$30 off During Our Annual Pro Sale. View Details »

Azureで守るマルチクラウド

 Azureで守るマルチクラウド

Tokyo Jazug Nightで発表した資料です。
口頭での補足説明を前提としています。
https://jazug.connpass.com/event/275503/

Tomoya Amachi

March 29, 2023
Tweet

More Decks by Tomoya Amachi

Other Decks in Technology

Transcript

  1. Azureで守るマルチクラウド
    @tomoyamachi

    View Slide

  2. ターゲット
    1. クラウドサービスを守るための基礎知識がほしい
    2. Microsoftが提供するセキュリティサービスが多いので整理したい
    3. 複数のクラウドサービス(IaaS/PaaS)を効率よく管理したい

    View Slide

  3. 目次
    1. 自己紹介
    2. クラウドセキュリティの領域を図をつかって説明
    3. Microsoftサービスを利用した場合を図で説明
    4. 事例紹介
    Azureをメインで利用していない場合の改善事例
    ※ Azure XXXXというサービスであっても、Microsoftサービスと表記します
    ※ 今回、Endpoint Deviceのセキュリティは対象外です

    View Slide

  4. 自己紹介
    @tomoyamachi (Tomoya Amachi)
    Microsoftとの関係
    自作OSS (Dockle) をGitHub Actionsにして
    利用者を増やしてくれたので一方的に好き
    昨年末からMicrosoftのサービスについて学び始めて、無料でいくつか資格取得

    View Slide

  5. クラウドセキュリティの領域
    CWPP: Cloud Workload Protection Platform
    ワークロード(サーバ, コンテナなど)の保護
    CSPM: Cloud Security Posture Management
    セキュリティリソースの一覧と、設定の監視
    SIEM: Security Information and Event Management
    セキュリティに関する情報
    /イベントを収集し、分析
    SOAR: Security Orchestration,Automation,and Response
    これまでの製品で特定した脅威への対応を自動化
    SASE: Secure Access Service Edge
    ネットワーク通信で必要なセキュリティ機能を統合

    View Slide

  6. クラウドセキュリティの領域
    CWPP: Cloud Workload Protection Platform
    ワークロード(サーバ, コンテナなど)の保護
    ● サーバー/アプリケーションのソフトウェア脆弱性
    ● サーバー/アプリケーションの設定による脆弱性
    ● 外部からの侵入を検知し、防御
    ● ふるまい検知による不正プロセス検知
    ● 許可していないアクションの検知

    View Slide

  7. クラウドセキュリティの領域
    CSPM: Cloud Security Posture Management
    セキュリティリソースの一覧と、設定の監視
    ● クラウドにあるリソースの管理台帳
    ● 設定変更の際に、ポリシー違反を監視
    ○ CIS Benchmark
    ○ PCI DSS など

    View Slide

  8. クラウドセキュリティの領域
    SIEM: Security Information and Event Management
    セキュリティに関する情報
    /イベントを収集し、分析
    ● 監査ログ, アプリケーションログ, ネットワークトラフィックなどを集め

    ● データをもとに脅威を検出
    ○ 事前に定義したしきい値で検知する方法
    ○ ふるまいを学習し、アノマリーな挙動を検知する方法

    View Slide

  9. クラウドセキュリティの領域
    SOAR: Security Orchestration,Automation,and Response
    これまでの製品で特定した脅威への対応を自動化
    ● 対応プロセスの自動化
    ○ 脅威の共有/連絡
    ○ 事前に定義した状態への移行
    ■ 設定などの修復
    ■ 脅威対象のブロック

    View Slide

  10. クラウドセキュリティの領域
    SASE: Secure Access Service Edge
    ネットワーク通信で必要なセキュリティ機能を統合
    ● すべての通信に対し、検証を行う
    ○ 本人かどうかをコンテキストで判断
    ● クラウドサービスアクセスの可視化と制御
    ● 機密データの漏洩防止
    ● サンドボックスを用意し、マルウェアのダウンロードを防止

