Azure Well-Architected Framework - Security
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Azure Well-Architected Framework]]
--[[FgCF (Financial-grade Cloud Fundamentals)]]
* 目次 [#v53c60a8]
#contents
*概要 [#n44a8d8f]
俯瞰すると、以下のようにサマリ出来るらしい。+[[基礎>Azur...
**インフラ構築と運用 [#e7a684e0]
***[[マイクロ・セグメンテーション>FgCF (Financial-grade C...
***中央統制と権限移譲 [#b34fd96d]
オンプレ → クラウド(Azureでは
***ID管理と認証・認可 [#jd3adc13]
オンプレ → クラウド(Azureでは
**システム構築とアプリ開発 [#he4bbbe9]
***開発プロセスへの折込 [#x01dfcb3]
ツール、レビューなど。
***設計とテスト [#eb00af99]
-脅威モデリング
--STRIDE分析
--OWASP Threat Dragon プロジェクト
-[[脆弱性テスト>脆弱性対策のポイント]]
--[[ネットワーク脆弱性対策]]
--[[Webアプリケーション脆弱性対策]]
***自動化 [#u23a763d]
[[IaC (Infrastructure as Code)]] + [[DevOps]]
**セキュリティ運用 [#h9e2775f]
[[ISMS>https://dotnetdevelopmentinfrastructure.osscons.jp...
***検知 [#za852bfd]
オンプレ → クラウド(Azureでは
***対応・復旧 [#b37f4d2b]
オンプレ → クラウド(Azureでは
***改善 [#qbfde9a9]
オンプレ → クラウド(Azureでは
*詳細 [#cc2ade5d]
**原則 [#i886d158]
***責任共有モデル [#d597c3c8]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
-物理Data Center~
"信ぜよ、されど確認せよ"
-ソフトウェア
--インフラ・ミドル
---Software Defined Everything(SDx)
---Software Defined Data Center(SDDC)
--アプリケーション
---[[ゼロトラスト>FgCF (Financial-grade Cloud Fundamental...
---[[設計とテスト>#eb00af99]]を実施
***設計原則 [#g852d1fc]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
-要件
--セキュリティの優先順位をミッションに整合させる
--包括的な戦略を構築する
-設計
--シンプルさを促進する
--攻撃者を念頭に置いて設計する
--ネイティブの制御を活用する
--ID を主要なアクセス制御として使用する
--アカウンタビリティ(真正性、責任追跡性、否認防止、信頼...
--自動化を採用する
--情報の保護に注力する
--回復力を考慮して設計する
--ゼロトラストを前提とする
-運用
--ベースラインとベンチマーク
--継続的な改善を推進する
--セキュリティ教育を奨励する
**基本 [#qcac5b70]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
***経験とデータを活用 [#sb0bb94e]
-Security Intelligence Report~
https://www.microsoft.com/en-us/security/business/securit...
