Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azureで守るマルチクラウド
Search
Tomoya Amachi
March 29, 2023
Technology
0
700
Azureで守るマルチクラウド
Tokyo Jazug Nightで発表した資料です。
口頭での補足説明を前提としています。
https://jazug.connpass.com/event/275503/
Tomoya Amachi
March 29, 2023
Tweet
Share
More Decks by Tomoya Amachi
See All by Tomoya Amachi
XDPを利用したエッジデバイスでのネットワーク制御
tomoyamachi
0
510
クラウド時代のセキュリティをふりかえる
tomoyamachi
1
1.1k
Integrating Service Mesh with Kubernetes-based connected vehicle platform
tomoyamachi
1
1.1k
Cloud Native Development Design Patterns
tomoyamachi
2
3.8k
Check Container Images with Original Rules@GoConference 2019 Autumn
tomoyamachi
2
3.6k
Dockerセキュリティ対策の現状と対策ツールの仕組み&使い方
tomoyamachi
2
1.8k
GAE FEのdeployストレスを軽減する10の方法
tomoyamachi
0
480
Other Decks in Technology
See All in Technology
「改善」ってこれでいいんだっけ?
ukigmo_hiro
0
380
プロダクトのコードから見るGoによるデザインパターンの実践 #go_night_talk
bengo4com
1
2.7k
Data Hubグループ 紹介資料
sansan33
PRO
0
2.2k
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
8.9k
サイバーエージェント流クラウドコスト削減施策「みんなで金塊堀太郎」
kurochan
4
2.2k
LLMプロダクトの信頼性を上げるには?LLM Observabilityによる、対話型音声AIアプリケーションの安定運用
ivry_presentationmaterials
0
710
ハノーファーメッセ2025で見た生成AI活用ユースケース.pdf
hamadakoji
0
190
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
12
81k
Introduction to Sansan Meishi Maker Development Engineer
sansan33
PRO
0
310
Digitization部 紹介資料
sansan33
PRO
1
5.6k
Findy Team+ QAチーム これからのチャレンジ!
findy_eventslides
0
480
今この時代に技術とどう向き合うべきか
gree_tech
PRO
2
2.1k
Featured
See All Featured
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.2k
Context Engineering - Making Every Token Count
addyosmani
7
280
A better future with KSS
kneath
239
18k
Build The Right Thing And Hit Your Dates
maggiecrowley
37
2.9k
Product Roadmaps are Hard
iamctodd
PRO
55
11k
Learning to Love Humans: Emotional Interface Design
aarron
274
41k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
359
30k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
37
2.6k
GraphQLとの向き合い方2022年版
quramy
49
14k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
657
61k
It's Worth the Effort
3n
187
28k
Why Our Code Smells
bkeepers
PRO
340
57k
Transcript
Azureで守るマルチクラウド @tomoyamachi
ターゲット 1. クラウドサービスを守るための基礎知識がほしい 2. Microsoftが提供するセキュリティサービスが多いので整理したい 3. 複数のクラウドサービス(IaaS/PaaS)を効率よく管理したい
目次 1. 自己紹介 2. クラウドセキュリティの領域を図をつかって説明 3. Microsoftサービスを利用した場合を図で説明 4. 事例紹介 Azureをメインで利用していない場合の改善事例
※ Azure XXXXというサービスであっても、Microsoftサービスと表記します ※ 今回、Endpoint Deviceのセキュリティは対象外です
自己紹介 @tomoyamachi (Tomoya Amachi) Microsoftとの関係 自作OSS (Dockle) をGitHub Actionsにして 利用者を増やしてくれたので一方的に好き
