本記事について
本記事では、普段の Azure のプリセールスエンジニアとしての業務の中で、よく必要になる Azure のプラットフォームのセキュリティ関連のドキュメントをまとめます。
Azure のセキュリティのドキュメント
docs のなかで、Azure のセキュリティに関係するドキュメントのまとめサイトです。
https://docs.microsoft.com/ja-jp/azure/security/
クラウドにおける共同責任
クラウドセキュリティのベースになる、責任共有モデルが改めて語られています。
クラウドに移行してセキュリティを強化したい場合、下記の考え方が重要になります。
クラウドは、長年の情報セキュリティの課題を解決するための大きな利点を提供します。 オンプレミス環境では、組織は責任を果たしきれず、セキュリティに投資できるリソースが限られていることが多いため、攻撃者がすべての階層で脆弱性を悪用できる環境が生まれています。
次の図は、リソースが限られているために多くのセキュリティ責任が満たされていない従来のアプローチを示しています。 クラウド対応のアプローチでは、日々のセキュリティ責任をクラウド プロバイダーにシフトし、お客様のリソースを再割り当てすることができます。
クラウド対応のアプローチでは、クラウドベースのセキュリティ機能を活用して有効性を高め、クラウド インテリジェンスを使用して脅威の検出と応答時間を向上させることもできます。 クラウド プロバイダーに責任をシフトすることで、セキュリティの適用範囲を広げることができるため、これまでセキュリティに費やしてきたリソースと予算を、事業のその他の優先事項に割り当てることができます。
Azure インフラストラクチャのセキュリティ
上記の中で、特に Azure インフラストラクチャのセキュリティをまとめたドキュメントです。
データセンターのセキュリティや、Azure のネットワーク、セキュリティ運用の方法などが丁寧にまとめられています。
アーキテクチャセンター - セキュリティの重要な要素の概要
マイクロソフト側というよりも、Azure のユーザー側についての情報ですが、アーキテクチャセンターには、Azure を利用する際のセキュリティのアーキテクチャとして何を考慮すべきかがまとめられています。
トラストセンター
マイクロソフトのトラストセンターには、監査レポートをはじめ、多くの客観的なレポートを確認することができます。
Microsoft のデータ管理
Azure における顧客データの取り扱いの方法やサービス終了時のデータ破棄の手順、データのロケーションについての情報がまとめられています。
Microsoft Azure — Where is my customer data?
Azure の各サービスで、どのロケーションにデータが置かれるかについてはこちらのサイトでまとめられています。
監査レポート
こちらには、各監査のレポートがおかれています。
SOC 2 Type 2 レポート
中でも、AICPA (American Institute of Certified Public Accountants) の Trust Service Principles and Criteria に基づいて CSP のシステムの有効性を評価した SOC 2 Type 2 レポートからは、多くの場合で必要とされるプラットフォーム側のセキュリティ対策についての情報を得ることができます。
侵入テスト関連
Microsoft Cloud Red Teaming
Microsoft が管理するクラウド インフラストラクチャ、サービス、およびアプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施の詳細についてまとめられています。
Microsoft Azure Commercial Penetration Test Report 20190613
Azureプラットフォームへの侵入テストのレポートを手に入れることができます。47ページにもわたる詳細な報告書になっています。
最後に
ほとんど個人的な備忘録ですが、Azure のプラットフォームのセキュリティ関連のリンクをまとめてみました。
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。