御成門プログラマーの技術日記

Microsoft AzureやAngularなどの技術情報を発信します

Microsoft Ignite The Tour Tokyo 参加メモ【AFUN40 Azureセキュリティの基礎】

AFUN40 - Azureセキュリティの基礎

Azureのセキュリティ機能についてのわかりやすく紹介してもらえました。

顧客側の過失によるセキュリティリスクが増価する

2020年までに顧客側の過失により発生するクラウドセキュリティの問題は95%に達するだろう
ガートナー
クラウドセキュリティは共有責任

セキュリティのゴール

  • セキュリティ状況の把握とその改善方法の理解
  • 永続的な管理者特権の最小化
  • 影響の大きなデータに対してどうやってアクセス制限をかけるか
  • SQLインジェクションアタックや漏洩の検知
  • ADやAzureテレメトリの不信なアクテビティの検知

セキュリティセンター

  • すべてのリソースに対してセキュリティについての可視化、制御、ガイダンスしてくれる

  • セキュリティスコア

    • 一目でセキュリティ対策ができているか確認できる
  • レコメンデーション

    • 各リソースごとに必要なセキュリティ設定をレコメンドしてくれる
  • 規制コンプライアンス
    国際的なコンプライアンスにカバーしている確認できる コンプライアンスに対して自分のリソースがどれくらい対応しているかを確認できる。

  • どうやってセキュリティの問題を解決するか

    • リソースのセキュリティ権益
      • 何をやってほしいのか書いてある
      • Just In Time Access 特権の権限は必要な時だけ付与するのが現在のセキュリティの常識
      • ボタン1クリックで解決してくれる

特権ID管理(Azure AD P2の機能)

  • RBACの権限付与がちゃんとできているのかを確認する

  • 特権ID管理の画面を開く

    • 自分が持っているロールが表示される
    • 資格のあるロール 特権もっているけど有効になっていないロール
    • アクティブなロール

      • 今使えるロール
    • システム管理者は一時的に特権を与えることができる

      • 特権管理の画面→Azure ADロール→資格の割り当て→与えるロールを選択→ユーザーを選択 これでユーザーには潜在的にロールが与えられたが、アクティブではない。
      • ユーザーは特権ID管理から自分のロールの資格のあるロールでアクティブ化をしてあげる。有効時間を設定してあげる。サインアウトが必要。
      • Azureリソースに対しても一時的な特権の付与ができる

ストレージアカウントのネットワーク制限

例:あるAzureストレージに対して特定の仮想マシンからのみアクセスできるようにしたい

  • 指定したサブネットからのアクセスのみ接続可能とする
  • (仮想ネットワークの設定)仮想ネットワークに紐づけてストレージを指定する
  • (ストレージアカウント側)ファイアウォールと仮想ネットワークで「選択されたネットワーク」で先ほどのサブネットを指定すると、先ほどのサブネットからしかアクセスできないようにすることができる。
  • ストレージエクスプローラーからもアクセスできなくなる

SQL Databaseのセキュリティ機能

どのようにしてSQLDatabaseの安全性を向上するか

  • AzureADでアクセスコントロールする
  • ストレージと同じファイアウォールと仮想ネットワークの制限
  • Transeparent Data Encryption

  • Advanced Dataセキュリティ

    • SQLインジェクションなどをAIを使って検出する
    • インジェクションの検出
    • データが抜かれていないかを確認する
    • SQL Server側のATPみたいなやつ

Azure Sentinel

Azure全体的な視野で異常なアクテビティをどう検知するか

  • 様々なデータソースからデータを集めてきて分析する
  • データコネクター
    Azureに限らないデータを分析する

  • プレイブック
    センチネルで発生したイベントに対してアクションを定義できる
    簡単にいうとLogic App