Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azureで守るマルチクラウド
Search
Tomoya Amachi
March 29, 2023
Technology
0
680
Azureで守るマルチクラウド
Tokyo Jazug Nightで発表した資料です。
口頭での補足説明を前提としています。
https://jazug.connpass.com/event/275503/
Tomoya Amachi
March 29, 2023
Tweet
Share
More Decks by Tomoya Amachi
See All by Tomoya Amachi
XDPを利用したエッジデバイスでのネットワーク制御
tomoyamachi
0
500
クラウド時代のセキュリティをふりかえる
tomoyamachi
1
1.1k
Integrating Service Mesh with Kubernetes-based connected vehicle platform
tomoyamachi
1
1.1k
Cloud Native Development Design Patterns
tomoyamachi
2
3.7k
Check Container Images with Original Rules@GoConference 2019 Autumn
tomoyamachi
2
3.5k
Dockerセキュリティ対策の現状と対策ツールの仕組み&使い方
tomoyamachi
2
1.8k
GAE FEのdeployストレスを軽減する10の方法
tomoyamachi
0
460
Other Decks in Technology
See All in Technology
KubeCon + CloudNativeCon Japan 2025 に行ってきた! & containerd の新機能紹介
honahuku
0
120
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
26k
AWS Summit Japan 2025 Community Stage - App workflow automation by AWS Step Functions
matsuihidetoshi
1
310
Fabric + Databricks 2025.6 の最新情報ピックアップ
ryomaru0825
1
160
Flutter向けPDFビューア、pdfrxのpdfium WASM対応について
espresso3389
0
100
React開発にStorybookとCopilotを導入して、爆速でUIを編集・確認する方法
yu_kod
1
110
生成AI時代の開発組織・技術・プロセス 〜 ログラスの挑戦と考察 〜
itohiro73
1
380
KubeCon + CloudNativeCon Japan 2025 Recap
ren510dev
1
300
Model Mondays S2E03: SLMs & Reasoning
nitya
0
240
事業成長の裏側:エンジニア組織と開発生産性の進化 / 20250703 Rinto Ikenoue
shift_evolve
PRO
1
520
ドメイン特化なCLIPモデルとデータセットの紹介
tattaka
1
480
Liquid Glass革新とSwiftUI/UIKit進化
fumiyasac0921
0
300
Featured
See All Featured
Thoughts on Productivity
jonyablonski
69
4.7k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
281
13k
Six Lessons from altMBA
skipperchong
28
3.9k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
107
19k
The Pragmatic Product Professional
lauravandoore
35
6.7k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
800
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.3k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
331
22k
Art, The Web, and Tiny UX
lynnandtonic
299
21k
Intergalactic Javascript Robots from Outer Space
tanoku
271
27k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.4k
Transcript
Azureで守るマルチクラウド @tomoyamachi
ターゲット 1. クラウドサービスを守るための基礎知識がほしい 2. Microsoftが提供するセキュリティサービスが多いので整理したい 3. 複数のクラウドサービス(IaaS/PaaS)を効率よく管理したい
目次 1. 自己紹介 2. クラウドセキュリティの領域を図をつかって説明 3. Microsoftサービスを利用した場合を図で説明 4. 事例紹介 Azureをメインで利用していない場合の改善事例
※ Azure XXXXというサービスであっても、Microsoftサービスと表記します ※ 今回、Endpoint Deviceのセキュリティは対象外です
自己紹介 @tomoyamachi (Tomoya Amachi) Microsoftとの関係 自作OSS (Dockle) をGitHub Actionsにして 利用者を増やしてくれたので一方的に好き