***[[脅威モデリング>#eb00af99]]を活用 [#w3036be1]
***規制当局のセキュリティ標準 [#pd0da941]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
-規制当局のセキュリティ標準に準拠
-クラウドを想定しないケースがある。
***リスク低減するセキュリティ戦略 [#h1dcc5ba]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
-攻撃のためのハードルを上げる
-攻撃が成功した際の軽減・回復方法
--多層防衛
--早期の検知と対応
-攻撃をうまくコントロール
--最小特権付与
--短い有効期間
--検知&無効化
--アクセス先毎の権限の細分化
**役割と分担 [#yae9266d]
ガバナンス・リスク・コンプライアンス(GRC)
***ガバナンス [#q995ca14]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
-検討事項
--セキュリティ機能別の役割
---ネットワーク・セキュリティ
---ネットワーク管理
---サーバ VM のセキュリティ
---インシデント監視・対応
---ポリシー管理
---ID 管理
--企業部門毎の[[マイクロ・セグメンテーション>#h80b6684]]
-中央(統括部門)側の作業
--VM のセキュリティ確保
--インシデント通知の受け取り
--よく知られたリスクの検知・修復
--侵入テスト、古いプロトコルの検出
--定期的なアクセス監査
--不正な ID 利用の監視
--その他
---環境の作成と管理の自動化
---各種ベンチマークによる体制評価
---ポリシー準拠の監査と適用
--関連する機能
---[[Azure Policy]]~
グループポリシーのAzure版
---[[Azure Security Center>Azureの監視と管理#ya8d8b14]]~
・VMのパッチ適用漏れ~
・VMのネット直接続~
・セキュリティ・スコア~
---Azure ADアクセス レビュー~
グループ メンバ・アプリのアクセスを可視化および制御
---[[Azure Blueprints]]~
ARM、RBAC、ポリシーなどの成果物を~
パッケージ化、デプロイを簡略化する。~
---[[Azure Sentinel]]~
SIEM機能、SOAR機能、UEBA機能~
https://docs.microsoft.com/ja-jp/azure/sentinel/overview
---高度なセキュリティ機能~
・Azure 専用 HSM~
・Azure Confidential Computing
-権限分掌設計
--コア・サービス~
Hub VNET, ADDS, DNS/DHCPの作成と管理~
中央(統括部門)側でも権限を持ち、管理
---セキュリティチーム
---ポリシー管理チーム
---ネットワーク管理チーム
---緊急事態用アカウント
---中央 IT 運用チーム
--部門サービス~
Spoke VNET, 業務システムの作成と管理~
中央(統括部門)側でも適切に権限を持ち、管理
---セキュリティチーム
---ポリシー管理チーム
---ネットワーク管理チーム
---緊急事態用アカウント
---IT 運用チーム
---アプリケーション管理者
>※ 緊急事態用アカウント : Break Glass Account~
[[条件付きアクセス>Azure Active Directory 条件付きアク...
***リスク [#i1127931]
保護対象に対する攻撃が成功する確率と影響
***コンプライアンス [#t2753c5d]
-標準、組織、管理、法規制
-例:ISO27001、NIST、PCI DSS
**設計と実装 [#ja4b966e]
***ID 管理とアクセス管理 [#x9cefe05]
[[Azure AD>Microsoft Azure Active Directory]]
-単一ディレクトリ利用~
([[運用管理作業用アカウントの話>#m42786be]])
-ID同期の設計~
(強権限 ID は同期しない)
-外部ディレクトリの利用~
(B2B/B2C の利用)
-認証
--パスワード保護対策機能の利用
--レガシー認証のブロック、~
パスワードレス認証、2FA/MFA
--SSO の実施(SAML、OIDC)
-条件付きアクセス
-攻撃シミュレーションの実施
***境界型ネットワークから脱却 [#zc6a6285]
-[[マイクロ・セグメンテーション>#h80b6684]]
-適切なインターネットエッジ戦略
--[[Azure Firewall]]
--[[Azure Application Gateway]](WAF)
--NVA(アプライアンス)
***ネットワーク・セキュリティ [#ma0a7e26]
-[[NIDS / NIPS / NDLP>https://dotnetdevelopmentinfrastruc...
-ネットワーク通信の可視化~
Azure Sentinel(SIEM)によるログ統合
--NSG ログ
--WAF のログ
--仮想ネットワークタップ
--Azure Network Watcher
-IP アドレス設計
-[[AzureのDDoS対策]]
-強制トンネリング(オンプレ迂回)を避ける
--通信量の増大
--レイテンシの悪化
--コストの増加
***ストレージ・データ・暗号化 [#y7b61612]
-ストレージアクセスに利用する認証方式の選択
-プラットフォーム暗号化サービスを無効化しない
-仮想マシンの VHD ファイルを保護
--VHD ファイルに適切な認証・認可を設定
--ADE (Azure Disk Encryption)でディスク暗号化
***アプリケーションとサービス [#r87d7e8c]
-守りかたの基礎~
他に比べて圧倒的に重要(≒ いくらインフラで守ってもアプリ...
