Azure Data Lake Storage Gen 2 security recommendation

Transcript

1. Azure Data Lake Storage Gen2 の
   セキュリティの推奨事項について
   Microsoft MVP for Data Platform
   永田 亮磨
   Twitter:@ryomaru0825
   Linkedin:ryoma-nagata-0825
   Qiita:qiita.com/ryoma-nagata
   

   View Slide

2. • スピーカーおよびセッションの背景
   • エンプラ系の基盤構築を業務にしているアーキテクトが、
   Data Lake Storage Gen2をセキュアに使うために整理した内容です。
   • 対象者
   • Azure Data Lake Storage Gen2（Blob Storage）を使用する方々
   • ゴール
   • Azure Data Lake Storage Gen2（Blob Storage）のセキュリティ推奨事項
   の内容と目的を理解する
   本セッションについて
   

   View Slide

3. • セキュリティの観点
   • Azure Data Lake Storage Gen2(Blog Storage)の
   セキュリティ推奨事項
   • セキュリティ評価のための標準（ベンチマーク）
   時間の都合上一部詳細を割愛するかもしれません
   AGENDA
   

   View Slide

4. 共有責任モデル
   クラウド利用者はどの部分でセキュリティを検討することが必要か？
   • クラウドにおける共同責任 - Microsoft Azure | Microsoft Docs
   • セキュリティを検討するうえで、どの部分に
   ついて保護の責任が生じるのかを理解し
   たうえで対策を講じる必要がある
   • ITインフラ→Microsoft
   • コンテンツ、アクセス管理→利用者
   • Azure Storage のようなPaaSサービス
   ではOSより上の層で
   セキュリティ対策が必要
   情報およびデータ
   モバイル端末やPC
   ID,アカウント情報
   ID管理基盤
   アプリのセキュリティ
   ネットワーク制御
   OS保護
   ホスト環境の物理保護
   ネットワークの物理保護
   データセンターの物理保護
   共有
   顧客
   常に顧客側に取扱い責任
   が発生
   利用サービスにより異なる
   常に提供者に責任を委任
   

   View Slide

5. • NIST CSF(サイバーセキュリティフレー
   ムワーク)であれば、左のような分類が
   ある
   • 特に防御～対応についてシステム的な
   対策箇所が多い
   • システムはアクションにつなげるための前提
   や、ツール的立ち位置が基本だが、
   防御についてはシステム設定自体がアク
   ションであることが多い
   セキュリティの基本的観点
   • セキュリティ関連NIST文書：IPA 独立行政法人 情報処理推進機構
   識別
   • 「資産管理」、「ビジネス環境」、「ガバナンス」、「リスクアセスメント」、「リスクマネジ
   メント戦略」、「サプライチェーンリスクマネジメント」
   防御
   • 「アイデンティティ管理とアクセス制御」、「意識向上およびトレーニング」、「データセ
   キュリティ」、「情報を保護するためのプロセスおよび手順」、「保守」、「保護技術」
   検知
   • 「異常とイベント」、「セキュリティの継続的なモニタリング」、「検知プロセス」
   対応
   • 「対応計画の作成」、「コミュニケーション」、「分析」、「低減」、「改善」
   復旧
   • 「復旧計画の作成」、「改善」、「コミュニケーション」
   

   View Slide

6. 対応例
   識別
   • 「資産管理」、「ビジネス環境」、「ガバナンス」、「リスクアセスメント」、「リスクマネジ
   メント戦略」、「サプライチェーンリスクマネジメント」
   防御
   • 「アイデンティティ管理とアクセス制御」、「意識向上およびトレーニング」、「データセ
   キュリティ」、「情報を保護するためのプロセスおよび手順」、「保守」、「保護技術」
   検知
   • 「異常とイベント」、「セキュリティの継続的なモニタリング」、「検知プロセス」
   対応
   • 「対応計画の作成」、「コミュニケーション」、「分析」、「低減」、「改善」
   復旧
   • 「復旧計画の作成」、「改善」、「コミュニケーション」
   • Azure RBACや、データベースアクセス制御、ファイアウォール、暗
   号化、誤削除防止措置など
   • (IaaSであれば、ウィルス保護のような措置が必要)
   • Microsoft Defender for Cloudによる
   セキュリティスコアや脅威検出など
   • Azure Monitor Logs上のログ解析など
   • バックアップ、リストア計画など
   • セキュリティ標準の策定
   • 資産管理であればAzure Resource Graphや、タグ管
   理、Azure Policyなどを用いることも
   

