Azure のセキュリティと言っても範囲が広すぎるので どこから手を付けたら良いのか分からない! という方のためのセッション CI17
自己紹介
本セッションについて
セキュリティの三要素 機密性 完全性 可用性 その情報を知る必要があるユーザーのみがデータにアクセスできること情報が適切に処理され データが不正に変更されないことシステムが安定的に稼働し データがいつでも参照できること アクセス権の管理データの暗号化トランザクションの制御デジタル署名災害対策 (Disaster Recovery) バックアップ
Productive Intelligent Trusted Hybrid
お問い合わせの多いご質問の傾向 オンプレミスとクラウドの違いとは何か? 実装方法 サービスの質問使い方の質問サードパーティ製品
お問い合わせの多いご質問の傾向 オンプレミスとクラウドの違いとは何か? 実装方法 サービスの質問使い方の質問サードパーティ製品
セキュリティのカテゴリーの関係性 インシデントレスポンス
オンプレミスと Azure の大きな違い アプリ担当 ミドルウェア担当 OS 担当 アプリ担当ミドルウェア担当 OS 担当仮想化基盤担当ネットワーク担当 仮想化基盤担当 ネットワーク担当
マイクロソフトと作業と責任を分担する
Azure の中の人の対応状況を確認する https://servicetrust.microsoft.com/
Azure の中の人の対応状況を確認する https://blogs.msdn.microsoft.com/appserviceteam/2018/01/18/demystifying-themagic-behind-app-service-os-updates/
マイクロソフトに任せるか? 自分で実装するか? サービスと作業 ネットワークの制御可能可能インターネットのみ TLS/ 暗号スイート セキュリティアップデートの作業 OS の設定でフルカスタマイズが可能 限定的に可能 TLS のみ可能 ユーザーマイクロソフトマイクロソフト 運用コスト大中小
マイクロソフトに任せるか? 自分で実装するか? サービスと作業 ネットワークの制御可能可能インターネットのみ TLS/ 暗号スイート セキュリティアップデートの作業 OS の設定でフルカスタマイズが可能 限定的に可能 TLS のみ可能 ユーザーマイクロソフトマイクロソフト 運用コスト大中小
機密性 完全性への対応 ID とアクセス管理 システムに関わる人 アプリと役割の定義 役割に応じた適切な権限の設定 ID とアクセス権の集中管理 強固な認証方式の提供データの管理ネットワーク
機密性 完全性への対応 ID とアクセス管理データの管理 機密データの検出とラベリング データを安全に制御 暗号化 不正なプログラムからの防御ネットワーク
機密性 完全性への対応 ID とアクセス管理 データの管理 ネットワーク イントラネットとインターネットの境界 アクセスを許可するポートの制御 通信を許可するアプリケーションの識別 Azure Virtual Network Azure Express Route Network Security Group 通信の暗号化 Azure Application Gateway
可用性への対応 ID とアクセス管理 ID 基盤の冗長化データの管理 複製 バックアップ機能の利用 Azure AD Azure Backup ネットワーク 複数リージョンとの接続 リージョンを超えたロードバランシング Azure Traffic Manager Azure VNET Peering Azure VPN Gateway
セキュリティの三要素が満たされた状態を保つ ID とアクセス管理 データの管理 ネットワーク 構成の標準化 構成情報 変更の監視行動の記録と監査 構成変更 アクセスログ インシデントレスポンス 関係者への報告 インシデント対応
CIS Microsoft Azure Foundations Security Benchmark https://azure.microsoft.com/en-us/resources/cis-microsoft-azure-foundations-security-benchmark/
サードパーティ製品の利用 HTTP/HTTPS OK 192.168.0.0/24 内の PC RDP NG インターネット 全ての通信 NG 192.168.0.0/24 からの Web アクセスのみ許可
Demo
デモ環境で検出された主な脅威
