Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azureで守るマルチクラウド
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Tomoya Amachi
March 29, 2023
Technology
0
740
Azureで守るマルチクラウド
Tokyo Jazug Nightで発表した資料です。
口頭での補足説明を前提としています。
https://jazug.connpass.com/event/275503/
Tomoya Amachi
March 29, 2023
Tweet
Share
More Decks by Tomoya Amachi
See All by Tomoya Amachi
XDPを利用したエッジデバイスでのネットワーク制御
tomoyamachi
0
550
クラウド時代のセキュリティをふりかえる
tomoyamachi
1
1.2k
Integrating Service Mesh with Kubernetes-based connected vehicle platform
tomoyamachi
1
1.1k
Cloud Native Development Design Patterns
tomoyamachi
2
4k
Check Container Images with Original Rules@GoConference 2019 Autumn
tomoyamachi
2
3.7k
Dockerセキュリティ対策の現状と対策ツールの仕組み&使い方
tomoyamachi
2
1.9k
GAE FEのdeployストレスを軽減する10の方法
tomoyamachi
0
500
Other Decks in Technology
See All in Technology
欠陥分析(ODC分析)における生成AIの活用プロセスと実践事例 / 20260320 Suguru Ishii & Naoki Yamakoshi & Mayu Yoshizawa
shift_evolve
PRO
0
230
Phase03_ドキュメント管理
overflowinc
0
430
Phase06_ClaudeCode実践
overflowinc
0
340
GCASアップデート(202601-202603)
techniczna
0
240
テストプロセスにおけるAI活用 :人間とAIの共存
hacomono
PRO
0
110
OpenClaw を Amazon Lightsail で動かす理由
uechishingo
0
240
Agent Skill 是什麼?對軟體產業帶來的變化
appleboy
0
130
進化するBits AI SREと私と組織
nulabinc
PRO
1
280
Kiro Powers 入門
k_adachi_01
0
130
A Casual Introduction to RISC-V
omasanori
0
500
Phase12_総括_自走化
overflowinc
0
260
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
2
13k
Featured
See All Featured
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
auna
0
88
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
249
1.3M
How to Talk to Developers About Accessibility
jct
2
160
Designing for Performance
lara
611
70k
GitHub's CSS Performance
jonrohan
1032
470k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
410
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.5k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
210
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
130
Leading Effective Engineering Teams in the AI Era
addyosmani
9
1.7k
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
250
Transcript
Azureで守るマルチクラウド @tomoyamachi
ターゲット 1. クラウドサービスを守るための基礎知識がほしい 2. Microsoftが提供するセキュリティサービスが多いので整理したい 3. 複数のクラウドサービス(IaaS/PaaS)を効率よく管理したい
目次 1. 自己紹介 2. クラウドセキュリティの領域を図をつかって説明 3. Microsoftサービスを利用した場合を図で説明 4. 事例紹介 Azureをメインで利用していない場合の改善事例
※ Azure XXXXというサービスであっても、Microsoftサービスと表記します ※ 今回、Endpoint Deviceのセキュリティは対象外です
自己紹介 @tomoyamachi (Tomoya Amachi) Microsoftとの関係 自作OSS (Dockle) をGitHub Actionsにして 利用者を増やしてくれたので一方的に好き
昨年末からMicrosoftのサービスについて学び始めて、無料でいくつか資格取得
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud
Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 • サーバー/アプリケーションのソフトウェア脆弱性
• サーバー/アプリケーションの設定による脆弱性 • 外部からの侵入を検知し、防御 • ふるまい検知による不正プロセス検知 • 許可していないアクションの検知