   View Slide

7. 対応例
   識別
   • 「資産管理」、「ビジネス環境」、「ガバナンス」、「リスクアセスメント」、「リスクマネジ
   メント戦略」、「サプライチェーンリスクマネジメント」
   防御
   • 「アイデンティティ管理とアクセス制御」、「意識向上およびトレーニング」、「データセ
   キュリティ」、「情報を保護するためのプロセスおよび手順」、「保守」、「保護技術」
   検知
   • 「異常とイベント」、「セキュリティの継続的なモニタリング」、「検知プロセス」
   対応
   • 「対応計画の作成」、「コミュニケーション」、「分析」、「低減」、「改善」
   復旧
   • 「復旧計画の作成」、「改善」、「コミュニケーション」
   • Azure RBACや、データベースアクセス制御、ファイアウォール、暗
   号化、誤削除防止措置など
   • (IaaSであれば、ウィルス保護のような措置が必要)
   • Microsoft Defender for Cloudによる
   セキュリティスコアや脅威検出など
   • Azure Monitor Logsでのログ解析など
   • バックアップ、リストア計画など
   • セキュリティ標準の策定
   • 資産管理であればAzure Resource Graphや、タグ管
   理、Azure Policyなどを用いることも
   Azure Storage （その他PaaS）の基本的推奨事項
   

   View Slide

8. 多層防御
   • 多層防御 - Learn | Microsoft Docs
   # 観点 例
   1 物理的なセキュリティ
   • Azure データ センターの生体認証アクセス制御
   https://docs.microsoft.com/ja-
   jp/azure/security/fundamentals/physical-security
   2 IDとアクセス • Azure Active Directory ユーザー認証
   • RBAC
   3 境界 • DDoS保護
   • Advanced Threat Protection （脅威検出機能）
   4 ネットワーク • ネットワーク セキュリティ規則
   • ファイアウォール、IPフィルタ
   5 コンピューティング • OS および階層型ソフトウェア パッチを定期的に適用
   （PaaSではベンダーの責任範囲となる）
   6 アプリケーション • SSL/TLS で暗号化されたセッション
   7 データ • Azure Blob Storage に保存中のデータの暗号化
   

   View Slide

9. Azure Data Lake Storage Gen2(Blog Storage)の
   セキュリティ推奨事項
   • BLOB ストレージのセキュリティに関する推奨事項 - Azure Storage | Microsoft Docs
   • セキュリティ措置のための推奨事項が
   まとめられており、これらを設計に織り
   込むことで多層防御を実現する
   

   View Slide

10. 推奨事項 データ保護①
    よく要件化されるもの：暗号化
    脅威を検知する
    リソースの誤削除を防御する
    改ざんを防御する
    データファイルの誤削除を防御する
    

    View Slide

11. 推奨事項 データ保護②
    通信の盗聴を防御する
    ※なお保存時暗号化は常に有効となる。
    （保存データに対する Azure Storage
    暗号化 | Microsoft Docs）
    

    View Slide

12. 推奨事項 ID 管理とアクセス管理①
    • よく要件化されるもの：AD認証、アクセス制御の粒度
    許可されない（AD認証されない、ロー
    ルをもたない）第三者によるアクセス
    を防御する
    キーの悪用を防御する
    

    View Slide

13. • キーによるアクセス
    • 認証→キーでは誰が利用したかが記録されない
    （キーを取得したログは取れても使用については取得できない）
    • 認可→
    • キーによる許可：キーを使用できるロールは共同作成者などだが、キーが漏れればアクセス可能となる。
    • ストレージアカウント全体のすべてのデータ操作が可能
    • SASトークンによる許可：どこまでできるかを定義したトークンを使う。
    • トークン生成時に定義した操作のみ可能
    • Azure AD認証によるアクセス
    • 認証→誰がアクセスしたかが明示的に記録。Azure ADにて誰なのかを識別
    • 認可→
    • Azure RBACによる許可：Blobデータ〇〇ロールを付与する
    • コンテナの粒度まで制御可能
    • ACL設定による許可：セキュリティグループなどにRead/Write/Execute* を付与する
    • フォルダ、ファイルの粒度まで可能。ただし同一ファイル、フォルダに対しての設定数に32個の上限あり
    アクセス方式の重要性
    • *：フォルダを開く権限
    

    View Slide

14. 推奨事項 ID 管理とアクセス管理②
    アクセス範囲の意図せぬ拡大を防御す
    る
    匿名アクセスの許可を防御する
    

    View Slide

15. 是非チェックしてください
    

    View Slide

16. 推奨事項 ネットワーク①
    • よく要件化されるもの：ネットワーク全般
    通信の盗聴を防御する
    （データ保護のネットワーク側面から
    の確認）
    許可されないネットワークからの
    アクセスを防御する
    （ファイアウォール）
    ※プライベートエンドポイント以外の
    アクセスで効果がある
    （プライベートエンド自体のアクセス
    制御はNSGなどで）
    

