Azure Well-Architected Framework - Security のバックアップ(No.3)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Azure Well-Architected Framework - Security へ行く。
  • 1 (2021-02-09 (火) 22:53:13)
  • 2 (2021-02-09 (火) 23:51:22)
  • 3 (2021-02-10 (水) 15:17:35)
  • 4 (2021-02-10 (水) 15:40:41)
  • 5 (2021-02-11 (木) 00:51:42)
  • 6 (2021-02-11 (木) 13:32:12)
  • 7 (2021-02-11 (木) 23:47:40)
  • 8 (2021-02-12 (金) 00:00:17)
  • 9 (2021-02-13 (土) 00:45:47)
  • 10 (2021-02-13 (土) 11:40:51)
  • 11 (2021-02-24 (水) 11:25:08)
  • 12 (2021-02-25 (木) 09:32:43)
  • 13 (2021-02-26 (金) 22:16:29)
  • 14 (2021-03-01 (月) 20:18:14)
  • 15 (2021-03-02 (火) 21:34:47)
  • 16 (2021-03-05 (金) 13:04:01)
  • 17 (2021-03-05 (金) 16:52:24)
  • 18 (2021-03-07 (日) 23:57:34)
  • 19 (2021-03-08 (月) 17:18:26)
  • 20 (2021-03-10 (水) 23:31:47)
  • 21 (2021-03-12 (金) 23:06:32)
  • 22 (2021-03-17 (水) 17:26:54)
  • 23 (2021-03-17 (水) 20:41:14)
  • 24 (2021-03-18 (木) 16:08:44)
  • 25 (2021-04-16 (金) 15:02:27)
  • 26 (2021-07-14 (水) 20:15:40)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • Azure Well-Architected Framework
  • FgCF (Financial-grade Cloud Fundamentals)

目次 †

概要 †

基礎

原則 †

責任共有モデル †

https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/role-of-security

• 物理Data Center
  "信ぜよ、されど確認せよ"

• ソフトウェア

• インフラ・ミドル"
  • Software Defined Everything(SDx)
  • Software Defined Data Center(SDDC)

• アプリケーション
  ゼロトラスト

設計原則 †

https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/security-principles

基本 †

https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/architecture-type

経験とデータを活用 †

• Security Intelligence Report
  https://www.microsoft.com/en-us/security/business/security-intelligence-report

脅威モデリングを活用 †

• STRIDE分析
• OWASP Threat Dragon プロジェクト

規制当局のセキュリティ標準 †

https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/law-authority

• 規制当局のセキュリティ標準に準拠
• クラウドを想定しないケースがある。

リスク低減するセキュリティ戦略 †

https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/resilience

• 攻撃のためのハードルを上げる

• 攻撃が成功した際の軽減・回復方法
  • 多層防衛
  • 早期の検知と対応

• 攻撃をうまくコントロール
  • 最小特権付与
  • 短い有効期間
  • 検知＆無効化
  • アクセス先毎の権限の細分化

役割と分担 †

ガバナンス・リスク・コンプライアンス（GRC）

ガバナンス †

https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/governance

• 検討事項

• セキュリティ機能別の役割

• ネットワーク・セキュリティ
• ネットワーク管理
• サーバ VM のセキュリティ
• インシデント監視・対応
• ポリシー管理
• ID 管理

• 企業部門毎のマイクロ・セグメンテーション

• 中央（統括部門）側の作業
  • VM のセキュリティ確保
  • インシデント通知の受け取り
  • よく知られたリスクの検知・修復
  • 侵入テスト、古いプロトコルの検出
  • 定期的なアクセス監査
  • 不正な ID 利用の監視