--スコープの際を意識する。
---IaaS
---PaaS/CaaS
---SaaS
--リスクの高い部分を意識して対策する。
--DevOps アプローチを採用する。~
Secure DevOps Kit for Azure
-2つのアプローチ
--ボトムアップ : ソフトウェア開発ライフサイクル(SDLC)
--トップダウン : [[脅威モデリング>#w3036be1]]
-設計・実装上のポイント
--基本的なセキュリティ機能を自力実装しない、~
各サービスが持つセキュリティ機能を活用する。
--鍵を使わずなるべく ID 認証([[Managed ID>Azure Managed ...
--WAFを利用する(ただしそれだけに依存しない)
-コンテナのベストプラクティス
--CaaSは Managed 型のサービスを使う。
--コンテナ・イメージの身元を確認する。
--コンテナを管理者権限で実行しない。
--コンテナを監視する。
***運用管理作業(Administration) [#m42786be]
作業特権アクセスの厳格な管理
-ベストプラクティス
--オンプレ / クラウド
---オンプレミス AD~
https://docs.microsoft.com/ja-jp/windows-server/identity/...
---クラウド AzAD~
https://docs.microsoft.com/ja-jp/azure/security/fundament...
--柱
---人材
---認証
---最小特権
---特権アクセス端末
--カテゴリ
---アカウント設計~
高い特権作業用に、別のアカウントを用意する。~
・コンシューマ・アカウントを使わない~
・AD LAPS、[[AzAD PIM>Azure AD Privileged Identity Manage...
などの利用~
・OA系の権限を剥奪(Web、Office)。~
・オンプレとクラウドの管理を適切に分断(同期しない)(→ [...
・緊急事態用アカウントを用意しておく(→ [[既出>#q995ca14]...
---アカウント利用~
・パスワードレス認証やMFAの義務付け~
・条件付きアクセスの強制~
・ライフサイクル管理の確立~
・利用ユーザの教育
---作業端末~
・[[ハードニング(堅牢化)>FgCF (Financial-grade Cloud Fu...
・一般:専用端末、ハイセキュリティ端末~
・高権限:隔離端末、特権アクセス端末(PAW : Privileged ...
・機能~
・MDATP~
・Microsoft Intune~
・Windows Autopilot~
・Azure Sentinel~
・参考:https://docs.microsoft.com/ja-jp/security/compass...
---権限設計・権限付与~
・特権付与が必要なアカウント数を管理し減らす。~
・細かすぎる権限付与を避ける。~
・最小特権付与も程々に。~
・グループを活用する。~
・管理グループ(サブスクリプションを上回る)~
・[[リソース・グループ>Azure Subscriptionの管理手順@...
・特権を永続的に付与しない。~
([[AzAD PIM>Azure AD Privileged Identity Management (P...
・カスタム・ロールの利用を避ける。~
基本的にはビルトインのロールを活用する。
***セキュリティ運用(SO) [#y7d32a3a]
-脅威
--自動攻撃や繰り返し攻撃
--人手による攻撃([[標的型攻撃>https://dotnetdevelopmenti...
-対策
--Detect(検出)
--Respond(応答)
--Recover(復旧)
-ベストプラクティス
--企業全体を俯瞰したセキュリティ運用を行う
--クラウドネイティブのセキュリティ機能を使う
--SIEM に入れる[[アラート>Azure Alerts]]やログを適切に選...
---ツール([[Azure Security Center>Azureの監視と管理#ya8d...
---SIEM (Azure Sentinel, Splunk, QRader など)で情報を可...
--セキュリティ運用の目標と数値指標を定義する。~
参考:https://www.microsoft.com/security/blog/2019/02/21/...
