Azureで守るマルチクラウド @tomoyamachi

ターゲット 1. クラウドサービスを守るための基礎知識がほしい 2. Microsoftが提供するセキュリティサービスが多いので整理したい 3. 複数のクラウドサービス(IaaS/PaaS)を効率よく管理したい

目次 1. 自己紹介 2. クラウドセキュリティの領域を図をつかって説明 3. Microsoftサービスを利用した場合を図で説明 4. 事例紹介 Azureをメインで利用していない場合の改善事例 ※ Azure XXXXというサービスであっても、Microsoftサービスと表記します ※ 今回、Endpoint Deviceのセキュリティは対象外です

自己紹介 @tomoyamachi (Tomoya Amachi) Microsoftとの関係 自作OSS (Dockle) をGitHub Actionsにして 利用者を増やしてくれたので一方的に好き 昨年末からMicrosoftのサービスについて学び始めて、無料でいくつか資格取得

クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合

クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 ● サーバー/アプリケーションのソフトウェア脆弱性 ● サーバー/アプリケーションの設定による脆弱性 ● 外部からの侵入を検知し、防御 ● ふるまい検知による不正プロセス検知 ● 許可していないアクションの検知

クラウドセキュリティの領域 CSPM: Cloud Security Posture Management セキュリティリソースの一覧と、設定の監視 ● クラウドにあるリソースの管理台帳 ● 設定変更の際に、ポリシー違反を監視 ○ CIS Benchmark ○ PCI DSS など

クラウドセキュリティの領域 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 ● 監査ログ, アプリケーションログ, ネットワークトラフィックなどを集め る ● データをもとに脅威を検出 ○ 事前に定義したしきい値で検知する方法 ○ ふるまいを学習し、アノマリーな挙動を検知する方法

クラウドセキュリティの領域 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 ● 対応プロセスの自動化 ○ 脅威の共有/連絡 ○ 事前に定義した状態への移行 ■ 設定などの修復 ■ 脅威対象のブロック

クラウドセキュリティの領域 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合 ● すべての通信に対し、検証を行う ○ 本人かどうかをコンテキストで判断 ● クラウドサービスアクセスの可視化と制御 ● 機密データの漏洩防止 ● サンドボックスを用意し、マルウェアのダウンロードを防止

クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合

Microsoftサービスで実現するクラウドセキュリティ CWPP: ワークロードの保護 Azure Arc (VM, マシン, K8s, DB), Microsoft Defender for Cloud統合 CSPM: リソースの把握と設定の監視 Microsoft Defender for Cloud (AWS, GCP, Azureのみ) SIEM: セキュリティに関する情報収集と分析 Microsoft Sentinel SOAR: 特定した問題への対応を自動化 Azure Logic Apps SASE: ネットワーク通信の秘匿化、安全性チェック Azure ADでのSSOと、Defender for Cloud Appsを利用することで、利用 しているサイトの把握と、アクセス制御ができる。 ただし、SASEの機能をすべて実現できるわけではない。

ここまでのまとめ ● 代表的なクラウドセキュリティの領域として、 CWPP, CSPM, SIEM, SOAR, SASEがある ● Microsoftのサービスだけで、 代表的なクラウドセキュリティサービスをカバーできる ○ 他のクラウドサービスの情報も統合できる

事例紹介 ● Google Workspaceをメインで利用 ○ 今後もWorkspaceを利用したい ● AWS / GCP / Azureをそれぞれ管理 ○ 検証環境などを共有している

Microsoftサービスを利用して改善 ● ユーザプロビジョニング/SSOにより、 管理すべきIDを集約 ● 利用者ごとに検証環境を自動作成 ● Microsoft Defender for Cloudを利用 ○ 指示通りに連携すれば、自動で CSPMを 実行し、CWPPのエージェントをデプロイし てくれる ○ 新規作成した環境にも自動で適用してく れる ● Microsoft Sentinelにログを集約 ○ コネクタを利用することで簡単に導入 ○ syslogを利用することで、社内機器もログ 送信可能 ● Logic Appsを利用して、 発見できた課題を当事者に連絡

評価 ● Google WorkspaceアカウントをメインのIDで利用しながら、 Microsoftサービスを組み合わせることでセキュリティを向上できる ○ Context-Aware Accessで、デバイス、場所などのコンテキスト情報に基づきアクセス制御 ○ 各サービスへのログインでは、 SSOを強制する。 その際に必要なリソースは、 User Provisioningなどで自動作成できる ● 環境を細かく区切ることで、リソースの責任者が明確になる ○ 利用者ごとの検証環境 (可能なかぎり権限を渡す ) ○ 複数人で共有する場合は、別途それぞれ環境をつくる (最小権限を都度申請 ) ● Microsoftサービスを利用し、環境が多くても、セキュリティ保全できる ○ 検証段階から、セキュリティの課題を発見できる ● Logic Appsを利用しセキュリティの課題に対して、責任者に連絡できる ○ 今後、知見が溜まれば、自動で修復なども行いたい

Microsoft / Azureのセキュリティ学習に役立つ資料 Microsoft Cybersecurity リファレンス アーキテクチャ https://learn.microsoft.com/ja-jp/security/cybersecurity-reference-architecture/mcra Product Name Changes: サービス名の変更履歴がわかる https://m365maps.com/renames.htm