Azure Data Lake Storage Gen 2 security recommendation

Transcript

1. Azure Data Lake Storage Gen2 の セキュリティの推奨事項について Microsoft MVP for

   Data Platform 永田 亮磨 Twitter:@ryomaru0825 Linkedin:ryoma-nagata-0825 Qiita:qiita.com/ryoma-nagata

2. • スピーカーおよびセッションの背景 • エンプラ系の基盤構築を業務にしているアーキテクトが、 Data Lake Storage Gen2をセキュアに使うために整理した内容です。 • 対象者

   • Azure Data Lake Storage Gen2（Blob Storage）を使用する方々 • ゴール • Azure Data Lake Storage Gen2（Blob Storage）のセキュリティ推奨事項 の内容と目的を理解する 本セッションについて

3. • セキュリティの観点 • Azure Data Lake Storage Gen2(Blog Storage)の セキュリティ推奨事項

   • セキュリティ評価のための標準（ベンチマーク） 時間の都合上一部詳細を割愛するかもしれません AGENDA

4. 共有責任モデル クラウド利用者はどの部分でセキュリティを検討することが必要か？ • クラウドにおける共同責任 - Microsoft Azure | Microsoft Docs

   • セキュリティを検討するうえで、どの部分に ついて保護の責任が生じるのかを理解し たうえで対策を講じる必要がある • ITインフラ→Microsoft • コンテンツ、アクセス管理→利用者 • Azure Storage のようなPaaSサービス ではOSより上の層で セキュリティ対策が必要 情報およびデータ モバイル端末やPC ID,アカウント情報 ID管理基盤 アプリのセキュリティ ネットワーク制御 OS保護 ホスト環境の物理保護 ネットワークの物理保護 データセンターの物理保護 共有 顧客 常に顧客側に取扱い責任 が発生 利用サービスにより異なる 常に提供者に責任を委任

5. • NIST CSF(サイバーセキュリティフレー ムワーク)であれば、左のような分類が ある • 特に防御～対応についてシステム的な 対策箇所が多い • システムはアクションにつなげるための前提

   や、ツール的立ち位置が基本だが、 防御についてはシステム設定自体がアク ションであることが多い セキュリティの基本的観点 • セキュリティ関連NIST文書：IPA 独立行政法人 情報処理推進機構 識別 • 「資産管理」、「ビジネス環境」、「ガバナンス」、「リスクアセスメント」、「リスクマネジ メント戦略」、「サプライチェーンリスクマネジメント」 防御 • 「アイデンティティ管理とアクセス制御」、「意識向上およびトレーニング」、「データセ キュリティ」、「情報を保護するためのプロセスおよび手順」、「保守」、「保護技術」 検知 • 「異常とイベント」、「セキュリティの継続的なモニタリング」、「検知プロセス」 対応 • 「対応計画の作成」、「コミュニケーション」、「分析」、「低減」、「改善」 復旧 • 「復旧計画の作成」、「改善」、「コミュニケーション」

6. 対応例 識別 • 「資産管理」、「ビジネス環境」、「ガバナンス」、「リスクアセスメント」、「リスクマネジ メント戦略」、「サプライチェーンリスクマネジメント」 防御 • 「アイデンティティ管理とアクセス制御」、「意識向上およびトレーニング」、「データセ キュリティ」、「情報を保護するためのプロセスおよび手順」、「保守」、「保護技術」 検知

   • 「異常とイベント」、「セキュリティの継続的なモニタリング」、「検知プロセス」 対応 • 「対応計画の作成」、「コミュニケーション」、「分析」、「低減」、「改善」 復旧 • 「復旧計画の作成」、「改善」、「コミュニケーション」 • Azure RBACや、データベースアクセス制御、ファイアウォール、暗 号化、誤削除防止措置など • (IaaSであれば、ウィルス保護のような措置が必要) • Microsoft Defender for Cloudによる セキュリティスコアや脅威検出など • Azure Monitor Logs上のログ解析など • バックアップ、リストア計画など • セキュリティ標準の策定 • 資産管理であればAzure Resource Graphや、タグ管 理、Azure Policyなどを用いることも

7. 対応例 識別 • 「資産管理」、「ビジネス環境」、「ガバナンス」、「リスクアセスメント」、「リスクマネジ メント戦略」、「サプライチェーンリスクマネジメント」 防御 • 「アイデンティティ管理とアクセス制御」、「意識向上およびトレーニング」、「データセ キュリティ」、「情報を保護するためのプロセスおよび手順」、「保守」、「保護技術」 検知

