LoginSignup
2

More than 1 year has passed since last update.

posted at

updated at

【忙しい人のための】Azureの基礎第4部【Azureのセキュリティ】

AzureについてMS Learnで勉強される場合、第4部は59分のラーニングパスになっています。
ここでは、自身の勉強の復習も兼ねて、MS Learn Azureの基礎第4部の要点をまとめておきますので、Azureの情報を素早く知りたいという方の参考になれば幸いです。
自身の勉強の力点を踏まえて記述するので、詳細な情報を得たい方はMS Learnにアクセスください。

本家様

第3部はこちら

第5部はこちら

Azureによるセキュリティ脅威からの防御

Azure Security Center

Azure Security Centerは、Azureとオンプレミスの両方で全てのサービスにわたってセキュリティ体制を可視化可能な監視サービス。
代表的な機能として、組織のセキュリティ体制の測定値であるセキュリティスコアを提供。
また、Azure Defenderを使えば

  • 規制コンプライアンスで業界標準に基づいた評価
  • セキュリティ関連の問題を管理者に通知するセキュリティアラート
  • リソースセキュリティの検疫

を提供。

Azure Sentinel

Azure Sentinelは、MicrosoftのクラウドベースでのSIEMシステム。
SIEMとは、複数のログ情報を統合してセキュリティデータを集計し、セキュリティ脅威の検出と脅威の対応に必要な追加機能を用意するもの。

主な機能の種類として、

  • 大規模なクラウドデータの収集
  • 以前に検出されなかった脅威の検出
  • 人工知能による脅威の調査
  • セキュリティインシデントへの迅速な対応

が存在。
Microsoftソリューションやその他のサービス及びアプリケーション、業界標準のデータソースへの接続に関するログ情報のような、セキュリティインシデントの分析に使用できる様々なデータソースをサポート。

脅威の検出の仕方として

  • 組み込み分析:MSのセキュリティ専門家が設計したテンプレートを使用
  • カスタム分析:環境内で特定の条件を検索するために作成するツール

が存在。
Azure Monitorプレイブックにより、脅威への対応を自動化。

Azure Key Vault

Azure Key Vaultは、アプリケーションの機密情報を中央の1ヶ所に保存するための1元的なクラウドサービス。
シークレット(パスワードなど)・暗号化キー・SSL/TLS証明書の管理や、ハードウェアセキュリティモジュールによってサポートされているシークレットの保存が可能。

Key Vaultを利用する利点として

  • アプリケーションのシークレットを一元管理
  • シークレットとキーを安全に保存可能
  • アクセスの管理と制御が可能
  • その他のAzureサービスとの統合

が存在。

Azure Dedicated Host

Azure Dedicated Hostは、Azure VMをホストする専用の物理サーバを提供するサービス。
専用の物理サーバ(専用ホスト)を利用することにより第三者のVMの影響を受けない。
他者とのハードウェア共有に関するコンプライアンス基準を満たすことも可能。

Azureのネットワークに関するセキュリティ

前提として、セキュリティには

  • 機密性:データへのアクセスは、権利を明示的に付与されたユーザのみが可能
  • 整合性:データへの不正な変更を禁止
  • 利用可能性:サービスの機能性を維持

の3要素を含む必要がある。

Azure Firewall

Azure Firewallは、複数の仮想ネットワークを管理可能はファイアウォール
ファイアウォールとは、ネットワークの送受信を監視し、定義されたルールに基づいて、特定のトラフィックを許可またはブロックするネットワークセキュリティ装置。
Azure Firewallでは、アプリケーションルールとネットワークルールで仮想ネットワーク内のリソースを保護。
ネットワークセキュリティグループやAzure DDoS Protectionのサービスと組み合わせて防御を強化可能。

Azure DDoS Protection

Azure DDoS Protectionは、DDoS攻撃からAzureリソースを保護するためのサービス。
DDoS攻撃とは、アプリケーションのサーバリソースを過剰に消費して使い尽くすことで、アプリケーションを遅延させたり、正当なユーザに対して応答不可能にしたりするサイバー攻撃手法。
MSのグローバルネットワークのスケールと弾力性があればDDoSは軽減可能。
サービスの可用性に影響が及ぶ前にAzureネットワークの境界でDDoS攻撃の可能性がありトラフィックは分析して破棄。

ネットワークセキュリティグループ(NSG)

NSGは、Azure仮想ネットワーク内でAzureリソースによって送受信されるネットワークトラフックのフィルタ処理が可能になる、内部的なファイアウォール。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
2