昨年末からMicrosoftのサービスについて学び始めて、無料でいくつか資格取得
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud
Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 • サーバー/アプリケーションのソフトウェア脆弱性
• サーバー/アプリケーションの設定による脆弱性 • 外部からの侵入を検知し、防御 • ふるまい検知による不正プロセス検知 • 許可していないアクションの検知
クラウドセキュリティの領域 CSPM: Cloud Security Posture Management セキュリティリソースの一覧と、設定の監視 • クラウドにあるリソースの管理台帳 •
設定変更の際に、ポリシー違反を監視 ◦ CIS Benchmark ◦ PCI DSS など
クラウドセキュリティの領域 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 •
監査ログ, アプリケーションログ, ネットワークトラフィックなどを集め る • データをもとに脅威を検出 ◦ 事前に定義したしきい値で検知する方法 ◦ ふるまいを学習し、アノマリーな挙動を検知する方法
クラウドセキュリティの領域 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 • 対応プロセスの自動化 ◦ 脅威の共有/連絡
◦ 事前に定義した状態への移行 ▪ 設定などの修復 ▪ 脅威対象のブロック
クラウドセキュリティの領域 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合 • すべての通信に対し、検証を行う ◦
本人かどうかをコンテキストで判断 • クラウドサービスアクセスの可視化と制御 • 機密データの漏洩防止 • サンドボックスを用意し、マルウェアのダウンロードを防止
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud
Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合
Microsoftサービスで実現するクラウドセキュリティ CWPP: ワークロードの保護 Azure Arc (VM, マシン, K8s, DB), Microsoft
Defender for Cloud統合 CSPM: リソースの把握と設定の監視 Microsoft Defender for Cloud (AWS, GCP, Azureのみ) SIEM: セキュリティに関する情報収集と分析 Microsoft Sentinel SOAR: 特定した問題への対応を自動化 Azure Logic Apps SASE: ネットワーク通信の秘匿化、安全性チェック Azure ADでのSSOと、Defender for Cloud Appsを利用することで、利用 しているサイトの把握と、アクセス制御ができる。 ただし、SASEの機能をすべて実現できるわけではない。
ここまでのまとめ • 代表的なクラウドセキュリティの領域として、 CWPP, CSPM, SIEM, SOAR, SASEがある • Microsoftのサービスだけで、
代表的なクラウドセキュリティサービスをカバーできる ◦ 他のクラウドサービスの情報も統合できる
事例紹介 • Google Workspaceをメインで利用 ◦ 今後もWorkspaceを利用したい • AWS / GCP
/ Azureをそれぞれ管理 ◦ 検証環境などを共有している
Microsoftサービスを利用して改善 • ユーザプロビジョニング/SSOにより、 管理すべきIDを集約 • 利用者ごとに検証環境を自動作成 • Microsoft Defender for
Cloudを利用 ◦ 指示通りに連携すれば、自動で CSPMを 実行し、CWPPのエージェントをデプロイし てくれる ◦ 新規作成した環境にも自動で適用してく れる • Microsoft Sentinelにログを集約 ◦ コネクタを利用することで簡単に導入 ◦ syslogを利用することで、社内機器もログ 送信可能 • Logic Appsを利用して、 発見できた課題を当事者に連絡
評価 • Google WorkspaceアカウントをメインのIDで利用しながら、 Microsoftサービスを組み合わせることでセキュリティを向上できる ◦ Context-Aware Accessで、デバイス、場所などのコンテキスト情報に基づきアクセス制御 ◦ 各サービスへのログインでは、
SSOを強制する。 その際に必要なリソースは、 User Provisioningなどで自動作成できる • 環境を細かく区切ることで、リソースの責任者が明確になる ◦ 利用者ごとの検証環境 (可能なかぎり権限を渡す ) ◦ 複数人で共有する場合は、別途それぞれ環境をつくる (最小権限を都度申請 ) • Microsoftサービスを利用し、環境が多くても、セキュリティ保全できる ◦ 検証段階から、セキュリティの課題を発見できる • Logic Appsを利用しセキュリティの課題に対して、責任者に連絡できる ◦ 今後、知見が溜まれば、自動で修復なども行いたい
Microsoft / Azureのセキュリティ学習に役立つ資料 Microsoft Cybersecurity リファレンス アーキテクチャ https://learn.microsoft.com/ja-jp/security/cybersecurity-reference-architecture/mcra Product Name
Changes: サービス名の変更履歴がわかる https://m365maps.com/renames.htm