Azure のセキュリティと言っても範囲が広すぎるので、 どこから … ·...
Transcript of Azure のセキュリティと言っても範囲が広すぎるので、 どこから … ·...
![Page 1: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/1.jpg)
「Azureのセキュリティと言っても範囲が広すぎるので、
どこから手を付けたら良いのか分からない!」
という方のためのセッション
CI17
![Page 2: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/2.jpg)
自己紹介
![Page 3: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/3.jpg)
本セッションについて
![Page 4: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/4.jpg)
機密性その情報を知る必要があるユーザー
のみがデータにアクセスできること
アクセス権の管理
データの暗号化
完全性情報が適切に処理され、
データが不正に変更されないこと
トランザクションの制御
デジタル署名
可用性システムが安定的に稼働し、
データがいつでも参照できること
災害対策(Disaster Recovery)
バックアップ
セキュリティの三要素
![Page 5: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/5.jpg)
TrustedProductiveIntelligentHybrid
![Page 6: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/6.jpg)
お問い合わせの多いご質問の傾向
オンプレミスとクラウドの違いとは何か?
実装方法
サービスの質問 使い方の質問 サード パーティ製品
![Page 7: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/7.jpg)
お問い合わせの多いご質問の傾向
オンプレミスとクラウドの違いとは何か?
実装方法
サービスの質問 使い方の質問 サード パーティ製品
![Page 8: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/8.jpg)
セキュリティのカテゴリーの関係性
インシデントレスポンス
![Page 9: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/9.jpg)
オンプレミスと Azure の大きな違い
アプリ担当
ミドルウェア担当
OS 担当
仮想化基盤担当
ネットワーク担当
アプリ担当
ミドルウェア担当
OS 担当
仮想化基盤担当
ネットワーク担当
![Page 10: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/10.jpg)
マイクロソフトと作業と責任を分担する
![Page 12: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/12.jpg)
Azure の中の人の対応状況を確認する
https://blogs.msdn.microsoft.com/appserviceteam/2018/01/18/demystifying-the-magic-behind-app-service-os-updates/
![Page 13: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/13.jpg)
サービスと作業
ネットワークの制御 可能 可能 インターネットのみ
TLS/暗号スイート OS の設定でフルカ
スタマイズが可能
限定的に可能 TLS のみ可能
セキュリティ
アップデートの作業
ユーザー マイクロソフト マイクロソフト
運用コスト 大 中 小
マイクロソフトに任せるか?自分で実装するか?
![Page 14: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/14.jpg)
サービスと作業
ネットワークの制御 可能 可能 インターネットのみ
TLS/暗号スイート OS の設定でフルカ
スタマイズが可能
限定的に可能 TLS のみ可能
セキュリティ
アップデートの作業
ユーザー マイクロソフト マイクロソフト
運用コスト 大 中 小
マイクロソフトに任せるか?自分で実装するか?
![Page 15: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/15.jpg)
• システムに関わる人・アプリと役割の定義
• 役割に応じた適切な権限の設定
• ID とアクセス権の集中管理
• 強固な認証方式の提供
ID とアクセス管理
データの管理
ネットワーク
機密性・完全性への対応
![Page 16: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/16.jpg)
ID とアクセス管理
• 機密データの検出とラベリング
• データを安全に制御
• 暗号化
• 不正なプログラムからの防御
データの管理
ネットワーク
機密性・完全性への対応
![Page 17: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/17.jpg)
ID とアクセス管理
データの管理
• イントラネットとインターネットの境界
• アクセスを許可するポートの制御
• 通信を許可するアプリケーションの識別
• 通信の暗号化
ネットワーク
機密性・完全性への対応
Azure
Virtual Network
Azure
Express Route
Network
Security Group
Azure
Application Gateway
![Page 18: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/18.jpg)
• ID 基盤の冗長化
ID とアクセス管理
• 複製、バックアップ機能の利用
データの管理
• 複数リージョンとの接続
• リージョンを超えたロード バランシング
ネットワーク
可用性への対応
Azure Backup
Azure AD
Azure
Traffic Manager
Azure
VNET Peering
Azure
VPN Gateway
![Page 19: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/19.jpg)
セキュリティの三要素が満たされた状態を保つ
ID とアクセス管理
データの管理
ネットワーク
• 構成情報、変更の監視
構成の標準化
• 構成変更・アクセス ログ
行動の記録と監査
• 関係者への報告
• インシデント対応
インシデント レスポンス
![Page 20: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/20.jpg)
CIS Microsoft Azure Foundations Security Benchmark
https://azure.microsoft.com/en-us/resources/cis-microsoft-azure-foundations-security-benchmark/
![Page 21: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/21.jpg)