   • 「異常とイベント」、「セキュリティの継続的なモニタリング」、「検知プロセス」 対応 • 「対応計画の作成」、「コミュニケーション」、「分析」、「低減」、「改善」 復旧 • 「復旧計画の作成」、「改善」、「コミュニケーション」 • Azure RBACや、データベースアクセス制御、ファイアウォール、暗 号化、誤削除防止措置など • (IaaSであれば、ウィルス保護のような措置が必要) • Microsoft Defender for Cloudによる セキュリティスコアや脅威検出など • Azure Monitor Logsでのログ解析など • バックアップ、リストア計画など • セキュリティ標準の策定 • 資産管理であればAzure Resource Graphや、タグ管 理、Azure Policyなどを用いることも Azure Storage （その他PaaS）の基本的推奨事項

8. 多層防御 • 多層防御 - Learn | Microsoft Docs # 観点

   例 1 物理的なセキュリティ • Azure データ センターの生体認証アクセス制御 https://docs.microsoft.com/ja- jp/azure/security/fundamentals/physical-security 2 IDとアクセス • Azure Active Directory ユーザー認証 • RBAC 3 境界 • DDoS保護 • Advanced Threat Protection （脅威検出機能） 4 ネットワーク • ネットワーク セキュリティ規則 • ファイアウォール、IPフィルタ 5 コンピューティング • OS および階層型ソフトウェア パッチを定期的に適用 （PaaSではベンダーの責任範囲となる） 6 アプリケーション • SSL/TLS で暗号化されたセッション 7 データ • Azure Blob Storage に保存中のデータの暗号化

9. Azure Data Lake Storage Gen2(Blog Storage)の セキュリティ推奨事項 • BLOB ストレージのセキュリティに関する推奨事項

   - Azure Storage | Microsoft Docs • セキュリティ措置のための推奨事項が まとめられており、これらを設計に織り 込むことで多層防御を実現する

10. 推奨事項 データ保護① よく要件化されるもの：暗号化 脅威を検知する リソースの誤削除を防御する 改ざんを防御する データファイルの誤削除を防御する

11. 推奨事項 データ保護② 通信の盗聴を防御する ※なお保存時暗号化は常に有効となる。 （保存データに対する Azure Storage 暗号化 | Microsoft

    Docs）

12. 推奨事項 ID 管理とアクセス管理① • よく要件化されるもの：AD認証、アクセス制御の粒度 許可されない（AD認証されない、ロー ルをもたない）第三者によるアクセス を防御する キーの悪用を防御する

13. • キーによるアクセス • 認証→キーでは誰が利用したかが記録されない （キーを取得したログは取れても使用については取得できない） • 認可→ • キーによる許可：キーを使用できるロールは共同作成者などだが、キーが漏れればアクセス可能となる。 •

    ストレージアカウント全体のすべてのデータ操作が可能 • SASトークンによる許可：どこまでできるかを定義したトークンを使う。 • トークン生成時に定義した操作のみ可能 • Azure AD認証によるアクセス • 認証→誰がアクセスしたかが明示的に記録。Azure ADにて誰なのかを識別 • 認可→ • Azure RBACによる許可：Blobデータ〇〇ロールを付与する • コンテナの粒度まで制御可能 • ACL設定による許可：セキュリティグループなどにRead/Write/Execute* を付与する • フォルダ、ファイルの粒度まで可能。ただし同一ファイル、フォルダに対しての設定数に32個の上限あり アクセス方式の重要性 • *：フォルダを開く権限

14. 推奨事項 ID 管理とアクセス管理② アクセス範囲の意図せぬ拡大を防御す る 匿名アクセスの許可を防御する

15. 是非チェックしてください

16. 推奨事項 ネットワーク① • よく要件化されるもの：ネットワーク全般 通信の盗聴を防御する （データ保護のネットワーク側面から の確認） 許可されないネットワークからの アクセスを防御する （ファイアウォール）

    ※プライベートエンドポイント以外の アクセスで効果がある （プライベートエンド自体のアクセス 制御はNSGなどで）

17. ネットワーク制御方式について • *：変わってしまう。同じリージョンだとパブリックIPを持ったアクセスにならない Azure Storage ファイアウォールおよび仮想ネットワークの構成 | Microsoft Docs #

