ITとかCockatielとか

技術のこととか。飼鳥(オカメインコ)のこととか。気になったこととか。基本的には備忘録。

Azure セキュリティ

Azure セキュリティ

共同責任

  • クラウドのセキュリティはクラウド事業者とユーザーとの共同責任である。
    • AWSにおける「共有責任モデル」に該当。
  • 次の項目はデプロイ方法に関わらず、すべてユーザーの責任となる。
    • データ
    • エンドポイント
    • アカウント
    • アクセス管理

セキュリティに対する階層型アプローチ

  1. 物理的なセキュリティ
  2. IDとアクセス
  3. 境界
  4. ネットワーク
  5. コンピューティング
  6. アプリケーション
  7. データ

f:id:sik_bug:20200711114707p:plain

Microsoft Learn 24日目 - Qiita

📘Azure Security Center

  • Azure Security Center | Microsoft Azure
  • Azure Security Center とは | Microsoft Docs
  • Azure Security Center について勉強してみた - メモログ
  • 脅威の監視サービス
  • アクティブにすることで、監視エージェントがAzure仮想マシンに自動デプロイされる。
  • VM、ネットワーク、アプリケーション等を監視し、セキュリティに関する推奨事項を提供する。(何項目が対応されているのかもわかる)
    • Azure Adviserはこのサービスの一部機能。(無償範囲)
  • ISO27001、PCI DSS 基準などでもチェックできる。
  • インシデント対応プロセス(検出・評価・診断・安定化・閉じる)のうち、検出、評価、診断で活用できる。
  • プラン
    • Free
      Azureリソースの評価と推奨のみを行う。
    • Standard
      継続的な監視、脅威の検出、ポートの Just-In-Time アクセス制御など、セキュリティ関連のサービス一式を提供する。

Azure 暗号化

対象・非対称

  • 対象暗号化
    • データの暗号化、復号化を同一キーで行う。
  • 非対称暗号化
    • 公開鍵と秘密鍵のペアが利用される。

暗号化のタイミング

  • 保存時
    • データの保存時に暗号化する。
      復号のためのキーやシークレットが取得できなければ復号化は難しい。
  • 通信中
    • 通信中データを暗号化することで盗聴を防止する。

Azure Storage Service Encryption

  • Azure Storage プラットフォームにおいて、データ保存時に透過的に暗号化を行う。

Azure Disk Encryption

透過的なデータ暗号化(TDE)

  • Azure SQL Database、Azure Data Warehouse において透過的なデータの暗号化、復号化を行う機能。

📘Azure Key Vault

  • Key Vault | Microsoft Azure
  • Azure Key Vault の概要 - Azure Key Vault | Microsoft Docs
  • 主な機能
    • シークレット管理:
      シークレット(トークン、キー、証明書など)を保護するサービス。保管庫として利用できる。
    • キー管理:
      暗号化で利用するキーの作成・制御。
    • 証明書の管理:
      TLS/SSL証明書のプロビジョニング・管理・デプロイ。
    • HSM(ハードウェア・セキュリティ・モジュール)に基づくシークレットの格納:
      シークレットとキーをソフトウェアまたはHSM(FIPS140-2 レベル2 検証済み)で保護する。

Azure 証明書

概要

  • Azure上で利用される証明書は、x.509 v3 である。
  • 信頼された証明機関による証明、自己署名のいずれも可能。

証明書の種類

  • サービス証明書
  • 管理証明書