こんにちは、さとうです、

2021年6月17日にMicrisoftのクラウドサービス、Azureで利用可能なセキュリティのサービスについて説明している
「Azure で利用できるセキュリティ サービスとテクノロジ」
が公開されています。
(適宜更新されていると思われます)
※AWSについては「133.AWSのセキュリティサービスについて」をご参照ください。


ここでは、セキュリティサービスを大きく以下のカテゴリに分けています。

・Azure の全般的なセキュリティ
・ストレージのセキュリティ
・データベースのセキュリティ
・ID 管理とアクセス管理
・バックアップと障害復旧
・ネットワーク


以下に内容を見ていきます。

■Azure の全般的なセキュリティ
(ここは少し細かく見ていきます)
Azure Security Center
ハイブリッド クラウド ワークロード全体でセキュリティ管理高度な脅威保護を実現するクラウドのワークロードを保護するソリューションです。
現在ではAzure Security Center と Azure Defender は Microsoft Defender for Cloud と呼ばれているそうです。
この中身は以下の通りです。
・継続的な評価:セキュリティ スコア(現在のセキュリティの状況を一目で確認できるようにするスコアリングする)
・セキュリティ保護:セキュリティに関する推奨事項(推奨事項の優先順位付きの一覧を表示する)
・防御:セキュリティアラート(環境のいずれかの領域で脅威が検出されるとアラートを生成する)

Azure Key Vault
パスワード、接続文字列およびアプリの動作に必要なその他の情報を格納するセキュリティで保護された機密データ ストアです。
この中身は以下の通りです。
シークレットの管:トークン、パスワード、証明書、API キー、その他のシークレットを安全に格納し、それらへのアクセスを厳密に制御できる。
キー管理:データの暗号化に使用される暗号化キーの作成と制御が行える。
証明書の管理:パブリックおよびプライベートのTLS/SSL証明書を簡単にプロビジョニング、管理、デプロイできる。

Azure Monitor ログ
アプリとリソースの操作の分析情報を提供する、製品利用統計情報およびその他のデータを収集する、クエリ言語および分析エンジンを提供する監視サービスです。 単独で使用することも、Security Center などのその他のサービスと共に使用することもできます。
この中身は以下の通りです。
Log Analytics: Azure portal 内で、ログクエリを編集したり、その結果を対話形式で分析したりするための主要なツール
ログの警告ルール:ワークスペースのデータの問題を事前に特定する。 各警告ルールは、定期的に自動実行されるログクエリに基づく
Workbooks:さまざまな視覚化を使用したログクエリの結果を、Azure portal の対話形式のビジュアル レポートに含める
Azureダッシュボード:クエリの結果を Azureダッシュボードにピン留めすることで、ログとメトリックのデータをまとめて視覚化し、必要に応じて、他のAzure ユーザーと共有することができる
Logic Apps:自動ワークフローでログクエリの結果を使用する
PowerShell:コマンド ラインまたは Invoke-AzOperationalInsightsQuery を使用する Azure Automation Runbook からのログ クエリの結果を、PowerShellスクリプトで使用する
Azure Monitor Logs API:任意の REST API クライアントのワークスペースからログ データを取得する

Azure Dev/Test Lab
無駄を最小限に抑え、コストを管理しつつ、Azure で迅速に環境を作成するためのサポートを開発者とテスト担当者に提供するサービスです。
この中身は以下の通りです。
・再利用可能なテンプレートとアーティファクトを使用することで、Windows と Linux の環境をすばやくプロビジョニングする
・デプロイパイプラインと DevTestラボを簡単に統合し、オンデマンドの環境をプロビジョニングする
・複数のテストエージェントをプロビジョニングしてロードテストをスケール アップし、トレーニングおよびデモの事前プロビジョニング済み環境を作成する


■ストレージのセキュリティ
(ここは少し細かく見ていきます)
Azure Storage Service Encryption
Azure ストレージのデータを自動的に暗号化するセキュリティ機能です。
Azure Storage内のデータを、256ビットAES 暗号化を使って透過的に暗号化を行う(FIPS 140-2に準拠している)

StorSimple のハイブリッドストレージの暗号化
オンプレミスのデバイスと Azure クラウド ストレージ間のストレージ タスクを管理する統合ストレージ ソリューションです。
StorSimple Device Manager サービスを使用してStorSimple Virtual Array のセキュリティ設定を構成、管理する(クラウドでの暗号化には、Microsoft Azure API を利用する)

Azure のクライアント側の暗号化
Microsoft Azure Storage にアップロードする前にクライアント アプリケーション内のデータを暗号化するクライアント側の暗号化ソリューションです。ダウンロード中には、データを復号化します。
ストレージ クライアント ライブラリは AES を使用して、ユーザー データを暗号化する

Azure Storage Shared Access Signature(SAS)
Shared Access Signature(SAS)を使用すると、ストレージ アカウント内のリソースへの委任アクセスが可能になります。
クライアントがデータにアクセスする方法をきめ細かく制御できる。
 -クライアントがアクセスできるリソース
 -それらのリソースに対するアクセス許可
 -SAS が有効である期間

