LoginSignup
0
0

More than 1 year has passed since last update.

@fsd-jumein株式会社船井総合研究所

Azure Administrator(AZ-104):Azure でのストレージの実装と管理「Azure Storageセキュリティのベストプラクティス」

Last updated at Posted at 2023-03-30

Microsoft Learnを用いたMicrosoft Azure Administrator(AZ-104)の試験内容をまとめる投稿です。
この投稿ではMicrosoft Learnで学ぶ内容をできるだけ簡潔にまとめております。
Azureの勉強を一から始め、AZ-900取得後の資格としてAZ-104取得を目指している方の参考になれば幸いです。
※AZ-900の内容は本投稿では省略しております。再度復習したい方は下記をご参照ください。
Azure Fundamentals(AZ-900):試験合格に向けた学習内容のまとめ

今回の学習内容

◆「Azure Storageセキュリティのベストプラクティス」
◇対応するMicrosoft Learn ラーニングパス
AZ-104:Azure でのストレージの実装と管理
◇対応するモジュール
Azure Storage セキュリティのベスト プラクティスを適用する

※前回の投稿は下記から確認できます。
Azure Administrator(AZ-104):Azure でのストレージの実装と管理「Azure Storageの暗号化」

Azure Storageセキュリティのベストプラクティス

アプリでSASを使用した際の潜在的なリスク

・SASが侵害された場合
⇒悪意あるユーザも含めて、取得した人はだれでも使用可能
・クライアントアプリに提供されたSASの有効期限が切れた場合
⇒アプリがサービスから新しいSASを取得できない場合はアプリの機能停止の可能性

SASを使用する際の推奨事項

◆作成と配布には常にHTTPSを使用
・SASがHTTP経由で渡されて傍受された場合
⇒中間者攻撃の実行者はSASを使用可能
⇒機密データの漏洩/データを破損される恐れがある

◆サービスSASの保存されているアクセスポリシーを使用
・ストレージアカウントキーを再生成せずに、SASのアクセス許可を失効可能
・ストレージアカウントキーの有効期限を遠い将来(または無期限)に設定を推奨

◆計画外のSASには短い有効期間を設定
・SASが侵害された場合の攻撃を軽減可能
・保存されているアクセスポリシーを参照できない時に重要
・短期間の有効期間はBLOBにアップロード可能な時間が制限
⇒BLOBに書き込むことのできるデータ量も制限

◆クライアントにSASの自動更新を要求
・クライアントに有効期限が切れるかなり前にSASを更新するよう要求
・早く更新した場合
⇒SASを提供するサービスが使用不可の時に再試行する時間が発生

◆SASの開始時刻を慎重に計画
・SASの開始時刻を現在時刻に設定した場合
⇒最初の数分間に断続的なエラーが発生する可能性あり
⇒コンピュータごとに現在時刻が若干異なるため(クロックスキュー)
・一般に、開始時刻は15分以上前になるよう設定
※または特定の開始時刻を設定しない
・一般的には有効期限も同様
⇒どの要求でも、前後に最大15分のクロックスキュー発生の可能性あり
・2012年2月12日より前のREST APIバージョン使用クライアントの場合
⇒保存されているアクセスポリシーを参照しないSASの最長期間は1時間
⇒1時間より長い期間を指定するポリシーはいずれも失敗

◆リソースの最小限のアクセス許可を定義
・セキュリティのベストプラクティス
⇒可能な限り少ないリソースへの必要最小限の権限をユーザに付与
・下記の場合に役立つ
 -攻撃者の管理下でのSASの機能低下
 -SASが侵害された場合の損害抑止

◆SASを含む使用量に対するアカウントの課金について理解
・BLOBへの読み取り/書き込みアクセスを許可した場合
 -ユーザが200GBのBLOBをアップロードする可能性あり
 -200GBのBLOBを10回ダウンロードする可能性あり
⇒2TBの送信料金が発生
・悪意あるユーザによるリスク軽減のため、制限付きアクセス許可を付与
・短期間のSASを使用(終了時刻のクロックスキューに注意)

◆SASを使って書き込まれたデータを検証
・クライアントアプリがストレージアカウントにデータを書き込む場合
⇒そのデータに問題がある可能性に注意
・アプリで検証済み/認可済みのデータが必要な場合
⇒データが書き込まれてからアプリで使用されるまでに検証を実施
・検証により下記の場合でも破損/悪意あるデータの書き込みからアカウントを保護
 -ユーザがSASを正当に入手している場合
 -漏洩したSASを利用している場合

◆SASを使用しない場合を認識
・ストレージアカウントに対する特定の操作に関連するリスク
⇒SASを利用する利点より重大である場合もあり
⇒下記の後にストレージアカウントに書き込む中間層サービスを作成
 -ビジネスルールの検証/認証/監査
・別の方法でアクセスを管理する方が容易な場合もあり
 -例:コンテナ内のすべてのBLOBが一般ユーザに読み取り可能な場合
 ⇒SASの提供ではなく、コンテナをパブリックにする

◆Azure Storage Analyticsでアプリを監視
・ログ/メトリックを使用して認証エラーの急増を観察可能
⇒下記により発生している可能性あり
 -利用中のSASプロバイダーサービスの停止
 -保存されているアクセスポリシーの誤削除

次の学習内容

◆ファイル共有やBLOBデータのためのストレージ比較

学習内容をまとめたページの一覧

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0