オープン API プラットフォーム Resonatex を例にしたクラウドセキュリティの考え方 CI17
Resonatex とは 金融機関をはじめとした様々な企業体のオープン API をセキュアに公開 API 利用企業と API 提供企業をつなぎ API エコノミーの実現を支援するオープン API プラットフォームサービス http://www.unisys.co.jp/news/nr_170926_resonatex.html
Resonatex とは API 利用 サービス 自社アプリ エンドユーザー ( 消費者 企業 ) Fintech 異業種 IoT Big Data Resonatex TM API 公開 プラット フォーム 共通アカウント AduME 認可エンジン所有権管理 ( オーナーシップマネジメント ) API 提供 サービス 金融機関 A 金融機関 B 異業種 地公体
Resonatex のシステム構成 Microsoft Azure プラットフォーム上にセキュアな VNET を構成 その中に IaaS(Virtual Machines) で機能構築 + いくつかの PaaS(API 管理 :Azure API Management OAuth 2.0 認可 :Authlete 等 ) を利用 API を公開する企業群とは閉域ネットワーク (ExpressRoute) で接続
なぜ Resonatex はクラウドなのか? スピード コスト セキュリティ そのためのクラウド インターネット上の脅威 より優れた技術 凄まじいスピードで進化 変化の激しい分野においては オープンイノベーションの考え方でよりよいものを組み合わせ 進化させつつ対応していくことが最適解自前主義はナンセンス そもそも API はオープンイノベーションのための実装技術そのためのプラットフォームで全自前主義で頑張っても無意味
Resonatex のセキュリティ ネットワークセキュリティの観点から見ると Resonatex はいわば企業システムとインターネットの境界面 セキュリティ防護層 セキュリティ実装の詳細は 残念ながら公開できませんが 金融機関に求められるレベルのセキュリティ要件をベースに Azure で提供されるもの その他のもの 色々と組み合わせて実現
クラウド上でのセキュリティ確保の留意点 1 オンプレでのベストプラクティスはそのままでは通用しない 例えば IPS はオンプレではインライン接続で設置するのが定石だが Internet Firewall IPS/IDS 内部 Network
クラウド上でのセキュリティ確保の留意点 1 オンプレでのベストプラクティスはそのままでは通用しない クラウドの場合 物理的な インライン 設置は不可 インライン接続的な動作を実現するため 外部からの通信を一旦 IPS にルーティングした上で内部 NW に流す構成とした Internet Firewall IPS/IDS 内部 Network
クラウド上でのセキュリティ確保の留意点 2 PaaS には注意 運用 保守を気にすることなく機能利用できる PaaS は非常に便利 一方 種々の制限 / 落とし穴もあるたとえば
クラウド上でのセキュリティ確保の留意点 2 PaaS には注意 ( つづき ) セキュアな VNET を構成しても PaaS の DB サービスである Azure SQL Database はその VNET の中に置けなかった ( 次ページ注 ) セキュアな内部 Network Azure SQL Database としても種々のセキュリティ対策は可能だがそれだけでは要件に合わない場合は IaaS で実装要
クラウド上でのセキュリティ確保の留意点 3 でもクラウドはどんどん進化します どんどん新しいサービスができ 既存サービスも改善されていく ( 改悪 / 廃止もままある ) 前ページ記載の SQL Database を自 VNET 内に置けない問題 も今年になってある程度解決 クラウドにおけるベストプラクティスはどんどん変わっていくため常に動向に注意し 上手く対応していくことが重要
まとめ : 実践していただきたい事
2018 パロアルトネットワークス株式会社 All rights reserved. 本コンテンツの著作権 および本コンテンツ中に出てくる商標権 団体名 ロゴ 製品 サービスなどはそれぞれ 各権利保有者に帰属します 本情報の内容 ( 添付文書 リンク先などを含む ) は de:code 2018 開催日 (2018 年 5 月 22~23 日 ) 時点のものであり 予告なく変更される場合があります