サード パーティ製品の利用
192.168.0.0/24 からの
Web アクセスのみ許可
192.168.0.0/24 内の PC
インターネット
HTTP/HTTPS OK
RDP NG
全ての通信 NG
![Page 22: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/22.jpg)
Demo
![Page 23: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/23.jpg)
デモ環境で検出された主な脅威
![Page 24: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/24.jpg)
オープン API プラットフォーム“Resonatex” を例にしたクラウド セキュリティの考え方
CI17
![Page 25: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/25.jpg)
Resonatex とは
金融機関をはじめとした様々な企業体のオープン API を
セキュアに公開。
API 利用企業と API 提供企業をつなぎ、API エコノミーの
実現を支援するオープン API プラットフォーム サービス。http://www.unisys.co.jp/news/nr_170926_resonatex.html
![Page 26: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/26.jpg)
Resonatex とは
地公体金融機関A 異業種
Fintech 異業種 IoT・Big DataAPI 利用
サービス
エンド ユーザー(消費者・企業)
自社アプリ
API 公開
プラット
フォーム
API 提供
サービス
共通アカウント”AduME”
認可エンジン
所有権管理(オーナーシップマネジメント)
「ResonatexTM」
金融機関 B
![Page 27: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/27.jpg)
• Microsoft Azure プラットフォーム上にセキュアな VNET を構成
• その中に IaaS(Virtual Machines)で機能構築 +
いくつかの PaaS(API 管理:Azure API Management、
OAuth 2.0 認可:Authlete 等)を利用
• API を公開する企業群とは閉域ネットワーク(ExpressRoute)で接続
Resonatexのシステム構成
![Page 28: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/28.jpg)
• スピード・コスト・セキュリティ、そのためのクラウド
• インターネット上の脅威、より優れた技術、凄まじいスピードで進化
• 変化の激しい分野においては、オープン イノベーションの考え方で
よりよいものを組み合わせ、進化させつつ対応していくことが最適解
自前主義はナンセンス
• そもそも API はオープン イノベーションのための実装技術
そのためのプラットフォームで全自前主義で頑張っても無意味
なぜ Resonatexはクラウドなのか?
![Page 29: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/29.jpg)
• ネットワーク セキュリティの観点から見ると、Resonatex はいわば
企業システムとインターネットの境界面・セキュリティ防護層
• セキュリティ実装の詳細は、残念ながら公開できませんが。。
金融機関に求められるレベルのセキュリティ要件をベースに、
Azure で提供されるもの、その他のもの、色々と組み合わせて実現
Resonatexのセキュリティ
![Page 30: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/30.jpg)
① オンプレでのベスト プラクティスはそのままでは通用しない• 例えば。。
IPS はオンプレではインライン接続で設置するのが定石だが。。
クラウド上でのセキュリティ確保の留意点
Internet 内部 NetworkIPS/IDSFirewall
![Page 31: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/31.jpg)
① オンプレでのベスト プラクティスはそのままでは通用しない• クラウドの場合、物理的な「インライン」設置は不可
➢インライン接続的な動作を実現するため、外部からの通信を
一旦 IPS にルーティングした上で内部 NW に流す構成とした
クラウド上でのセキュリティ確保の留意点
Internet 内部 NetworkIPS/IDSFirewall
![Page 32: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/32.jpg)
② PaaS には注意• 運用・保守を気にすることなく機能利用できる PaaS は非常に便利
• 一方、種々の制限/落とし穴もある たとえば。。
クラウド上でのセキュリティ確保の留意点
![Page 33: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/33.jpg)
② PaaS には注意(つづき)• セキュアな VNET を構成しても、PaaS の DB サービスである
Azure SQL Database はその VNET の中に置けなかった(※次ページ注)
Azure SQL Database としても種々のセキュリティ対策は可能だが
それだけでは要件に合わない場合は IaaS で実装要
クラウド上でのセキュリティ確保の留意点
セキュアな内部 Network
…
![Page 34: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/34.jpg)
③ でもクラウドはどんどん進化します• どんどん新しいサービスができ、既存サービスも改善されていく(改悪/廃止もままある。。)
• 前ページ記載の 「SQL Database を自 VNET 内に置けない問題」 も
今年になってある程度解決
➢クラウドにおけるベスト プラクティスはどんどん変わっていくため
常に動向に注意し、上手く対応していくことが重要
クラウド上でのセキュリティ確保の留意点
![Page 35: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/35.jpg)
まとめ:実践していただきたい事
![Page 36: Azure のセキュリティと言っても範囲が広すぎるので、 どこから … · 「Azure のセキュリティと言っても範囲が広すぎるので、 ... 本セッションについて.](https://reader033.fdocuments.net/reader033/viewer/2022050105/5f4382f15b150235220a61cb/html5/thumbnails/36.jpg)
© 2018 パロアルトネットワークス株式会社 All rights reserved.
本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。
本情報の内容 (添付文書、リンク先などを含む) は、de:code 2018 開催日 (2018年5月22~23日) 時点のものであり、予告なく変更される場合があります