「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
基礎
原則 †
責任共有モデル †
https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/role-of-security
- 物理Data Center
"信ぜよ、されど確認せよ"
- インフラ・ミドル"
- Software Defined Everything(SDx)
- Software Defined Data Center(SDDC)
設計原則 †
https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/security-principles
基本 †
https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/architecture-type
経験とデータを活用 †
脅威モデリングを活用 †
- STRIDE分析
- OWASP Threat Dragon プロジェクト
規制当局のセキュリティ標準 †
https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/law-authority
- 規制当局のセキュリティ標準に準拠
- クラウドを想定しないケースがある。
リスク低減するセキュリティ戦略 †
https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/resilience
- 攻撃をうまくコントロール
- 最小特権付与
- 短い有効期間
- 検知&無効化
- アクセス先毎の権限の細分化
役割と分担 †
ガバナンス・リスク・コンプライアンス †
https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/governance
設計と実装 †
詳細 †
インフラ構築と運用 †
中央統制と権限移譲 †
ID管理と認証・認可 †
システム構築とアプリ開発 †
開発プロセスへの折込 †
ツール、レビューなど。
設計とテスト †
- 脅威モデリング
- ペネトレーションテスト
- 脆弱性診断
自動化 †
IaC (Infrastructure as Code) + DevOps
セキュリティ運用 †
検知 †
対応・復旧 †
改善 †
Fit & Gap †
- エンプラでの慣例
- W-AFでのスタンス
- エンプラ・W-AF間の折衷案
NW 閉域性確保 †
NW 透明性確保 †
- 到達経路の明確化(接続元をホワイトリスト的に絞る)が慣例。
- W-AFには記載が無い(CDNは管理されている、...が透明性が無い)。
- オンプレと同じ製品の仮想アプライアンス版を採用する。
権限分掌 †
- 中央統制(野良クラウド発生の原因になる)が慣例。
- W-AFでは柔軟な権限移譲を許可するスタンス
- 2つの方法
管理者アカウントのPWDローテ †
- 共有アカウント(root, administrator)
- 個人アカウント(個人特定のため)
- 2つの方法
- 共有アカウントはオンプレ延伸環境(IaaS)で利用
- 個人アカウントはクラウド環境(PaaS、SaaS)で利用
アプリの脆弱性 †
- 軽視されている
- 重視されている(ただし、実践は困難)
- 人材育成とコンサル利用
管理端末の脆弱性 †
- OA環境との分離を想定していないケースが多い。
- 厳格なバードニング(堅牢化)が推奨されてる。
- OA環境からの分離とバードニング(堅牢化)の推進
参考 †
Microsoft Docs †
nakama †
- Azure Well-Architected Framework : Security セクション概要解説