Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azureで守るマルチクラウド
Search
Tomoya Amachi
March 29, 2023
Technology
0
720
Azureで守るマルチクラウド
Tokyo Jazug Nightで発表した資料です。
口頭での補足説明を前提としています。
https://jazug.connpass.com/event/275503/
Tomoya Amachi
March 29, 2023
Tweet
Share
More Decks by Tomoya Amachi
See All by Tomoya Amachi
XDPを利用したエッジデバイスでのネットワーク制御
tomoyamachi
0
530
クラウド時代のセキュリティをふりかえる
tomoyamachi
1
1.1k
Integrating Service Mesh with Kubernetes-based connected vehicle platform
tomoyamachi
1
1.1k
Cloud Native Development Design Patterns
tomoyamachi
2
3.9k
Check Container Images with Original Rules@GoConference 2019 Autumn
tomoyamachi
2
3.6k
Dockerセキュリティ対策の現状と対策ツールの仕組み&使い方
tomoyamachi
2
1.8k
GAE FEのdeployストレスを軽減する10の方法
tomoyamachi
0
480
Other Decks in Technology
See All in Technology
生成AI時代の自動E2Eテスト運用とPlaywright実践知_引持力哉
legalontechnologies
PRO
0
140
useEffectってなんで非推奨みたいなこと言われてるの?
maguroalternative
9
6.3k
Docker, Infraestructuras seguras y Hardening
josejuansanchez
0
150
Agentic AI Patterns and Anti-Patterns
glaforge
1
110
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
3.3k
AI駆動開発によるDDDの実践
dip_tech
PRO
0
300
私も懇親会は苦手でした ~苦手だからこそ懇親会を楽しむ方法~ / 20251127 Masaki Okuda
shift_evolve
PRO
4
570
Agents IA : la nouvelle frontière des LLMs (Tech.Rocks Summit 2025)
glaforge
0
410
会社紹介資料 / Sansan Company Profile
sansan33
PRO
11
390k
M5UnifiedとPicoRubyで楽しむM5シリーズ
kishima
0
120
なぜ使われないのか?──定量×定性で見極める本当のボトルネック
kakehashi
PRO
1
890
Eight Engineering Unit 紹介資料
sansan33
PRO
0
5.8k
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
285
14k
Music & Morning Musume
bryan
46
7k
Thoughts on Productivity
jonyablonski
73
5k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
1.8k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
380
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.4k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.3k
The Pragmatic Product Professional
lauravandoore
37
7.1k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
A Modern Web Designer's Workflow
chriscoyier
697
190k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.6k
The Cost Of JavaScript in 2023
addyosmani
55
9.3k
Transcript
Azureで守るマルチクラウド @tomoyamachi
ターゲット 1. クラウドサービスを守るための基礎知識がほしい 2. Microsoftが提供するセキュリティサービスが多いので整理したい 3. 複数のクラウドサービス(IaaS/PaaS)を効率よく管理したい
目次 1. 自己紹介 2. クラウドセキュリティの領域を図をつかって説明 3. Microsoftサービスを利用した場合を図で説明 4. 事例紹介 Azureをメインで利用していない場合の改善事例
※ Azure XXXXというサービスであっても、Microsoftサービスと表記します ※ 今回、Endpoint Deviceのセキュリティは対象外です
自己紹介 @tomoyamachi (Tomoya Amachi) Microsoftとの関係 自作OSS (Dockle) をGitHub Actionsにして 利用者を増やしてくれたので一方的に好き
昨年末からMicrosoftのサービスについて学び始めて、無料でいくつか資格取得
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud
Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 • サーバー/アプリケーションのソフトウェア脆弱性
• サーバー/アプリケーションの設定による脆弱性 • 外部からの侵入を検知し、防御 • ふるまい検知による不正プロセス検知 • 許可していないアクションの検知
クラウドセキュリティの領域 CSPM: Cloud Security Posture Management セキュリティリソースの一覧と、設定の監視 • クラウドにあるリソースの管理台帳 •
設定変更の際に、ポリシー違反を監視 ◦ CIS Benchmark ◦ PCI DSS など
クラウドセキュリティの領域 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 •
監査ログ, アプリケーションログ, ネットワークトラフィックなどを集め る • データをもとに脅威を検出 ◦ 事前に定義したしきい値で検知する方法 ◦ ふるまいを学習し、アノマリーな挙動を検知する方法
クラウドセキュリティの領域 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 • 対応プロセスの自動化 ◦ 脅威の共有/連絡
◦ 事前に定義した状態への移行 ▪ 設定などの修復 ▪ 脅威対象のブロック
クラウドセキュリティの領域 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合 • すべての通信に対し、検証を行う ◦
本人かどうかをコンテキストで判断 • クラウドサービスアクセスの可視化と制御 • 機密データの漏洩防止 • サンドボックスを用意し、マルウェアのダウンロードを防止
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud
Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合
Microsoftサービスで実現するクラウドセキュリティ CWPP: ワークロードの保護 Azure Arc (VM, マシン, K8s, DB), Microsoft
Defender for Cloud統合 CSPM: リソースの把握と設定の監視 Microsoft Defender for Cloud (AWS, GCP, Azureのみ) SIEM: セキュリティに関する情報収集と分析 Microsoft Sentinel SOAR: 特定した問題への対応を自動化 Azure Logic Apps SASE: ネットワーク通信の秘匿化、安全性チェック Azure ADでのSSOと、Defender for Cloud Appsを利用することで、利用 しているサイトの把握と、アクセス制御ができる。 ただし、SASEの機能をすべて実現できるわけではない。
ここまでのまとめ • 代表的なクラウドセキュリティの領域として、 CWPP, CSPM, SIEM, SOAR, SASEがある • Microsoftのサービスだけで、
代表的なクラウドセキュリティサービスをカバーできる ◦ 他のクラウドサービスの情報も統合できる
事例紹介 • Google Workspaceをメインで利用 ◦ 今後もWorkspaceを利用したい • AWS / GCP
/ Azureをそれぞれ管理 ◦ 検証環境などを共有している
Microsoftサービスを利用して改善 • ユーザプロビジョニング/SSOにより、 管理すべきIDを集約 • 利用者ごとに検証環境を自動作成 • Microsoft Defender for
Cloudを利用 ◦ 指示通りに連携すれば、自動で CSPMを 実行し、CWPPのエージェントをデプロイし てくれる ◦ 新規作成した環境にも自動で適用してく れる • Microsoft Sentinelにログを集約 ◦ コネクタを利用することで簡単に導入 ◦ syslogを利用することで、社内機器もログ 送信可能 • Logic Appsを利用して、 発見できた課題を当事者に連絡
評価 • Google WorkspaceアカウントをメインのIDで利用しながら、 Microsoftサービスを組み合わせることでセキュリティを向上できる ◦ Context-Aware Accessで、デバイス、場所などのコンテキスト情報に基づきアクセス制御 ◦ 各サービスへのログインでは、
SSOを強制する。 その際に必要なリソースは、 User Provisioningなどで自動作成できる • 環境を細かく区切ることで、リソースの責任者が明確になる ◦ 利用者ごとの検証環境 (可能なかぎり権限を渡す ) ◦ 複数人で共有する場合は、別途それぞれ環境をつくる (最小権限を都度申請 ) • Microsoftサービスを利用し、環境が多くても、セキュリティ保全できる ◦ 検証段階から、セキュリティの課題を発見できる • Logic Appsを利用しセキュリティの課題に対して、責任者に連絡できる ◦ 今後、知見が溜まれば、自動で修復なども行いたい
Microsoft / Azureのセキュリティ学習に役立つ資料 Microsoft Cybersecurity リファレンス アーキテクチャ https://learn.microsoft.com/ja-jp/security/cybersecurity-reference-architecture/mcra Product Name
Changes: サービス名の変更履歴がわかる https://m365maps.com/renames.htm
tomoyamachi
legalontechnologies
maguroalternative
josejuansanchez
glaforge
sansan33
dip_tech
shift_evolve
kishima
kakehashi
stephaniewalter
bryan
jonyablonski
garrettdimon
tammyeverts
zakiyama
marcduiker
lauravandoore
tanoku
chriscoyier
honnibal
addyosmani
