Microsoft Learnを用いたMicrosoft Azure Administrator(AZ-104)の試験内容をまとめる投稿です。
この投稿ではMicrosoft Learnで学ぶ内容をできるだけ簡潔にまとめております。
Azureの勉強を一から始め、AZ-900取得後の資格としてAZ-104取得を目指している方の参考になれば幸いです。
※AZ-900の内容は本投稿では省略しております。再度復習したい方は下記をご参照ください。
Azure Fundamentals(AZ-900):試験合格に向けた学習内容のまとめ
今回の学習内容
◆「Azure Storageセキュリティのベストプラクティス」
◇対応するMicrosoft Learn ラーニングパス
AZ-104:Azure でのストレージの実装と管理
◇対応するモジュール
Azure Storage セキュリティのベスト プラクティスを適用する
※前回の投稿は下記から確認できます。
Azure Administrator(AZ-104):Azure でのストレージの実装と管理「Azure Storageの暗号化」
Azure Storageセキュリティのベストプラクティス
アプリでSASを使用した際の潜在的なリスク
・SASが侵害された場合
⇒悪意あるユーザも含めて、取得した人はだれでも使用可能
・クライアントアプリに提供されたSASの有効期限が切れた場合
⇒アプリがサービスから新しいSASを取得できない場合はアプリの機能停止の可能性
SASを使用する際の推奨事項
◆作成と配布には常にHTTPSを使用
・SASがHTTP経由で渡されて傍受された場合
⇒中間者攻撃の実行者はSASを使用可能
⇒機密データの漏洩/データを破損される恐れがある
◆サービスSASの保存されているアクセスポリシーを使用
・ストレージアカウントキーを再生成せずに、SASのアクセス許可を失効可能
・ストレージアカウントキーの有効期限を遠い将来(または無期限)に設定を推奨
◆計画外のSASには短い有効期間を設定
・SASが侵害された場合の攻撃を軽減可能
・保存されているアクセスポリシーを参照できない時に重要
・短期間の有効期間はBLOBにアップロード可能な時間が制限
⇒BLOBに書き込むことのできるデータ量も制限
◆クライアントにSASの自動更新を要求
・クライアントに有効期限が切れるかなり前にSASを更新するよう要求
・早く更新した場合
⇒SASを提供するサービスが使用不可の時に再試行する時間が発生
◆SASの開始時刻を慎重に計画
・SASの開始時刻を現在時刻に設定した場合
⇒最初の数分間に断続的なエラーが発生する可能性あり
⇒コンピュータごとに現在時刻が若干異なるため(クロックスキュー)
・一般に、開始時刻は15分以上前になるよう設定
※または特定の開始時刻を設定しない
・一般的には有効期限も同様
⇒どの要求でも、前後に最大15分のクロックスキュー発生の可能性あり
・2012年2月12日より前のREST APIバージョン使用クライアントの場合
⇒保存されているアクセスポリシーを参照しないSASの最長期間は1時間
⇒1時間より長い期間を指定するポリシーはいずれも失敗
◆リソースの最小限のアクセス許可を定義
・セキュリティのベストプラクティス
⇒可能な限り少ないリソースへの必要最小限の権限をユーザに付与
・下記の場合に役立つ
-攻撃者の管理下でのSASの機能低下
-SASが侵害された場合の損害抑止
◆SASを含む使用量に対するアカウントの課金について理解
・BLOBへの読み取り/書き込みアクセスを許可した場合
-ユーザが200GBのBLOBをアップロードする可能性あり
-200GBのBLOBを10回ダウンロードする可能性あり
⇒2TBの送信料金が発生
・悪意あるユーザによるリスク軽減のため、制限付きアクセス許可を付与
・短期間のSASを使用(終了時刻のクロックスキューに注意)
◆SASを使って書き込まれたデータを検証
・クライアントアプリがストレージアカウントにデータを書き込む場合
⇒そのデータに問題がある可能性に注意
・アプリで検証済み/認可済みのデータが必要な場合
⇒データが書き込まれてからアプリで使用されるまでに検証を実施
・検証により下記の場合でも破損/悪意あるデータの書き込みからアカウントを保護
-ユーザがSASを正当に入手している場合
-漏洩したSASを利用している場合
◆SASを使用しない場合を認識
・ストレージアカウントに対する特定の操作に関連するリスク
⇒SASを利用する利点より重大である場合もあり
⇒下記の後にストレージアカウントに書き込む中間層サービスを作成
-ビジネスルールの検証/認証/監査
・別の方法でアクセスを管理する方が容易な場合もあり
-例:コンテナ内のすべてのBLOBが一般ユーザに読み取り可能な場合
⇒SASの提供ではなく、コンテナをパブリックにする
◆Azure Storage Analyticsでアプリを監視
・ログ/メトリックを使用して認証エラーの急増を観察可能
⇒下記により発生している可能性あり
-利用中のSASプロバイダーサービスの停止
-保存されているアクセスポリシーの誤削除
次の学習内容
◆ファイル共有やBLOBデータのためのストレージ比較
学習内容をまとめたページの一覧