Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azureで守るマルチクラウド
Search
Tomoya Amachi
March 29, 2023
Technology
0
700
Azureで守るマルチクラウド
Tokyo Jazug Nightで発表した資料です。
口頭での補足説明を前提としています。
https://jazug.connpass.com/event/275503/
Tomoya Amachi
March 29, 2023
Tweet
Share
More Decks by Tomoya Amachi
See All by Tomoya Amachi
XDPを利用したエッジデバイスでのネットワーク制御
tomoyamachi
0
510
クラウド時代のセキュリティをふりかえる
tomoyamachi
1
1.1k
Integrating Service Mesh with Kubernetes-based connected vehicle platform
tomoyamachi
1
1.1k
Cloud Native Development Design Patterns
tomoyamachi
2
3.8k
Check Container Images with Original Rules@GoConference 2019 Autumn
tomoyamachi
2
3.6k
Dockerセキュリティ対策の現状と対策ツールの仕組み&使い方
tomoyamachi
2
1.8k
GAE FEのdeployストレスを軽減する10の方法
tomoyamachi
0
470
Other Decks in Technology
See All in Technology
AI エージェントとはそもそも何か? - 技術背景から Amazon Bedrock AgentCore での実装まで- / AI Agent Unicorn Day 2025
hariby
4
1.3k
【Grafana Meetup Japan #6】Grafanaをリバプロ配下で動かすときにやること ~ Grafana Liveってなんだ ~
yoshitake945
0
390
現場で効くClaude Code ─ 最新動向と企業導入
takaakikakei
1
180
下手な強制、ダメ!絶対! 「ガードレール」を「檻」にさせない"ガバナンス"の取り方とは?
tsukaman
2
390
Snowflakeの生成AI機能を活用したデータ分析アプリの作成 〜Cortex AnalystとCortex Searchの活用とStreamlitアプリでの利用〜
nayuts
1
420
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
4
10k
LLMを搭載したプロダクトの品質保証の模索と学び
qa
0
960
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
nagisa53
9
2.6k
バイブスに「型」を!Kent Beckに学ぶ、AI時代のテスト駆動開発
amixedcolor
2
340
ここ一年のCCoEとしてのAWSコスト最適化を振り返る / CCoE AWS Cost Optimization devio2025
masahirokawahara
1
1.5k
Grafana Meetup Japan Vol. 6
kaedemalu
1
350
研究開発と製品開発、両利きのロボティクス
youtalk
1
500
Featured
See All Featured
Producing Creativity
orderedlist
PRO
347
40k
Building an army of robots
kneath
306
46k
Fireside Chat
paigeccino
39
3.6k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
30
9.6k
Making Projects Easy
brettharned
117
6.4k
Designing for Performance
lara
610
69k
[RailsConf 2023] Rails as a piece of cake
palkan
57
5.8k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
15k
The Invisible Side of Design
smashingmag
301
51k
We Have a Design System, Now What?
morganepeng
53
7.8k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Speed Design
sergeychernyshev
32
1.1k
Transcript
Azureで守るマルチクラウド @tomoyamachi
ターゲット 1. クラウドサービスを守るための基礎知識がほしい 2. Microsoftが提供するセキュリティサービスが多いので整理したい 3. 複数のクラウドサービス(IaaS/PaaS)を効率よく管理したい
目次 1. 自己紹介 2. クラウドセキュリティの領域を図をつかって説明 3. Microsoftサービスを利用した場合を図で説明 4. 事例紹介 Azureをメインで利用していない場合の改善事例
※ Azure XXXXというサービスであっても、Microsoftサービスと表記します ※ 今回、Endpoint Deviceのセキュリティは対象外です
自己紹介 @tomoyamachi (Tomoya Amachi) Microsoftとの関係 自作OSS (Dockle) をGitHub Actionsにして 利用者を増やしてくれたので一方的に好き