*Fit & Gap [#va90ab1c]
+エンプラでの慣例
+W-AFでのスタンス
+エンプラ・W-AF間の折衷案
**NW 閉域性確保 [#h329f2f7]
+入出力の閉域化。
+入力のみの閉域化。
+折衷案
--インフラ・システム
---[[マイクロ・セグメンテーション>#h80b6684]]
---[[ハードニング(堅牢化)された作業端末>#m42786be]]
--アプリケーションとサービス~
[[脆弱性テスト>#eb00af99]]
**NW 透明性確保 [#p9cee50f]
+到達経路の明確化(接続元をホワイトリスト的に絞る)が慣例。
+W-AFには記載が無い(CDNは管理されている、...が透明性が無...
+オンプレと同じ製品の仮想アプライアンス版を採用する。
**権限分掌 [#k36a5084]
+中央統制(野良クラウド発生の原因になる)が慣例。
+W-AFでは柔軟な権限移譲を許可するスタンス
+2つの方法
--中央部門のスキルを向上させ対応を早める。
--[[マイクロ・セグメンテーション>#h80b6684]]+権限移譲
**管理者アカウントのPWDローテ [#r1e1cbe7]
+共有アカウント(root, administrator)
+個人アカウント(個人特定のため)
+2つの方法
--共有アカウントは[[オンプレ延伸>FgCF (Financial-grade Cl...
--個人アカウントはクラウド環境(PaaS、SaaS)で利用
**アプリの脆弱性 [#hff745a4]
+軽視されている
+重視されている(ただし、実践は困難)
+人材育成とコンサル利用
**管理端末の脆弱性 [#i1e70b23]
+OA環境との分離を想定していないケースが多い。
+厳格なバードニング(堅牢化)が推奨されてる。
+OA環境からの分離とバードニング(堅牢化)の推進
*参考 [#h30bf41f]
**Microsoft Docs [#caf57eee]
-セキュリティの重要な要素の概要 - Azure Architecture Cent...
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
**nakama [#e0a197ad]
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure Well-...
-YouTube~
https://www.youtube.com/watch?v=Z0gqDWX6VnE
-video、ppt~
https://nakama.blob.core.windows.net/mskk/2020_06_12_Azur...
※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Azure Well-Architected Framework]]
--[[FgCF (Financial-grade Cloud Fundamentals)]]
* 目次 [#v53c60a8]
#contents
*概要 [#n44a8d8f]
俯瞰すると、以下のようにサマリ出来るらしい。+[[基礎>Azur...
**インフラ構築と運用 [#e7a684e0]
***[[マイクロ・セグメンテーション>FgCF (Financial-grade C...
***中央統制と権限移譲 [#b34fd96d]
オンプレ → クラウド(Azureでは
***ID管理と認証・認可 [#jd3adc13]
オンプレ → クラウド(Azureでは
**システム構築とアプリ開発 [#he4bbbe9]
***開発プロセスへの折込 [#x01dfcb3]
ツール、レビューなど。
***設計とテスト [#eb00af99]
-脅威モデリング
--STRIDE分析
--OWASP Threat Dragon プロジェクト
-[[脆弱性テスト>脆弱性対策のポイント]]
--[[ネットワーク脆弱性対策]]
--[[Webアプリケーション脆弱性対策]]
***自動化 [#u23a763d]
[[IaC (Infrastructure as Code)]] + [[DevOps]]
**セキュリティ運用 [#h9e2775f]
[[ISMS>https://dotnetdevelopmentinfrastructure.osscons.jp...
***検知 [#za852bfd]
オンプレ → クラウド(Azureでは
***対応・復旧 [#b37f4d2b]
オンプレ → クラウド(Azureでは
***改善 [#qbfde9a9]
オンプレ → クラウド(Azureでは
*詳細 [#cc2ade5d]
**原則 [#i886d158]
***責任共有モデル [#d597c3c8]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
-物理Data Center~
"信ぜよ、されど確認せよ"
-ソフトウェア
--インフラ・ミドル
---Software Defined Everything(SDx)
---Software Defined Data Center(SDDC)
--アプリケーション
---[[ゼロトラスト>FgCF (Financial-grade Cloud Fundamental...