Azure ストレージ アカウント キー
ストレージ アカウントへのアクセス時に、Azure ストレージの認証で使用されるアクセス制御メソッドです。
クライアントは、アカウントアクセスキーまたはAzure ADアカウントのいずれかを使用して、ストレージ アカウントへの要求を承認できる (既定)。 この設定を無効にすると、アカウントアクセスキーによる承認はできなくなる

SMB 3.0 の暗号化を使用した Azureファイル共有
ネットワークで、サーバー メッセージ ブロック (SMB) ファイル共有プロトコルの自動的な暗号化を有効にするネットワーク セキュリティ テクノロジです。

Azure Storage Analytics
ストレージ アカウントのデータのログとメトリックを生成するテクノロジです。
・ログに記録される要求ステータス メッセージの例
 -Success
 -AnonymousSuccess
 -AnonymousClientOtherError
 -ServerOtherError
・ログに記録される操作の例
 -キャンセル
 -閉じる
 -作成
 -書き込み


■データベースのセキュリティ
Azure SQL Firewall
データベースへのネットワーク経由の攻撃から保護するためのネットワークのアクセス制御機能です。

Azure SQL Cell Level Encryption
詳細なレベルで暗号化を提供するデータベース セキュリティ テクノロジです。

Azure SQL 接続暗号化
SQL Database では、セキュリティを提供するために、IP アドレスで接続を制限するファイアウォール規則、ユーザーに ID の指定を要求する認証メカニズム、およびユーザーを特定の操作とデータに限定する承認メカニズムによって、アクセスを制御します。

Azure SQL Always Encryption (Azure SQL の常時暗号化)
Azure SQL Database や SQL Server データベースに格納された、クレジット カード番号や国民識別番号 (米国の社会保障番号など) のような機密データを保護することを目的とした機能です。

Azure SQL Transparent Data Encryption
データベース全体のストレージを暗号化するデータベース セキュリティ機能です。

Azure SQL Database 監査
データベース イベントを追跡し、それを Azure Storage アカウントの監査ログに書き込むデータベース監査機能です。


■ID 管理とアクセス管理
Azure  ロールベースの アクセス制御
組織内でのロールに基づき、必要なリソースのみにアクセスすることをユーザーに許可するアクセス制御機能です。

Azure Active Directory
マルチテナントのクラウドベースのディレクトリと Azure 内で複数の ID 管理サービスをサポートするクラウド ベースの認証リポジトリです。

Azure Active Directory B2C
Azure ベースのアプリケーションの使用時に、顧客のサインアップ、サインイン、プロファイル管理を制御する ID 管理サービスです。

Azure Active Directory Domain Services
Active Directory Domain Services のクラウドベースのマネージド バージョンです。

Azure AD Multi-Factor Authentication
セキュリティで保護された情報へのアクセスを許可する前に、いくつかの異なる認証および検証形式が使用されるセキュリティ対応の機能です。

■バックアップと障害復旧
Azure Backup
Azure クラウドのデータをバックアップおよび復元するために使用される Azure ベースのサービスです。

Azure Site Recovery
物理マシンと仮想マシン (VM) で実行中のワークロードでエラーが発生した場合にその復旧を可能にする、プライマリ サイトからセカンダリ ロケーションにワークロードをレプリケートするオンライン サービスです。

■ネットワーク
Network Security Groups
タプルが 5 つ使用された、意思決定を許可または拒否することができるネットワーク ベースのアクセス制御機能です。

Azure VPN Gateway
Azure Virtual Network へのクロスプレミス アクセスを許可する VPN エンドポイントとして使用されるネットワーク デバイスです。

Azure Application Gateway
URL に基づいてルーティングし、SSL オフロードを実行できる、高度な Web アプリケーション ロード バランサーです。

Web アプリケーション ファイアウォール (WAF)
一般的な脆弱性やその悪用から Web アプリケーションを一元的に保護する Application Gateway の機能です。

Azure Load Balancer
TCP/UDP アプリケーション ネットワーク ロード バランサーです。

Azure ExpressRoute
オンプレミス ネットワークと Azure Virtual Network 間の専用 WAN リンクです。

Azure の Traffic Manager
グローバルな DNS ロード バランサーです。

Azure アプリケーション プロキシ
オンプレミスでホストされている Web アプリケーションのリモート アクセスをセキュリティで保護するための認証フロントエンドです。

Azure Firewall
Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。

Azure DDoS Protection
アプリケーション設計のベスト プラクティスと組み合わせることにより、DDoS 攻撃に対する防御が提供されます。

仮想ネットワーク サービス エンドポイント
直接接続によって、仮想ネットワークのプライベート アドレス空間と VNet の ID が Azure サービスまで拡張されます。



以上に挙げたものは、Azureが提供するセキュリティサービスの代表的なもので、詳細に見ていくと他にも様々なサービスがあります。
例えば、Azure Firewallの上位サービスであるAzure Firewall Premiumには、TLS インスペクション、IDS/IPS(シグネチャベース)、URLフィルタリング(HTTP と HTTPS の両方に対応可能)などのサービスも含みます。
またほかにも、DDoS ProtectionについてはDDoS Protection Basic は最初からデフォルトで組み込まれていて、上位サービスであるAzure DDoS Protection Standardは有償となります。

とはいえ、Azure自体が提供するセキュリティサービスにも対応可能な部分と不可能な部分があるため、コスト面だけに注目するのではなく、サービスがカバーする範囲もよく見極めて選択する必要があります。



さとう