    View Slide

17. ネットワーク制御方式について
    • *：変わってしまう。同じリージョンだとパブリックIPを持ったアクセスにならない
    Azure Storage ファイアウォールおよび仮想ネットワークの構成 | Microsoft Docs
    # 分類 アクセス元 説明 イメージ
    1 IPフィルターを利用する
    ユーザー
    (AzureデータセンターのIP
    は非推奨*)
    パブリックIPを
    ホワイトリストに登録しま
    す。
    2
    信頼できる Microsoft サービス
    にストレージ アカウントへの
    アクセスを許可する
    Managed ID認証可能な
    リソース
    権限付与された
    リソースはファイアウォー
    ルをパスします
    3 リソースインスタンスの許可 Azureリソース
    選択したリソースからの通
    信を許可します。
    (例：Synapse Serverless SQL
    4
    サービスエンドポイント利用
    する Vnet内のリソース
    特定のVnet内からのアクセ
    スを許可します
    5
    プライベートエンドポイント
    を利用する Vnet内のリソース
    プライベートIPをStorageに
    付与します
    サービス
    エンドポイント
    プライベート
    エンドポイント
    

    View Slide

18. 推奨事項 ネットワーク②
    意図せぬ経路でのアクセスを防御する
    ※どちらかというとアクセス元の話
    

    View Slide

19. 推奨事項 ログ記録または監視
    • よく要件化されるもの：ログ記録設定
    ※監視についてはクラウドでは監視ができることは当たり前で、どのアクションのための監視なのかの定義が要件化に重要
    ログ解析によりインシデントに対応す
    る
    特定の操作を検知する
    

    View Slide

20. • ログ記録、ログ可視化、アラートを分けて考える
    • ログ、メトリックを蓄積したい＝ログ記録の要求
    • ログ、メトリック（一定期間以上）→Storage or Log Analytics Workspace(最長2年間)にエク
    スポート
    • リテンション（保持）期間は要検討
    • 分析要求がなければ、Storageに出力が安価かつ長期間対応可能
    • ログを分析したい＝ログ可視化の要求
    • ログ→Log Analytics Workspaceにエクスポート
    • メトリック→エクスポートなしでも可視化可能（クエリする場合はLog Analytics Workspaceへ）
    • 特定条件でアラートさせたい＝アラートの要求
    • ログ→ Log Analyticsクエリ結果に対して条件づけ
    • メトリック→メトリック状況に対して条件付け（エクスポートしている場合、Log Analyticsクエリでも可
    能）
    補足）ログ記録、監視検討のポイント
    

    View Slide

21. • セキュリティ設定をしたところでその妥当性が評価される必要がある
    • 「ベンダーのプラクティス通りだからOK」、だけではなくなんらかの標準と照らし合わせることが
    重要
    • CIS,NIST,PCI-DSSといった業界フレームワークとの整合をどのようにとるか、
    継続的に評価する必要があります
    • DevSecOps やってる？. 継続的アシュアランスをご存知でしょうか？継続的アシュアラン
    スの実現により、セキュ… | by Yuki Hattori | Medium
    セキュリティ標準に準拠しよう
    

    View Slide

22. • セキュリティコントロール
    • ネットワーク セキュリティ (NS)
    • ID 管理 (IM)
    • 特権アクセス (PA)
    • データ保護 (DP)
    • アセット管理 (AM)
    • ログと脅威検出 (LT)
    • インシデント対応 (IR)
    • 体制と脆弱性の管理 (PV)
    • エンドポイント セキュリティ (ES)
    • バックアップと回復 (BR)
    • DevOps セキュリティ (DS)
    • ガバナンスと戦略 (GS)
    Azure セキュリティ ベンチマーク
    • Azure セキュリティ ベンチマークの概要 | Microsoft Docs
    • Microsoftが作成した、Azure上でのセキュリティ標準。
    各項目が業界標準とマッピングされており、オープンな評価が可能
    

    View Slide

23. • セキュリティ標準に自分のリソースが準拠しているのかを確認、監視するための機能がそ
    ろっている
    • 選択したセキュリティ標準と実際のリソースの状況が照らし合わされ、
    標準に準拠していないリソースを確認、修正するための動線がガイドされる
    Microsoft Defender for Cloudの活用
    • Microsoft Defender for Cloud とは - Microsoft Defender for Cloud | Microsoft
    Docs
    

    View Slide

24. • セキュリティの重要な要素の概要 - Microsoft Azure Well-Architected
    Framework | Microsoft Docs
    • NISTが定めるサイバーセキュリティフレームワークとは？ | サイバーセキュリティ情
    報局 (canon-its.jp)
    • 米国国立標準技術研究所 (NIST) サイバーセキュリティ フレームワーク
    (CSF) - マイクロソフト コンプライアンス |マイクロソフトドキュメント
    (microsoft.com)
    • Azure のエンドツーエンド セキュリティ | Microsoft Docs
    • Microsoft Azure Well-Architected Framework - セキュリティ -
    Training | Microsoft Docs
    参考リソース集
    

    View Slide