Tokyo Jazug Nightで発表した資料です。 口頭での補足説明を前提としています。 https://jazug.connpass.com/event/275503/
Azureで守るマルチクラウド@tomoyamachi
View Slide
ターゲット1. クラウドサービスを守るための基礎知識がほしい2. Microsoftが提供するセキュリティサービスが多いので整理したい3. 複数のクラウドサービス(IaaS/PaaS)を効率よく管理したい
目次1. 自己紹介2. クラウドセキュリティの領域を図をつかって説明3. Microsoftサービスを利用した場合を図で説明4. 事例紹介Azureをメインで利用していない場合の改善事例※ Azure XXXXというサービスであっても、Microsoftサービスと表記します※ 今回、Endpoint Deviceのセキュリティは対象外です
自己紹介@tomoyamachi (Tomoya Amachi)Microsoftとの関係自作OSS (Dockle) をGitHub Actionsにして利用者を増やしてくれたので一方的に好き昨年末からMicrosoftのサービスについて学び始めて、無料でいくつか資格取得
クラウドセキュリティの領域CWPP: Cloud Workload Protection Platformワークロード(サーバ, コンテナなど)の保護CSPM: Cloud Security Posture Managementセキュリティリソースの一覧と、設定の監視SIEM: Security Information and Event Managementセキュリティに関する情報/イベントを収集し、分析SOAR: Security Orchestration,Automation,and Responseこれまでの製品で特定した脅威への対応を自動化SASE: Secure Access Service Edgeネットワーク通信で必要なセキュリティ機能を統合
クラウドセキュリティの領域CWPP: Cloud Workload Protection Platformワークロード(サーバ, コンテナなど)の保護● サーバー/アプリケーションのソフトウェア脆弱性● サーバー/アプリケーションの設定による脆弱性● 外部からの侵入を検知し、防御● ふるまい検知による不正プロセス検知● 許可していないアクションの検知
クラウドセキュリティの領域CSPM: Cloud Security Posture Managementセキュリティリソースの一覧と、設定の監視● クラウドにあるリソースの管理台帳● 設定変更の際に、ポリシー違反を監視○ CIS Benchmark○ PCI DSS など
クラウドセキュリティの領域SIEM: Security Information and Event Managementセキュリティに関する情報/イベントを収集し、分析● 監査ログ, アプリケーションログ, ネットワークトラフィックなどを集める● データをもとに脅威を検出○ 事前に定義したしきい値で検知する方法○ ふるまいを学習し、アノマリーな挙動を検知する方法
クラウドセキュリティの領域SOAR: Security Orchestration,Automation,and Responseこれまでの製品で特定した脅威への対応を自動化● 対応プロセスの自動化○ 脅威の共有/連絡○ 事前に定義した状態への移行■ 設定などの修復■ 脅威対象のブロック
クラウドセキュリティの領域SASE: Secure Access Service Edgeネットワーク通信で必要なセキュリティ機能を統合● すべての通信に対し、検証を行う○ 本人かどうかをコンテキストで判断● クラウドサービスアクセスの可視化と制御● 機密データの漏洩防止● サンドボックスを用意し、マルウェアのダウンロードを防止
Microsoftサービスで実現するクラウドセキュリティCWPP: ワークロードの保護Azure Arc (VM, マシン, K8s, DB), Microsoft Defender for Cloud統合CSPM: リソースの把握と設定の監視Microsoft Defender for Cloud (AWS, GCP, Azureのみ)SIEM: セキュリティに関する情報収集と分析Microsoft SentinelSOAR: 特定した問題への対応を自動化Azure Logic AppsSASE: ネットワーク通信の秘匿化、安全性チェックAzure ADでのSSOと、Defender for Cloud Appsを利用することで、利用しているサイトの把握と、アクセス制御ができる。ただし、SASEの機能をすべて実現できるわけではない。
ここまでのまとめ● 代表的なクラウドセキュリティの領域として、CWPP, CSPM, SIEM, SOAR, SASEがある● Microsoftのサービスだけで、代表的なクラウドセキュリティサービスをカバーできる○ 他のクラウドサービスの情報も統合できる
事例紹介● Google Workspaceをメインで利用○ 今後もWorkspaceを利用したい● AWS / GCP / Azureをそれぞれ管理○ 検証環境などを共有している
Microsoftサービスを利用して改善● ユーザプロビジョニング/SSOにより、管理すべきIDを集約● 利用者ごとに検証環境を自動作成● Microsoft Defender for Cloudを利用○ 指示通りに連携すれば、自動で CSPMを実行し、CWPPのエージェントをデプロイしてくれる○ 新規作成した環境にも自動で適用してくれる● Microsoft Sentinelにログを集約○ コネクタを利用することで簡単に導入○ syslogを利用することで、社内機器もログ送信可能● Logic Appsを利用して、発見できた課題を当事者に連絡
評価● Google WorkspaceアカウントをメインのIDで利用しながら、Microsoftサービスを組み合わせることでセキュリティを向上できる○ Context-Aware Accessで、デバイス、場所などのコンテキスト情報に基づきアクセス制御○ 各サービスへのログインでは、 SSOを強制する。その際に必要なリソースは、 User Provisioningなどで自動作成できる● 環境を細かく区切ることで、リソースの責任者が明確になる○ 利用者ごとの検証環境 (可能なかぎり権限を渡す )○ 複数人で共有する場合は、別途それぞれ環境をつくる (最小権限を都度申請 )● Microsoftサービスを利用し、環境が多くても、セキュリティ保全できる○ 検証段階から、セキュリティの課題を発見できる● Logic Appsを利用しセキュリティの課題に対して、責任者に連絡できる○ 今後、知見が溜まれば、自動で修復なども行いたい
Microsoft / Azureのセキュリティ学習に役立つ資料Microsoft Cybersecurity リファレンス アーキテクチャhttps://learn.microsoft.com/ja-jp/security/cybersecurity-reference-architecture/mcraProduct Name Changes: サービス名の変更履歴がわかるhttps://m365maps.com/renames.htm