12月は、毎日 Microsoft Learn を受講していこうという記録。
※受講後に書き込むので公開に間に合わないこと多々あります(アドベントカレンダーの意味w)
12/24 は
Azure におけるセキュリティ、責任、信頼
- クラウドのセキュリティは共同責任
を受講。以下、簡易メモ。
Azure におけるセキュリティ、責任、信頼
クラウドのセキュリティは共同責任
データセンターのセキュリティ保護に関して多くの課題に直面している。
セキュリティ専門家の採用と維持、多くのセキュリティ ツールの使用、脅威の量と複雑さに後れを取らないことなどが含まれる。
セキュリティは共同責任である
IaaS の場合は、最下位レベルのサービスを利用し、Azure に仮想マシン(VM)と仮想ネットワークを作成するように要求する。
このレベルでは、オペレーティング システムおよびソフトウェアに対してパッチを適用すること、これらをセキュリティで保護すること、さらにセキュリティで保護されるようにネットワークを構成することはユーザー側の責任となる。
PaaS の場合は、オペレーティングシステムおよび最も基本的なソフトウェア (データベース管理システムなど) に対応する。
キュリティで保護された複雑なシステムをアップまたはダウン状態にしたり、必要に応じてそれらのシステムをスケーリングしたりすることができる。
Saas の場合は、ユーザーが制御するクラウドコンポーネント(サービスの種類によって異なる)を保護する責任がある。
・データ
・エンドポイント
・アカウント
・アクセス管理
セキュリティに対する階層型アプローチ
多層防御は、情報への不正なアクセスを目的とする攻撃の進行を遅らせる一連のメカニズムを採用する戦略。
各層で保護が提供されるため1つの層が破られた場合、後続の層は既に備えができており、さらなる露出を防ぐことができる。
多層防御は、同心円状の輪のセットとして視覚化でき、データは中央でセキュリティ保護される。
各輪では、データに関するセキュリティ層が追加される。
データ
データが確実に適切なセキュリティで保護されるように格納し、データへのアクセスを制御する必要がある。
アプリケーション
アプリケーション開発のライフ サイクルにセキュリティを統合することは、コードにおける脆弱性の数を減らすのに役立つ。
開発チームが確実に既定でアプリケーションをセキュリティで保護するようにし、セキュリティ要件を交渉の余地のないものにする。
コンピューティング
コンピューティングリソースを必ずセキュリティで保護すること、セキュリティ問題を最小限に抑えるべく適切な管理体制を敷くことに重点的に取り組む。
ネットワーク
リソース全体でのネットワーク接続を制限し、必要なもののみを許可することに重点を置く。
この通信を制限することで、ご利用のネットワーク全体の侵入拡大のリスクを軽減することができる。
境界
攻撃を識別し、影響を排除し、これらの発生時に警告することは、ネットワークを安全に保つために重要。
ID とアクセス
ID がセキュリティで保護されていることと、付与されたアクセス権のみが必要であることと、変更がログに記録されていることを確認することに集中する。
物理的なセキュリティ
物理的なセキュリティの目的は、資産へのアクセスに対する物理的な保護措置を講じること。 これより、他の層をバイパスできなくなり、損失や盗難が適切に処理される。