAP
SEC549の実習部分はユニークで、特にクラウドのためのアーキテクトを目指す学生に適している。各ラボは、アーキテクチャ図として提示されたアンチパターンを観察し、修正することで実施される。各ダイアグラムの「正しい」バージョンは、AWSのライブインフラストラクチャとして実装され、学生が構成を検討できるようになっている。このコースでは、受講生はエンタープライズスケールのAWS組織にアクセスすることができ、ラボやコースを通して議論されるすべての詳細を観察することができます。
コースの各セクションでは、3つの主要なクラウドすべてについてセキュリティ設計の考慮事項を議論していますが、AWSでの作業に重点を置いており、ラボはAWSの概念に基づいて構成されています。
セクション2
セクション3
セクション4
セクション5
「今日のラボは3つとも、コンセプトを定着させるのに役立った。特に "See It In Action "の部分が役に立った。」- Oritse Uku
「この本、教材、ラボは、クラウドアーキテクチャの構築と理解に関して、非常にインタラクティブな学習体験を可能にする。」- Nevan Beal, Raymond James
「アーキテクチャー・ダイアグラムがそれぞれに盛り込まれているのがとても良かった」- Greg Lewis, SAP
「演習は思考を刺激し、良い議論を植え付ける」- Soe San Win, Robert Bosch, LLC
現在の職務や将来の計画に応じて、これらのコースのいずれかを受講することは、クラウド・セキュリティの旅における次のステップとして最適です:
クラウド・セキュリティ・アーキテクト:
クラウドセキュリティエンジニア:
クラウド・セキュリティ・マネージャー:
以下はSEC549の前提条件となるコースまたは同等の経験である:
SEC549への準備
SEC549を受講する学生は、クラウドにおけるIDアクセス管理(IAM)のパターンを学ぶ機会があります。ロールベースのアクセス制御、属性ベースのアクセス制御、権限管理などのIAMの概念に基本的に精通していることが役に立ちますが、必須ではありません。
さらに、ネットワーク層におけるデプロイメントの安全性を確保するためのクラウドネイティブツールについても掘り下げていきます。ファイアウォール、ネットワーク・アクセス・コントロール・リスト、IPアドレッシングなど、ネットワークの概念についての基本的な理解があれば役に立ちますが、必須ではありません。
「クラウドによって、私たちの境界はますます分散化され、多くの場合、IDベースの管理のみが実施されるようになりました。クラウドでは、セーフガードは解除され、エラーの余地はほとんどありません。
この厳しい現実を前にしても、私はまだ楽観的だ。クラウドへの移行は、私たちの最も革新的な技術を可能にし、セキュリティ部門が進化し成熟する機会を与えてくれます。
正しい基本原則を身につければ、業界として、オンプレミスでは不可能なほどの可用性と機密性を備えた、より安全な未来を築くことができます。
歴史が教えてくれたように、クラウド・ネイティブでゼロ・トラストの新しい世界への移行は紆余曲折が予想されますが、その旅の道しるべとなるお手伝いができることを大変嬉しく思います。」
- Kat Traxler & Eric Johnson
SEC549は、クラウドの脅威モデリング、セキュアなパターンとは何か、メンタルモデルをクラウドにどのように適応させる必要があるかなど、コース全体を通して使用される概念を定義することから始まる。
このセクションでは、ユーザー、グループ、ロール、マシン・アイデンティティなど、クラウドにおけるアイデンティティの基本的な概念と、それらの概念が3つの主要クラウド・プロバイダー間でどのように微妙に異なるかについて説明する。クラウドにおけるアイデンティティの管理は、このセクションの包括的なテーマです。このコースでは、IDフェデレーション、シングルサインオン、およびこれらのテクノロジーで使用されるプロトコルのコアコンセプトを学びます。AWS SSOを例に、集中化されたワークフォースIDをサポートするIDフェデレーションを有効にし、クラウドにユーザーを自動的にプロビジョニングし、アクセス制御を管理する属性を集中的に維持する方法を学びます。
アイデンティティとアクセス・コントロールは、このセクションのコンセプトの基礎となる。セクション2では、ゼロトラスト運動とその歴史、そしてクラウドにおけるゼロトラストを活用して従来のアクセスパターンをどのように改善できるかについて詳しく説明する。権限付与アーキテクチャだけでなく、クラウド資産にIDガードレールを構築し、セキュリティやコンプライアンス目的で制約を設ける方法についても説明する。受講者は、複数のパブリッククラウド環境にわたってエンドユーザーとマシンのIDを認証する方法を学びます。このセクションは、組織のリソースと信頼できるサードパーティ間のアクセスを制限するポリシーを実装することで締めくくられる。このセクションの重要なポイントは、組織のリソースと信頼できるサードパーティ間のアクセスを制限するポリシーを実装する方法です。
このセクションでは、Azure ADの条件付きアクセスと、リソースアクセスのガードレールを定義するためのポリシーの作成方法に焦点を当てます。条件付きアクセスに実践的な強いレンズを向けることで、多要素認証(MFA)の実施に対するビジネス主導の例外を狭く安全に切り分ける方法を学びます。
しっかりとしたアイデンティティの基礎を身につけた上で、受講生は各組織のクラウド・アーキテクチャ・パターンに焦点を移していく。エンタープライズ・クラウド・ネットワークの構築には、オンプレミス・ネットワークから移行する際の基本的な理解が必要である。セクション3では、パブリック、プライベート、ハイブリッドの各クラウドネットワークを構築するために必要な主要リソースについて説明する。そこから、組織全体でこれらのリソースのコンフィギュレーションを一元管理する方法を学びます。次に、クラウドのマイクロセグメンテーション、ハブとスポークのネットワーク、マイクロネットワーク間のトラフィックのルーティングについて説明します。次に、イングレスおよびイグレス・ネットワークを介したトラフィック・フローの一元化と、サードパーティ製セキュリティ・アプライアンスによる東西トラフィックの検査に焦点を移します。最後に、スポークネットワークを追加し、組織全体でDNSコンフィギュレーションを共有することで、ネットワークサービスを共有する方法を学びます。
セクション4では、クラウドネイティブのデータ保護パターンに焦点を当てる。組織全体に共通するストレージサービスの管理から始め、基礎となるデータ境界ポリシーを確立する。そこから、ビューとアクセスポイントを通じてデータレイクへのアクセスをセグメント化する方法を学びます。次に、属性ベースのアクセス制御、タグ付け、データマスキングによって、どのようにクラウドネイティブなデータ損失防止制御を実現できるかを探ります。最後に、鍵管理とバックアップのアーキテクチャパターンについて学びます。
。
このセクションでは、新しいクラウドベースの世界でSOCの運用(インシデントの調査、イベントのログ、脅威の調査)を可能にする方法について説明します。このセクションでは、クラウドのデータソースについて深く掘り下げ、CSP内でログとクラウド固有のイベントを集約し、中央のSIEMにエクスポートできるようにします。このセクションでは、クラウドベースのインシデントへの対応、封じ込め、そして最終的な復旧を可能にする効果的なアーキテクチャの構築方法を学びます。