Azureの基礎をざっと確認する Azure におけるセキュリティ、責任、信頼
■はじめに
お盆の予定で2日程投稿を空けてしまいました。
引き続きAZ-900が受験のためのアウトプットです。
Azureの基礎、前回の続きです。
■内容の要点を整理
以下の内容から座学で拾えるセクションのみ要約します。
今回は、Azure におけるセキュリティ、責任、信頼編です。
■クラウドのセキュリティは共同責任
Azureと顧客で以下のような責任分担になる
- サービスとしてのインフラストラクチャ (IaaS)
ネットワークの物理的な部分の保護=Azure
上記より上のレイヤー=顧客 - サービスとしてのプラットフォーム (PaaS)
オペレーティング システムおよび最も基本的なソフトウェア=Azure
上記よりも上のレイヤー=顧客 - サービスとしてのソフトウェア (SaaS)
ほぼすべて=Azure
以下はどんな時も顧客の責任
■セキュリティに対する階層型アプローチ
攻撃の進行を遅らせる一連のメカニズムを採用する戦略
7つのレイヤーがあるよ
- データ
データへのアクセスを制御する必要 - アプリケーション
コードにおける脆弱性の数を減らす - コンピューティング
仮想マシンへのアクセス保護 - ネットワーク
リソース間の通信を制限 - 境界
大規模な攻撃をフィルター処理 ファイアウォール - IDとアクセス
シングル サインオンと多要素認証 イベント監視 - 物理的なセキュリティ
ハードウェアへのアクセスを制御
■Azure Security Center からヒントを得る
Azure Security Centeには大きく6つの機能があるよ
- セキュリティに関する推奨事項を提供(無料)
- 全体のセキュリティ設定を監視、自動で適用(standardプラン)
- 潜在的脆弱性を、悪用される前に特定(standardプラン)
- 機械学習を使用してマルウェアを検出(standardプラン)
- 受信攻撃の可能性を分析および特定(standardプラン)
- ポートに対する Just-In-Time アクセス制御を提供(standardプラン)
またAzure Security Centerが役立つポイントは以下があるよ
- 検出
イベント調査の最初の兆候を確認 - 評価
疑わしいアクティビティに関する詳細情報を入手 - 診断
技術的な調査、ID コンテインメント、対応策、回避戦略を実施
これらの後、Security Center の推奨事項を使用してセキュリティを強化
■ID とアクセス
昔はネットワーク境界が基本的な保護手段だったが、今は様々なデバイスによるアクセスで穴だらけになった。
代わりにIDが新たなセキュリティ境界に。
どうやるか?
Azure Active Directoryを使用する。
Azure Active Directoryには以下の大きく6つの機能があるよ。
IDに関しては以下のものがあるよ
- サービス プリンシパル
- Azure サービスに対するマネージド ID
また権限に関してはロールという概念があるよ
- ロールベースのアクセス制御
- Privileged Identity Management(ロール監視)
■暗号化
Azure での暗号化には以下の4つがあるよ
- 生のストレージの暗号化
Azure Storage Service Encryption - 仮想マシン ディスクを暗号化
Azure Disk Encryption - データベースの暗号化
透過的なデータ暗号化 (TDE) - シークレットを暗号化
Azure Key Vault
■Azure 証明書
Azureでは2つあるよ
通常の証明書管理にはなく、Azure Key Vaultにのみ備わっている機能が5つあるよ
- 証明書を作成や、既存の証明書をインポート可
- 秘密キー マテリアルを操作する必要ない
- Key Vault に指示するポリシーを作成可
- イベントを通知するための連絡先情報を指定可
- 証明書を自動的に更新
■ネットワークを保護する
以下のような機能を提供するよ
- Azure Firewall
- Azure Application Gateway
Firewall付きロード バランサー - ネットワーク仮想アプライアンス (NVA)
- Azure DDoS Protection
Basic:自動的に有効
Standard:追加設定
帯域幅消費型攻撃、プロトコル攻撃、リソース (アプリケーション) レイヤーの攻撃を軽減 - ネットワーク セキュリティ グループ (NSG)の設定
- Azure ExpressRoute
オンプレミスのネットワークを Microsoft クラウドに拡張
■共有ドキュメントを保護する
Microsoft Azure Information Protection
ドキュメントと電子メールにラベルを適用して分類、保護する機能
これを使用すると、以下のように追跡可能
- データ フローを分析してビジネスへの分析情報を得る
- 危険な行動を検出し、是正措置を取る
- ドキュメントへのアクセスを追跡する
- データの漏洩や機密情報の悪用を防ぐ
■Azure Advanced Threat Protection
高度な脅威、侵害された ID、悪意のあるインサイダーのアクション識別、検出、調査支援をしてくれる機能
この機能を構成するコンポーネントとして以下の3つがあるよ
- Azure ATP ポータル Azure ATP センサーから受信したデータを表示
- Azure ATP センサー ドメイン コントローラーのトラフィックを監視
- Azure ATP クラウド サービス インテリジェント セキュリティ グラフに接続
■ライフサイクル管理
Microsoft セキュリティ開発ライフサイクル (SDL) を使用すると、開発プロセス全てでセキュリティとプライバシーの考慮事項を導入可能
具体的には以下のような活動に紐付けられる
- トレーニングの提供
- セキュリティ要件を定義
- メトリックとコンプライアンス レポートを定義
- 脅威モデリングを実行
- 設計要件を確立
- 暗号化標準を定義して使用
- サードパーティのセキュリティリスクを管理
- 承認済みのツールを使用
- スタティック分析セキュリティ テストを実行
- 動的分析セキュリティ テストを実行
- 侵入テストを実行
- 標準インシデント対応プロセスを確立
本日はここまで。
ではでは。