    View Slide

  11. クラウドセキュリティの領域
    CWPP: Cloud Workload Protection Platform
    ワークロード(サーバ, コンテナなど)の保護
    CSPM: Cloud Security Posture Management
    セキュリティリソースの一覧と、設定の監視
    SIEM: Security Information and Event Management
    セキュリティに関する情報
    /イベントを収集し、分析
    SOAR: Security Orchestration,Automation,and Response
    これまでの製品で特定した脅威への対応を自動化
    SASE: Secure Access Service Edge
    ネットワーク通信で必要なセキュリティ機能を統合

    View Slide

  12. Microsoftサービスで実現するクラウドセキュリティ
    CWPP: ワークロードの保護
    Azure Arc (VM, マシン, K8s, DB), Microsoft Defender for Cloud統合
    CSPM: リソースの把握と設定の監視
    Microsoft Defender for Cloud (AWS, GCP, Azureのみ)
    SIEM: セキュリティに関する情報収集と分析
    Microsoft Sentinel
    SOAR: 特定した問題への対応を自動化
    Azure Logic Apps
    SASE: ネットワーク通信の秘匿化、安全性チェック
    Azure ADでのSSOと、Defender for Cloud Appsを利用することで、利用
    しているサイトの把握と、アクセス制御ができる。
    ただし、SASEの機能をすべて実現できるわけではない。

    View Slide

  13. ここまでのまとめ
    ● 代表的なクラウドセキュリティの領域として、
    CWPP, CSPM, SIEM, SOAR, SASEがある
    ● Microsoftのサービスだけで、
    代表的なクラウドセキュリティサービスをカバーできる
    ○ 他のクラウドサービスの情報も統合できる

    View Slide

  14. 事例紹介
    ● Google Workspaceをメインで利用
    ○ 今後もWorkspaceを利用したい
    ● AWS / GCP / Azureをそれぞれ管理
    ○ 検証環境などを共有している

    View Slide

  15. Microsoftサービスを利用して改善
    ● ユーザプロビジョニング/SSOにより、
    管理すべきIDを集約
    ● 利用者ごとに検証環境を自動作成
    ● Microsoft Defender for Cloudを利用
    ○ 指示通りに連携すれば、自動で CSPMを
    実行し、CWPPのエージェントをデプロイし
    てくれる
    ○ 新規作成した環境にも自動で適用してく
    れる
    ● Microsoft Sentinelにログを集約
    ○ コネクタを利用することで簡単に導入
    ○ syslogを利用することで、社内機器もログ
    送信可能
    ● Logic Appsを利用して、
    発見できた課題を当事者に連絡

    View Slide

  16. 評価
    ● Google WorkspaceアカウントをメインのIDで利用しながら、
    Microsoftサービスを組み合わせることでセキュリティを向上できる
    ○ Context-Aware Accessで、デバイス、場所などのコンテキスト情報に基づきアクセス制御
    ○ 各サービスへのログインでは、 SSOを強制する。
    その際に必要なリソースは、 User Provisioningなどで自動作成できる
    ● 環境を細かく区切ることで、リソースの責任者が明確になる
    ○ 利用者ごとの検証環境 (可能なかぎり権限を渡す )
    ○ 複数人で共有する場合は、別途それぞれ環境をつくる (最小権限を都度申請 )
    ● Microsoftサービスを利用し、環境が多くても、セキュリティ保全できる
    ○ 検証段階から、セキュリティの課題を発見できる
    ● Logic Appsを利用しセキュリティの課題に対して、責任者に連絡できる
    ○ 今後、知見が溜まれば、自動で修復なども行いたい

    View Slide

  17. Microsoft / Azureのセキュリティ学習に役立つ資料
    Microsoft Cybersecurity リファレンス アーキテクチャ
    https://learn.microsoft.com/ja-jp/security/cybersecurity-reference-architecture/mcra
    Product Name Changes: サービス名の変更履歴がわかる
    https://m365maps.com/renames.htm

    View Slide