---[[設計とテスト>#eb00af99]]を実施
***設計原則 [#g852d1fc]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
-要件
--セキュリティの優先順位をミッションに整合させる
--包括的な戦略を構築する
-設計
--シンプルさを促進する
--攻撃者を念頭に置いて設計する
--ネイティブの制御を活用する
--ID を主要なアクセス制御として使用する
--アカウンタビリティ(真正性、責任追跡性、否認防止、信頼...
--自動化を採用する
--情報の保護に注力する
--回復力を考慮して設計する
--ゼロトラストを前提とする
-運用
--ベースラインとベンチマーク
--継続的な改善を推進する
--セキュリティ教育を奨励する
**基本 [#qcac5b70]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
***経験とデータを活用 [#sb0bb94e]
-Security Intelligence Report~
https://www.microsoft.com/en-us/security/business/securit...
***[[脅威モデリング>#eb00af99]]を活用 [#w3036be1]
***規制当局のセキュリティ標準 [#pd0da941]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
-規制当局のセキュリティ標準に準拠
-クラウドを想定しないケースがある。
***リスク低減するセキュリティ戦略 [#h1dcc5ba]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
-攻撃のためのハードルを上げる
-攻撃が成功した際の軽減・回復方法
--多層防衛
--早期の検知と対応
-攻撃をうまくコントロール
--最小特権付与
--短い有効期間
--検知&無効化
--アクセス先毎の権限の細分化
**役割と分担 [#yae9266d]
ガバナンス・リスク・コンプライアンス(GRC)
***ガバナンス [#q995ca14]
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
-検討事項
--セキュリティ機能別の役割
---ネットワーク・セキュリティ
---ネットワーク管理
---サーバ VM のセキュリティ
---インシデント監視・対応
---ポリシー管理
---ID 管理
--企業部門毎の[[マイクロ・セグメンテーション>#h80b6684]]
-中央(統括部門)側の作業
--VM のセキュリティ確保
--インシデント通知の受け取り
--よく知られたリスクの検知・修復
--侵入テスト、古いプロトコルの検出
--定期的なアクセス監査
--不正な ID 利用の監視
--その他
---環境の作成と管理の自動化
---各種ベンチマークによる体制評価
---ポリシー準拠の監査と適用
--関連する機能
---[[Azure Policy]]~
グループポリシーのAzure版
---[[Azure Security Center>Azureの監視と管理#ya8d8b14]]~
・VMのパッチ適用漏れ~
・VMのネット直接続~
・セキュリティ・スコア~
---Azure ADアクセス レビュー~
グループ メンバ・アプリのアクセスを可視化および制御
---[[Azure Blueprints]]~
ARM、RBAC、ポリシーなどの成果物を~
パッケージ化、デプロイを簡略化する。~
---[[Azure Sentinel]]~
SIEM機能、SOAR機能、UEBA機能~
https://docs.microsoft.com/ja-jp/azure/sentinel/overview
---高度なセキュリティ機能~
・Azure 専用 HSM~
・Azure Confidential Computing
-権限分掌設計
--コア・サービス~
Hub VNET, ADDS, DNS/DHCPの作成と管理~
中央(統括部門)側でも権限を持ち、管理
---セキュリティチーム
---ポリシー管理チーム
---ネットワーク管理チーム
---緊急事態用アカウント
---中央 IT 運用チーム
--部門サービス~
Spoke VNET, 業務システムの作成と管理~
中央(統括部門)側でも適切に権限を持ち、管理
---セキュリティチーム
---ポリシー管理チーム
---ネットワーク管理チーム
---緊急事態用アカウント
---IT 運用チーム
---アプリケーション管理者
>※ 緊急事態用アカウント : Break Glass Account~
[[条件付きアクセス>Azure Active Directory 条件付きアク...