昨年末からMicrosoftのサービスについて学び始めて、無料でいくつか資格取得
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud
Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 • サーバー/アプリケーションのソフトウェア脆弱性
• サーバー/アプリケーションの設定による脆弱性 • 外部からの侵入を検知し、防御 • ふるまい検知による不正プロセス検知 • 許可していないアクションの検知
クラウドセキュリティの領域 CSPM: Cloud Security Posture Management セキュリティリソースの一覧と、設定の監視 • クラウドにあるリソースの管理台帳 •
設定変更の際に、ポリシー違反を監視 ◦ CIS Benchmark ◦ PCI DSS など
クラウドセキュリティの領域 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 •
監査ログ, アプリケーションログ, ネットワークトラフィックなどを集め る • データをもとに脅威を検出 ◦ 事前に定義したしきい値で検知する方法 ◦ ふるまいを学習し、アノマリーな挙動を検知する方法
クラウドセキュリティの領域 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 • 対応プロセスの自動化 ◦ 脅威の共有/連絡
◦ 事前に定義した状態への移行 ▪ 設定などの修復 ▪ 脅威対象のブロック
クラウドセキュリティの領域 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合 • すべての通信に対し、検証を行う ◦
本人かどうかをコンテキストで判断 • クラウドサービスアクセスの可視化と制御 • 機密データの漏洩防止 • サンドボックスを用意し、マルウェアのダウンロードを防止
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud
Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合
Microsoftサービスで実現するクラウドセキュリティ CWPP: ワークロードの保護 Azure Arc (VM, マシン, K8s, DB), Microsoft
Defender for Cloud統合 CSPM: リソースの把握と設定の監視 Microsoft Defender for Cloud (AWS, GCP, Azureのみ) SIEM: セキュリティに関する情報収集と分析 Microsoft Sentinel SOAR: 特定した問題への対応を自動化 Azure Logic Apps SASE: ネットワーク通信の秘匿化、安全性チェック Azure ADでのSSOと、Defender for Cloud Appsを利用することで、利用 しているサイトの把握と、アクセス制御ができる。 ただし、SASEの機能をすべて実現できるわけではない。
ここまでのまとめ • 代表的なクラウドセキュリティの領域として、 CWPP, CSPM, SIEM, SOAR, SASEがある • Microsoftのサービスだけで、
代表的なクラウドセキュリティサービスをカバーできる ◦ 他のクラウドサービスの情報も統合できる
事例紹介 • Google Workspaceをメインで利用 ◦ 今後もWorkspaceを利用したい • AWS / GCP
/ Azureをそれぞれ管理 ◦ 検証環境などを共有している
Microsoftサービスを利用して改善 • ユーザプロビジョニング/SSOにより、 管理すべきIDを集約 • 利用者ごとに検証環境を自動作成 • Microsoft Defender for
Cloudを利用 ◦ 指示通りに連携すれば、自動で CSPMを 実行し、CWPPのエージェントをデプロイし てくれる ◦ 新規作成した環境にも自動で適用してく れる • Microsoft Sentinelにログを集約 ◦ コネクタを利用することで簡単に導入 ◦ syslogを利用することで、社内機器もログ 送信可能 • Logic Appsを利用して、 発見できた課題を当事者に連絡
評価 • Google WorkspaceアカウントをメインのIDで利用しながら、 Microsoftサービスを組み合わせることでセキュリティを向上できる ◦ Context-Aware Accessで、デバイス、場所などのコンテキスト情報に基づきアクセス制御 ◦ 各サービスへのログインでは、
SSOを強制する。 その際に必要なリソースは、 User Provisioningなどで自動作成できる • 環境を細かく区切ることで、リソースの責任者が明確になる ◦ 利用者ごとの検証環境 (可能なかぎり権限を渡す ) ◦ 複数人で共有する場合は、別途それぞれ環境をつくる (最小権限を都度申請 ) • Microsoftサービスを利用し、環境が多くても、セキュリティ保全できる ◦ 検証段階から、セキュリティの課題を発見できる • Logic Appsを利用しセキュリティの課題に対して、責任者に連絡できる ◦ 今後、知見が溜まれば、自動で修復なども行いたい
Microsoft / Azureのセキュリティ学習に役立つ資料 Microsoft Cybersecurity リファレンス アーキテクチャ https://learn.microsoft.com/ja-jp/security/cybersecurity-reference-architecture/mcra Product Name
Changes: サービス名の変更履歴がわかる https://m365maps.com/renames.htm