昨年末からMicrosoftのサービスについて学び始めて、無料でいくつか資格取得
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud
Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 • サーバー/アプリケーションのソフトウェア脆弱性
• サーバー/アプリケーションの設定による脆弱性 • 外部からの侵入を検知し、防御 • ふるまい検知による不正プロセス検知 • 許可していないアクションの検知
クラウドセキュリティの領域 CSPM: Cloud Security Posture Management セキュリティリソースの一覧と、設定の監視 • クラウドにあるリソースの管理台帳 •
設定変更の際に、ポリシー違反を監視 ◦ CIS Benchmark ◦ PCI DSS など
クラウドセキュリティの領域 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 •
監査ログ, アプリケーションログ, ネットワークトラフィックなどを集め る • データをもとに脅威を検出 ◦ 事前に定義したしきい値で検知する方法 ◦ ふるまいを学習し、アノマリーな挙動を検知する方法
クラウドセキュリティの領域 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 • 対応プロセスの自動化 ◦ 脅威の共有/連絡
◦ 事前に定義した状態への移行 ▪ 設定などの修復 ▪ 脅威対象のブロック
クラウドセキュリティの領域 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合 • すべての通信に対し、検証を行う ◦
本人かどうかをコンテキストで判断 • クラウドサービスアクセスの可視化と制御 • 機密データの漏洩防止 • サンドボックスを用意し、マルウェアのダウンロードを防止
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud
Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合
Microsoftサービスで実現するクラウドセキュリティ CWPP: ワークロードの保護 Azure Arc (VM, マシン, K8s, DB), Microsoft
Defender for Cloud統合 CSPM: リソースの把握と設定の監視 Microsoft Defender for Cloud (AWS, GCP, Azureのみ) SIEM: セキュリティに関する情報収集と分析 Microsoft Sentinel SOAR: 特定した問題への対応を自動化 Azure Logic Apps SASE: ネットワーク通信の秘匿化、安全性チェック Azure ADでのSSOと、Defender for Cloud Appsを利用することで、利用 しているサイトの把握と、アクセス制御ができる。 ただし、SASEの機能をすべて実現できるわけではない。
ここまでのまとめ • 代表的なクラウドセキュリティの領域として、 CWPP, CSPM, SIEM, SOAR, SASEがある • Microsoftのサービスだけで、
代表的なクラウドセキュリティサービスをカバーできる ◦ 他のクラウドサービスの情報も統合できる
事例紹介 • Google Workspaceをメインで利用 ◦ 今後もWorkspaceを利用したい • AWS / GCP
/ Azureをそれぞれ管理 ◦ 検証環境などを共有している
Microsoftサービスを利用して改善 • ユーザプロビジョニング/SSOにより、 管理すべきIDを集約 • 利用者ごとに検証環境を自動作成 • Microsoft Defender for
Cloudを利用 ◦ 指示通りに連携すれば、自動で CSPMを 実行し、CWPPのエージェントをデプロイし てくれる ◦ 新規作成した環境にも自動で適用してく れる • Microsoft Sentinelにログを集約 ◦ コネクタを利用することで簡単に導入 ◦ syslogを利用することで、社内機器もログ 送信可能 • Logic Appsを利用して、 発見できた課題を当事者に連絡
評価 • Google WorkspaceアカウントをメインのIDで利用しながら、 Microsoftサービスを組み合わせることでセキュリティを向上できる ◦ Context-Aware Accessで、デバイス、場所などのコンテキスト情報に基づきアクセス制御 ◦ 各サービスへのログインでは、
SSOを強制する。 その際に必要なリソースは、 User Provisioningなどで自動作成できる • 環境を細かく区切ることで、リソースの責任者が明確になる ◦ 利用者ごとの検証環境 (可能なかぎり権限を渡す ) ◦ 複数人で共有する場合は、別途それぞれ環境をつくる (最小権限を都度申請 ) • Microsoftサービスを利用し、環境が多くても、セキュリティ保全できる ◦ 検証段階から、セキュリティの課題を発見できる • Logic Appsを利用しセキュリティの課題に対して、責任者に連絡できる ◦ 今後、知見が溜まれば、自動で修復なども行いたい
Microsoft / Azureのセキュリティ学習に役立つ資料 Microsoft Cybersecurity リファレンス アーキテクチャ https://learn.microsoft.com/ja-jp/security/cybersecurity-reference-architecture/mcra Product Name
Changes: サービス名の変更履歴がわかる https://m365maps.com/renames.htm