***リスク [#i1127931]
保護対象に対する攻撃が成功する確率と影響
***コンプライアンス [#t2753c5d]
-標準、組織、管理、法規制
-例:ISO27001、NIST、PCI DSS
**設計と実装 [#ja4b966e]
***ID 管理とアクセス管理 [#x9cefe05]
[[Azure AD>Microsoft Azure Active Directory]]
-単一ディレクトリ利用~
([[運用管理作業用アカウントの話>#m42786be]])
-ID同期の設計~
(強権限 ID は同期しない)
-外部ディレクトリの利用~
(B2B/B2C の利用)
-認証
--パスワード保護対策機能の利用
--レガシー認証のブロック、~
パスワードレス認証、2FA/MFA
--SSO の実施(SAML、OIDC)
-条件付きアクセス
-攻撃シミュレーションの実施
***境界型ネットワークから脱却 [#zc6a6285]
-[[マイクロ・セグメンテーション>#h80b6684]]
-適切なインターネットエッジ戦略
--[[Azure Firewall]]
--[[Azure Application Gateway]](WAF)
--NVA(アプライアンス)
***ネットワーク・セキュリティ [#ma0a7e26]
-[[NIDS / NIPS / NDLP>https://dotnetdevelopmentinfrastruc...
-ネットワーク通信の可視化~
Azure Sentinel(SIEM)によるログ統合
--NSG ログ
--WAF のログ
--仮想ネットワークタップ
--Azure Network Watcher
-IP アドレス設計
-[[AzureのDDoS対策]]
-強制トンネリング(オンプレ迂回)を避ける
--通信量の増大
--レイテンシの悪化
--コストの増加
***ストレージ・データ・暗号化 [#y7b61612]
-ストレージアクセスに利用する認証方式の選択
-プラットフォーム暗号化サービスを無効化しない
-仮想マシンの VHD ファイルを保護
--VHD ファイルに適切な認証・認可を設定
--ADE (Azure Disk Encryption)でディスク暗号化
***アプリケーションとサービス [#r87d7e8c]
-守りかたの基礎~
他に比べて圧倒的に重要(≒ いくらインフラで守ってもアプリ...
--スコープの際を意識する。
---IaaS
---PaaS/CaaS
---SaaS
--リスクの高い部分を意識して対策する。
--DevOps アプローチを採用する。~
Secure DevOps Kit for Azure
-2つのアプローチ
--ボトムアップ : ソフトウェア開発ライフサイクル(SDLC)
--トップダウン : [[脅威モデリング>#w3036be1]]
-設計・実装上のポイント
--基本的なセキュリティ機能を自力実装しない、~
各サービスが持つセキュリティ機能を活用する。
--鍵を使わずなるべく ID 認証([[Managed ID>Azure Managed ...
--WAFを利用する(ただしそれだけに依存しない)
-コンテナのベストプラクティス
--CaaSは Managed 型のサービスを使う。
--コンテナ・イメージの身元を確認する。
--コンテナを管理者権限で実行しない。
--コンテナを監視する。
***運用管理作業(Administration) [#m42786be]
作業特権アクセスの厳格な管理
-ベストプラクティス
--オンプレ / クラウド
---オンプレミス AD~
https://docs.microsoft.com/ja-jp/windows-server/identity/...
---クラウド AzAD~
https://docs.microsoft.com/ja-jp/azure/security/fundament...
--柱
---人材
---認証
---最小特権
---特権アクセス端末
--カテゴリ
---アカウント設計~
高い特権作業用に、別のアカウントを用意する。~
・コンシューマ・アカウントを使わない~
・AD LAPS、[[AzAD PIM>Azure AD Privileged Identity Manage...
などの利用~
・OA系の権限を剥奪(Web、Office)。~
・オンプレとクラウドの管理を適切に分断(同期しない)(→ [...
・緊急事態用アカウントを用意しておく(→ [[既出>#q995ca14]...
---アカウント利用~
・パスワードレス認証やMFAの義務付け~
・条件付きアクセスの強制~
・ライフサイクル管理の確立~
・利用ユーザの教育
---作業端末~
・[[ハードニング(堅牢化)>FgCF (Financial-grade Cloud Fu...
