説明/参照：
Explanation:
アクセス制御のセキュリティマネージャ。
シナリオ：階層4：アクセス制御
テストレット1
バックグラウンド
概要
Woodgrove Bankには20の支社があり、1,500のブランチオフィスを運営しています。各地域オフィスは、その地域をサポートするサーバー、インフラストラクチャ、およびアプリケーションをホストします。
Woodgrove Bankは、仮想マシン（VM）ベースの基幹業務ワークロードやSQLデータベースなど、社内のすべてのリソースをAzureに移行する予定です。あなたはWoodgrove BankのAzureサブスクリプションのオーナーです。あなたのチームは、GitHubでホストされているGitリポジトリをソース管理に使用しています。
セキュリティ
現在、Woodgrove Bankのコンピュータセキュリティインシデント対応チーム（CSIRT）では、現在のインシデント対応ツールと統合されたセキュリティインテリジェンスの不足によるセキュリティ問題の調査に問題があります。この統合の欠如は、検出中に問題を引き起こし（誤検知が多すぎる）、評価し、診断段階に入ります。 Azure Security Centerを使用してこの問題に対処することにしました。
Woodgrove Bankには、より高いレベルのセキュリティを必要とする個人識別情報（PII）などの規制されたデータを持ついくつかのアプリがあります。すべてのアプリケーションは現在、オンプレミスのActive Directoryドメインサービス（AD DS）を使用して保護されています。同社はミッションクリティカルなアプリケーションに依存しています。
WGBLoanMaster、WGBLeaseLeader、およびWGBCreditCruncherの各アプリがあります。これらの各アプリを、アプリの移行プロジェクトの一環としてAzureに移行する予定です。
アプリ
WGBLoanMasterアプリは取引の損失を監査されています。多くの取引は処理中に失われ、通貨償却は銀行の負担となっています。このアプリケーションは、いくつかの公開エンドポイントを含む2つのVM上で動作します。
WGBLeaseLeaderアプリは、いくつかのデータ違反に対して監査されています。このアプリケーションには、SQL ServerデータベースとWebベースのポータルが含まれています。ポータルは、ASP.NET Web API関数を使用して、データベースから毎月の集計レポートを生成します。
WGBCreditCruncherアプリケーションはVM上で動作し、ネットワークレベルで負荷分散されます。このアプリにはいくつかのステートレスコンポーネントが含まれており、クレジット処理の拡大に対応する必要があります。このアプリは夜間に実行され、1日にバッチ処理されるクレジット取引を処理します。このアプリには、顧客がクレジット情報を確認できるWebベースのポータルが含まれています。アプリのモバイル版では、ユーザーは画像をアップロードすることができます。
あなたのチームはソースコントロールのためにGitリポジトリを使用しています。リポジトリはGitHubでホストされています。
ビジネス要件
WGBLoanMasterアプリ
アプリの監査では、トランザクションの損失をゼロにする必要が明らかになりました。アプリは失われ、ローン情報を処理していないため、ビジネスは失われています。また、長期間実行した後にトランザクションが処理されない。企業は、システムの減速を防ぐために、集約処理を01:00にスケジュールするように要求しました。
WGBLeaseLeaderアプリ
データ侵害を防ぐためにアプリを保護する必要があります。データが破られた場合、それは読み込み不可能でなければなりません。このアプリは引き続き量が増え続けており、ビジネスはWGBLoanMasterアプリで提示された問題を望んでいません。取引の損失は受け入れられず、リース金額は貸出金よりも小さいものの、依然としてWoodgrove Bankにとって重要な利益センターです。また、その月の最初の日に月次レポートが自動的に生成されることを希望します。現在、ユーザーはポータルにログインしてボタンをクリックしてレポートを生成する必要があります。
WGBCreditCruncherアプリ
アプリのウェブベースのポータルエリアは、ユーザーが自分のFacebook資格情報でサインインできるようにする必要があります。銀行はこの機能を利用して、より多くのユーザーがアプリ内でクレジットを確認できるようにしたいと考えています。
Woodgrove Bankは、WGBCreditCruncherアプリに含めることができる新しい財務リスクモデレート機能を開発する必要があります。収集される大量のデータの処理、変換、分析に関連するコストのために、財務リスクモデリング機能は開発されていません。機能が効率的かつ確実かつ迅速に実行されるように、並列処理を実装する方法を見つける必要があります。この機能は、大量のデータを処理し、いくつかの財務リスクモデルを出力するためのコンピューティングの需要に基づいて拡張する必要があります。
技術要件
WGBLoanMasterアプリ
このアプリは、システムに対して長時間実行されるリクエストを作成するいくつかの計算集中型タスクを使用します。このアプリはビジネスにとって不可欠であり、融資処理の需要が増加するにつれて拡張可能でなければなりません。アプリを実行するVMには、アプリケーションからローン情報を集約して第三者に送信するWindowsタスクスケジューラタスクが含まれています。このタスクは、VM上でコンソールアプリケーションを実行します。
トランザクション処理を処理するには、メッセージングシステムが必要です。メッセージングシステムは、次の要件を満たしている必要があります。
メッセージがキューに最大1か月間存在することを許可する

バッチのメッセージを公開して使用できるようにする

Windows Communication Foundation（WCF）通信スタックとの完全な統合を許可する

キューへのロールベースのアクセスモデルを提供します。

受信機
Azure Resource Manager（ARM）テンプレートを開発して、アプリケーションのサポートに使用されているVMを展開します。テンプレートは新しいリソースグループに展開する必要があり、実際のリソースを作成する前に展開設定を検証する必要があります。
WGBLeaseLeaderアプリ
アプリは現在のMicrosoft SQL Server環境の代わりにAzure SQLデータベースを使用する必要があります。月次レポートは自動的に生成されなければなりません。
トランザクション処理を処理するには、メッセージングシステムが必要です。メッセージングシステムは、次の要件を満たしている必要があります。
キューに対して実行されるすべてのトランザクションのサーバー側ログを要求する

キュー内のメッセージの進行状況を追跡する

メッセージを7日以内に処理する

メッセージごとに異なるタイムアウト値を提供する

WGBCreditCruncherアプリ
アプリは：
安全な着信および発信トラフィック。

受信ネットワークトラフィックの脆弱性を分析します。

インスタンスレベルのパブリックIPを使用し、ポート443でのみWebトラフィックを許可します。

ポータルを、JavaScript、Azure Active Directoryを使用するシングルページアプリケーション（SPA）にアップグレードします。

（Azure AD）、およびWeb APIのバックエンドを保護するためのOAuth 2.0暗黙的な許可が含まれます。
認証をキャッシュし、.NET用のOpen Web Interface（OWIN）を使用してWeb APIバックエンドをホストします。

ミドルウェア。
モバイルWebアプリから受信したチェック画像を即座に圧縮します。

夜間ベースでのバッチ処理のスケジュール処理。

金融リスクモデルを出力するための並列処理とスケーラブルなコンピューティングリソースを提供します。

同時計算ノードを使用して、高性能コンピューティングと財務の更新を可能にする

リスクモデル。
主要なセキュリティ分野

ソフトウェアリリース
開発チームからリリースが発行されると、ビジネスはいくつかの内部システムを通じて通知を受け取る必要があります。
チームのGitHubリポジトリは、リリースに応じてF＃で書かれたスクリプトを実行する必要があります。スクリプトは、リリースが公開された複数のアプリケーションおよびシステムに警告する必要があります。