    分類 アクセス元 説明 イメージ 1 IPフィルターを利用する ユーザー (AzureデータセンターのIP は非推奨*) パブリックIPを ホワイトリストに登録しま す。 2 信頼できる Microsoft サービス にストレージ アカウントへの アクセスを許可する Managed ID認証可能な リソース 権限付与された リソースはファイアウォー ルをパスします 3 リソースインスタンスの許可 Azureリソース 選択したリソースからの通 信を許可します。 (例：Synapse Serverless SQL 4 サービスエンドポイント利用 する Vnet内のリソース 特定のVnet内からのアクセ スを許可します 5 プライベートエンドポイント を利用する Vnet内のリソース プライベートIPをStorageに 付与します サービス エンドポイント プライベート エンドポイント

18. 推奨事項 ネットワーク② 意図せぬ経路でのアクセスを防御する ※どちらかというとアクセス元の話

19. 推奨事項 ログ記録または監視 • よく要件化されるもの：ログ記録設定 ※監視についてはクラウドでは監視ができることは当たり前で、どのアクションのための監視なのかの定義が要件化に重要 ログ解析によりインシデントに対応す る 特定の操作を検知する

20. • ログ記録、ログ可視化、アラートを分けて考える • ログ、メトリックを蓄積したい＝ログ記録の要求 • ログ、メトリック（一定期間以上）→Storage or Log Analytics Workspace(最長2年間)にエク

    スポート • リテンション（保持）期間は要検討 • 分析要求がなければ、Storageに出力が安価かつ長期間対応可能 • ログを分析したい＝ログ可視化の要求 • ログ→Log Analytics Workspaceにエクスポート • メトリック→エクスポートなしでも可視化可能（クエリする場合はLog Analytics Workspaceへ） • 特定条件でアラートさせたい＝アラートの要求 • ログ→ Log Analyticsクエリ結果に対して条件づけ • メトリック→メトリック状況に対して条件付け（エクスポートしている場合、Log Analyticsクエリでも可 能） 補足）ログ記録、監視検討のポイント

21. • セキュリティ設定をしたところでその妥当性が評価される必要がある • 「ベンダーのプラクティス通りだからOK」、だけではなくなんらかの標準と照らし合わせることが 重要 • CIS,NIST,PCI-DSSといった業界フレームワークとの整合をどのようにとるか、 継続的に評価する必要があります • DevSecOps

    やってる？. 継続的アシュアランスをご存知でしょうか？継続的アシュアラン スの実現により、セキュ… | by Yuki Hattori | Medium セキュリティ標準に準拠しよう

22. • セキュリティコントロール • ネットワーク セキュリティ (NS) • ID 管理 (IM)

    • 特権アクセス (PA) • データ保護 (DP) • アセット管理 (AM) • ログと脅威検出 (LT) • インシデント対応 (IR) • 体制と脆弱性の管理 (PV) • エンドポイント セキュリティ (ES) • バックアップと回復 (BR) • DevOps セキュリティ (DS) • ガバナンスと戦略 (GS) Azure セキュリティ ベンチマーク • Azure セキュリティ ベンチマークの概要 | Microsoft Docs • Microsoftが作成した、Azure上でのセキュリティ標準。 各項目が業界標準とマッピングされており、オープンな評価が可能

23. • セキュリティ標準に自分のリソースが準拠しているのかを確認、監視するための機能がそ ろっている • 選択したセキュリティ標準と実際のリソースの状況が照らし合わされ、 標準に準拠していないリソースを確認、修正するための動線がガイドされる Microsoft Defender for Cloudの活用

    • Microsoft Defender for Cloud とは - Microsoft Defender for Cloud | Microsoft Docs

24. • セキュリティの重要な要素の概要 - Microsoft Azure Well-Architected Framework | Microsoft Docs

    • NISTが定めるサイバーセキュリティフレームワークとは？ | サイバーセキュリティ情 報局 (canon-its.jp) • 米国国立標準技術研究所 (NIST) サイバーセキュリティ フレームワーク (CSF) - マイクロソフト コンプライアンス |マイクロソフトドキュメント (microsoft.com) • Azure のエンドツーエンド セキュリティ | Microsoft Docs • Microsoft Azure Well-Architected Framework - セキュリティ - Training | Microsoft Docs 参考リソース集