Azureの基礎をざっと確認する Azure におけるセキュリティ、責任、信頼

技術の備忘録

■はじめに

お盆の予定で2日程投稿を空けてしまいました。
引き続きAZ-900が受験のためのアウトプットです。

Azureの基礎、前回の続きです。

■内容の要点を整理

以下の内容から座学で拾えるセクションのみ要約します。

docs.microsoft.com

今回は、Azure におけるセキュリティ、責任、信頼編です。

クラウドのセキュリティは共同責任

Azureと顧客で以下のような責任分担になる

  • サービスとしてのインフラストラクチャ (IaaS)
    ネットワークの物理的な部分の保護=Azure
    上記より上のレイヤー=顧客
  • サービスとしてのプラットフォーム (PaaS)
    オペレーティング システムおよび最も基本的なソフトウェア=Azure
    上記よりも上のレイヤー=顧客
  • サービスとしてのソフトウェア (SaaS)
    ほぼすべて=Azure

以下はどんな時も顧客の責任

■セキュリティに対する階層型アプローチ

攻撃の進行を遅らせる一連のメカニズムを採用する戦略

7つのレイヤーがあるよ

  • データ
    データへのアクセスを制御する必要
  • アプリケーション
    コードにおける脆弱性の数を減らす
  • コンピューティング
    仮想マシンへのアクセス保護
  • ネットワーク
    リソース間の通信を制限
  • 境界
    大規模な攻撃をフィルター処理 ファイアウォール
  • IDとアクセス
    シングル サインオンと多要素認証 イベント監視
  • 物理的なセキュリティ
    ハードウェアへのアクセスを制御

■Azure Security Center からヒントを得る

Azure Security Centeには大きく6つの機能があるよ

  • セキュリティに関する推奨事項を提供(無料)
  • 全体のセキュリティ設定を監視、自動で適用(standardプラン)
  • 潜在的脆弱性を、悪用される前に特定(standardプラン)
  • 機械学習を使用してマルウェアを検出(standardプラン)
  • 受信攻撃の可能性を分析および特定(standardプラン)
  • ポートに対する Just-In-Time アクセス制御を提供(standardプラン)

またAzure Security Centerが役立つポイントは以下があるよ

  • 検出
    イベント調査の最初の兆候を確認
  • 評価
    疑わしいアクティビティに関する詳細情報を入手
  • 診断
    技術的な調査、ID コンテインメント、対応策、回避戦略を実施

これらの後、Security Center の推奨事項を使用してセキュリティを強化

■ID とアクセス

昔はネットワーク境界が基本的な保護手段だったが、今は様々なデバイスによるアクセスで穴だらけになった。
代わりにIDが新たなセキュリティ境界に。

どうやるか?
Azure Active Directoryを使用する。

Azure Active Directoryには以下の大きく6つの機能があるよ。

IDに関しては以下のものがあるよ

また権限に関してはロールという概念があるよ

  • ロールベースのアクセス制御
  • Privileged Identity Management(ロール監視)

■暗号化

Azure での暗号化には以下の4つがあるよ

  • 生のストレージの暗号化
     Azure Storage Service Encryption
  • 仮想マシン ディスクを暗号化
     Azure Disk Encryption
  • データベースの暗号化
     透過的なデータ暗号化 (TDE)
  • シークレットを暗号化
     Azure Key Vault

■Azure 証明書

Azureでは2つあるよ

  • サービス証明書
     クラウド サービスに接続する際に使用
  • 管理証明書
     Azure サービスの構成とデプロイを自動化
     クラウドサービスには関連づかない

通常の証明書管理にはなく、Azure Key Vaultにのみ備わっている機能が5つあるよ

  • 証明書を作成や、既存の証明書をインポート可
  • 秘密キー マテリアルを操作する必要ない
  • Key Vault に指示するポリシーを作成可
  • イベントを通知するための連絡先情報を指定可
  • 証明書を自動的に更新

■ネットワークを保護する

以下のような機能を提供するよ

  • Azure Firewall
  • Azure Application Gateway
     Firewall付きロード バランサー
  • ネットワーク仮想アプライアンス (NVA)
  • Azure DDoS Protection
     Basic:自動的に有効
     Standard:追加設定
      帯域幅消費型攻撃、プロトコル攻撃、リソース (アプリケーション) レイヤーの攻撃を軽減
  • ネットワーク セキュリティ グループ (NSG)の設定
  • Azure ExpressRoute
     オンプレミスのネットワークを Microsoft クラウドに拡張

■共有ドキュメントを保護する

Microsoft Azure Information Protection
ドキュメントと電子メールにラベルを適用して分類、保護する機能

これを使用すると、以下のように追跡可能

  • データ フローを分析してビジネスへの分析情報を得る
  • 危険な行動を検出し、是正措置を取る
  • ドキュメントへのアクセスを追跡する
  • データの漏洩や機密情報の悪用を防ぐ

■Azure Advanced Threat Protection

高度な脅威、侵害された ID、悪意のあるインサイダーのアクション識別、検出、調査支援をしてくれる機能

この機能を構成するコンポーネントとして以下の3つがあるよ

  • Azure ATP ポータル Azure ATP センサーから受信したデータを表示
  • Azure ATP センサー ドメイン コントローラーのトラフィックを監視
  • Azure ATP クラウド サービス インテリジェント セキュリティ グラフに接続

■ライフサイクル管理

Microsoft セキュリティ開発ライフサイクル (SDL) を使用すると、開発プロセス全てでセキュリティとプライバシーの考慮事項を導入可能

具体的には以下のような活動に紐付けられる 

  • レーニングの提供
  • セキュリティ要件を定義
  • メトリックとコンプライアンス レポートを定義
  • 脅威モデリングを実行
  • 設計要件を確立
  • 暗号化標準を定義して使用
  • サードパーティのセキュリティリスクを管理
  • 承認済みのツールを使用
  • スタティック分析セキュリティ テストを実行
  • 動的分析セキュリティ テストを実行
  • 侵入テストを実行
  • 標準インシデント対応プロセスを確立



本日はここまで。

ではでは。