クラウドセキュリティの領域 CSPM: Cloud Security Posture Management セキュリティリソースの一覧と、設定の監視 • クラウドにあるリソースの管理台帳 •
設定変更の際に、ポリシー違反を監視 ◦ CIS Benchmark ◦ PCI DSS など
クラウドセキュリティの領域 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 •
監査ログ, アプリケーションログ, ネットワークトラフィックなどを集め る • データをもとに脅威を検出 ◦ 事前に定義したしきい値で検知する方法 ◦ ふるまいを学習し、アノマリーな挙動を検知する方法
クラウドセキュリティの領域 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 • 対応プロセスの自動化 ◦ 脅威の共有/連絡
◦ 事前に定義した状態への移行 ▪ 設定などの修復 ▪ 脅威対象のブロック
クラウドセキュリティの領域 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合 • すべての通信に対し、検証を行う ◦
本人かどうかをコンテキストで判断 • クラウドサービスアクセスの可視化と制御 • 機密データの漏洩防止 • サンドボックスを用意し、マルウェアのダウンロードを防止
クラウドセキュリティの領域 CWPP: Cloud Workload Protection Platform ワークロード(サーバ, コンテナなど)の保護 CSPM: Cloud
Security Posture Management セキュリティリソースの一覧と、設定の監視 SIEM: Security Information and Event Management セキュリティに関する情報 /イベントを収集し、分析 SOAR: Security Orchestration,Automation,and Response これまでの製品で特定した脅威への対応を自動化 SASE: Secure Access Service Edge ネットワーク通信で必要なセキュリティ機能を統合
Microsoftサービスで実現するクラウドセキュリティ CWPP: ワークロードの保護 Azure Arc (VM, マシン, K8s, DB), Microsoft
Defender for Cloud統合 CSPM: リソースの把握と設定の監視 Microsoft Defender for Cloud (AWS, GCP, Azureのみ) SIEM: セキュリティに関する情報収集と分析 Microsoft Sentinel SOAR: 特定した問題への対応を自動化 Azure Logic Apps SASE: ネットワーク通信の秘匿化、安全性チェック Azure ADでのSSOと、Defender for Cloud Appsを利用することで、利用 しているサイトの把握と、アクセス制御ができる。 ただし、SASEの機能をすべて実現できるわけではない。
ここまでのまとめ • 代表的なクラウドセキュリティの領域として、 CWPP, CSPM, SIEM, SOAR, SASEがある • Microsoftのサービスだけで、
代表的なクラウドセキュリティサービスをカバーできる ◦ 他のクラウドサービスの情報も統合できる
事例紹介 • Google Workspaceをメインで利用 ◦ 今後もWorkspaceを利用したい • AWS / GCP
/ Azureをそれぞれ管理 ◦ 検証環境などを共有している
Microsoftサービスを利用して改善 • ユーザプロビジョニング/SSOにより、 管理すべきIDを集約 • 利用者ごとに検証環境を自動作成 • Microsoft Defender for
Cloudを利用 ◦ 指示通りに連携すれば、自動で CSPMを 実行し、CWPPのエージェントをデプロイし てくれる ◦ 新規作成した環境にも自動で適用してく れる • Microsoft Sentinelにログを集約 ◦ コネクタを利用することで簡単に導入 ◦ syslogを利用することで、社内機器もログ 送信可能 • Logic Appsを利用して、 発見できた課題を当事者に連絡
評価 • Google WorkspaceアカウントをメインのIDで利用しながら、 Microsoftサービスを組み合わせることでセキュリティを向上できる ◦ Context-Aware Accessで、デバイス、場所などのコンテキスト情報に基づきアクセス制御 ◦ 各サービスへのログインでは、
SSOを強制する。 その際に必要なリソースは、 User Provisioningなどで自動作成できる • 環境を細かく区切ることで、リソースの責任者が明確になる ◦ 利用者ごとの検証環境 (可能なかぎり権限を渡す ) ◦ 複数人で共有する場合は、別途それぞれ環境をつくる (最小権限を都度申請 ) • Microsoftサービスを利用し、環境が多くても、セキュリティ保全できる ◦ 検証段階から、セキュリティの課題を発見できる • Logic Appsを利用しセキュリティの課題に対して、責任者に連絡できる ◦ 今後、知見が溜まれば、自動で修復なども行いたい
Microsoft / Azureのセキュリティ学習に役立つ資料 Microsoft Cybersecurity リファレンス アーキテクチャ https://learn.microsoft.com/ja-jp/security/cybersecurity-reference-architecture/mcra Product Name
Changes: サービス名の変更履歴がわかる https://m365maps.com/renames.htm
tomoyamachi
shift_evolve
overflowinc
techniczna
hacomono
uechishingo
appleboy
nulabinc
k_adachi_01
omasanori
oracle4engineer
auna
malarkey
sugarenia
jct
lara
jonrohan
chikuwait
tammyeverts
uxyall
codingconduct
addyosmani
szymonslowik