• その他
  • 環境の作成と管理の自動化
  • 各種ベンチマークによる体制評価
  • ポリシー準拠の監査と適用

• 関連する機能

• Azure Security Center
  ・VMのパッチ適用漏れ
  ・VMのネット直接続
  ・セキュリティ・スコア
  

• Azure Policy
  グループポリシーのAzure版

• Azure ADアクセス レビュー
  グループ メンバ・アプリのアクセスを可視化および制御

• Azure Blueprints
  ARM、RBAC、ポリシーなどの成果物を
  パッケージ化、デプロイを簡略化する。

• Azure Sentinel
  SIEM機能、SOAR機能、UEBA機能

• 高度なセキュリティ機能
  ・Azure 専用 HSM
  ・Azure Confidential Computing

• 権限分掌設計

• コア・サービス
  Hub VNET, ADDS, DNS/DHCPの作成と管理
  中央（統括部門）側でも権限を持ち、管理

• セキュリティチーム
• ポリシー管理チーム
• ネットワーク管理チーム
• 緊急事態用アカウント
• 中央 IT 運用チーム

• 部門サービス
  Spoke VNET, 業務システムの作成と管理
  中央（統括部門）側でも適切に権限を持ち、管理

• セキュリティチーム
• ポリシー管理チーム
• ネットワーク管理チーム
• 緊急事態用アカウント
• IT 運用チーム
• アプリケーション管理者

リスク †

保護対象に対する攻撃が成功する確率と影響

コンプライアンス †

• 標準、組織、管理、法規制
• 例：ISO27001、NIST、PCI DSS

設計と実装 †

ID 管理とアクセス管理 †

Azure AD

• 単一ディレクトリ利用

• ID同期設計（強権限 ID は同期しない）

• 外部ディレクトリ（B2B/B2C の利用）

• パスワード保護対策機能の利用

• レガシー認証のブロック、
  パスワードレス認証、2FA/MFA

• SSO の実施（SAML、OIDC）

• 条件付きアクセス

• 攻撃シミュレーションの実施

境界型ネットワークから脱却 †

• マイクロ・セグメンテーション

• 適切なインターネットエッジ戦略
  • Azure Firewall
  • Azure Application Gateway
  • NVA（アプライアンス）

ネットワーク・セキュリティ †

• NIDS / NIPS / NDLPの利用

• ネットワーク通信の可視化
  Azure Sentinel（SIEM）によるログ統合
  • NSG ログ
  • WAF のログ
  • 仮想ネットワークタップ
  • Azure Network Watcher

• IP アドレス設計

• DDoS 攻撃の緩和
  （L3での DDoS は、クラウドインフラのレベルで保護）

• 強制トンネリング（オンプレ迂回）を避ける
  • 通信量の増大
  • レイテンシの悪化
  • コストの増加

ストレージ・データ・暗号化 †

• ストレージアクセスに利用する認証方式の選択
• プラットフォーム暗号化サービスを無効化しない

• 仮想マシンの VHD ファイルを保護
  • VHD ファイルに適切な認証・認可を設定
  • ADE （Azure Disk Encryption）でディスク暗号化

アプリケーションとサービス †

他に比べて圧倒的に重要

• スコープの際を意識する。
  • IaaS
  • PaaS/CaaS
  • SaaS

• リスクの高い部分を意識して対策する。

• DevOps アプローチを採用する。
  Secure DevOps Kit for Azure

• ２つのアプローチ
  • ボトムアップ : ソフトウェア開発ライフサイクル（SDLC）
  • トップダウン : 脅威モデリング

• ポイント
  • 基本的なセキュリティ機能を自力実装しない、 各サービスが持つセキュリティ機能を活用する。
  • 鍵を使わずなるべく ID 認証（マネージドID）を利用する。
  • WAFを利用する（ただしそれだけに依存しない）

• コンテナのベストプラクティス
  • CaaSは Managed 型のサービスを使う。
  • コンテナ・イメージの身元を確認する。
  • コンテナを管理者権限で実行しない。
  • コンテナを監視する。

運用管理作業（Administration） †

詳細 †

インフラ構築と運用 †

マイクロ・セグメンテーション †

中央統制と権限移譲 †

ID管理と認証・認可 †

システム構築とアプリ開発 †

開発プロセスへの折込 †

ツール、レビューなど。

設計とテスト †

• 脅威モデリング
• ペネトレーションテスト
• 脆弱性診断

自動化 †

IaC (Infrastructure as Code) ＋ DevOps

セキュリティ運用 †

検知 †

対応・復旧 †

改善 †

Fit & Gap †

1. エンプラでの慣例
2. W-AFでのスタンス
3. エンプラ・W-AF間の折衷案

NW 閉域性確保 †

NW 透明性確保 †

1. 到達経路の明確化（接続元をホワイトリスト的に絞る）が慣例。
2. W-AFには記載が無い（CDNは管理されている、...が透明性が無い）。
3. オンプレと同じ製品の仮想アプライアンス版を採用する。

権限分掌 †

1. 中央統制（野良クラウド発生の原因になる）が慣例。
2. W-AFでは柔軟な権限移譲を許可するスタンス
3. ２つの方法
   • 中央部門のスキルを向上させ対応を早める。
   • マイクロ・セグメンテーション＋権限移譲

管理者アカウントのPWDローテ †

1. 共有アカウント（root, administrator）
2. 個人アカウント（個人特定のため）
3. ２つの方法
   • 共有アカウントはオンプレ延伸環境（IaaS）で利用
   • 個人アカウントはクラウド環境（PaaS、SaaS）で利用

アプリの脆弱性 †

1. 軽視されている
2. 重視されている（ただし、実践は困難）
3. 人材育成とコンサル利用

管理端末の脆弱性 †

1. OA環境との分離を想定していないケースが多い。
2. 厳格なバードニング（堅牢化）が推奨されてる。
3. OA環境からの分離とバードニング（堅牢化）の推進

参考 †

Microsoft Docs †

• セキュリティの重要な要素の概要 - Azure Architecture Center
  https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/overview

nakama †

• Azure Well-Architected Framework : Security セクション概要解説

• YouTube?
  https://youtu.be/Z0gqDWX6VnE

• ppt、video
  https://nakama.blob.core.windows.net/mskk/2020_06_12_AzureW-AF_Security_v0.13.zip

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.053 sec.