・一般:専用端末、ハイセキュリティ端末~
・高権限:隔離端末、特権アクセス端末(PAW : Privileged ...
・機能~
・MDATP~
・Microsoft Intune~
・Windows Autopilot~
・Azure Sentinel~
・参考:https://docs.microsoft.com/ja-jp/security/compass...
---権限設計・権限付与~
・特権付与が必要なアカウント数を管理し減らす。~
・細かすぎる権限付与を避ける。~
・最小特権付与も程々に。~
・グループを活用する。~
・管理グループ(サブスクリプションを上回る)~
・[[リソース・グループ>Azure Subscriptionの管理手順@...
・特権を永続的に付与しない。~
([[AzAD PIM>Azure AD Privileged Identity Management (P...
・カスタム・ロールの利用を避ける。~
基本的にはビルトインのロールを活用する。
***セキュリティ運用(SO) [#y7d32a3a]
-脅威
--自動攻撃や繰り返し攻撃
--人手による攻撃([[標的型攻撃>https://dotnetdevelopmenti...
-対策
--Detect(検出)
--Respond(応答)
--Recover(復旧)
-ベストプラクティス
--企業全体を俯瞰したセキュリティ運用を行う
--クラウドネイティブのセキュリティ機能を使う
--SIEM に入れる[[アラート>Azure Alerts]]やログを適切に選...
---ツール([[Azure Security Center>Azureの監視と管理#ya8d...
---SIEM (Azure Sentinel, Splunk, QRader など)で情報を可...
--セキュリティ運用の目標と数値指標を定義する。~
参考:https://www.microsoft.com/security/blog/2019/02/21/...
*Fit & Gap [#va90ab1c]
+エンプラでの慣例
+W-AFでのスタンス
+エンプラ・W-AF間の折衷案
**NW 閉域性確保 [#h329f2f7]
+入出力の閉域化。
+入力のみの閉域化。
+折衷案
--インフラ・システム
---[[マイクロ・セグメンテーション>#h80b6684]]
---[[ハードニング(堅牢化)された作業端末>#m42786be]]
--アプリケーションとサービス~
[[脆弱性テスト>#eb00af99]]
**NW 透明性確保 [#p9cee50f]
+到達経路の明確化(接続元をホワイトリスト的に絞る)が慣例。
+W-AFには記載が無い(CDNは管理されている、...が透明性が無...
+オンプレと同じ製品の仮想アプライアンス版を採用する。
**権限分掌 [#k36a5084]
+中央統制(野良クラウド発生の原因になる)が慣例。
+W-AFでは柔軟な権限移譲を許可するスタンス
+2つの方法
--中央部門のスキルを向上させ対応を早める。
--[[マイクロ・セグメンテーション>#h80b6684]]+権限移譲
**管理者アカウントのPWDローテ [#r1e1cbe7]
+共有アカウント(root, administrator)
+個人アカウント(個人特定のため)
+2つの方法
--共有アカウントは[[オンプレ延伸>FgCF (Financial-grade Cl...
--個人アカウントはクラウド環境(PaaS、SaaS)で利用
**アプリの脆弱性 [#hff745a4]
+軽視されている
+重視されている(ただし、実践は困難)
+人材育成とコンサル利用
**管理端末の脆弱性 [#i1e70b23]
+OA環境との分離を想定していないケースが多い。
+厳格なバードニング(堅牢化)が推奨されてる。
+OA環境からの分離とバードニング(堅牢化)の推進
*参考 [#h30bf41f]
**Microsoft Docs [#caf57eee]
-セキュリティの重要な要素の概要 - Azure Architecture Cent...
https://docs.microsoft.com/ja-jp/azure/architecture/frame...
**nakama [#e0a197ad]
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure Well-...
-YouTube~
https://www.youtube.com/watch?v=Z0gqDWX6VnE
-video、ppt~
https://nakama.blob.core.windows.net/mskk/2020_06_12_Azur...
※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
ページ名: