Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Microsoft Azure のセキュリティ対策
~ Security DevOps を支える技術群
Junichi Anno(安納 順一)
Microsoft Corporation
Commercial Software Engineer...
96%ポリモーフィックな
マルウェアの割合
50K毎月攻撃されている
企業のアイデンティ
ティ
<48攻撃者がネットワーク
を乗っ取るまでに必要
な時間
より洗練されつつある攻撃
4
技術 運用
“安全”であることを維持し続けられることが重要
5
Security DevOps
Secure the
subscription
Enable
secure
development
Integrate
security into
CI/CD
Continuous
Assurance
Ale...
On-
premises
On-premises /
Private cloud
On-premises /
Private cloud
9
Azure AD Join
パスワード連携
OMA-DM
オンプレミス
SAML 2.0
WS-Federation
OpenID Connect
OAuth 2.0
ID
管理
認証
Active
Directory
U/P Sync
S...
https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-conditional-access
https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-dynamic-data-masking-get-started-portal
name division ema...
ClientID
ClientSecret
ユーザー認証を行うに
は、アプリ自身が
Azure ADで認証/認可
される必要がある
const string authString = "https://login.windows.net/hogehoge.com";
const string clientID = "07e33f8a-166f-4d79-a46d-f96dc...
KeyVaultにアクセスする
には、Azure AD に認証/
認可される必要がある
金庫の鍵を保管するために、別の金庫を用意するようなもの。。。
RBAC
信頼関係
自動生成/自動管理
http://169.254.169.254/
metadata/instance?api-
version=2018-02-01
metadata
• ARM 配下の仮想マシン インスタンスに関する情報を提供するインターフェース
• 実行中の...
http://169.254.169.254/metadata/Identity/OAuth/Token
'http://169.254.169.254/metadata/identity/oauth2/token
?api-version=2...
• システム割り当てマネージド ID(system-assigned managed identity)
• Azure サービス インスタンス上で直接有効にされるID
• 各インスタンスで機能を有効にする
• インスタンスが削除された場合、A...
いい
ROLE1
アクション
アクション
アクション
User
• IdP 側で Role をコントロールする
Role が持つ権限
ROLE1
ROLE2
ROLE3 権限
サービス システム割り当てID ユーザー割り当てID
Azure Virtual Machines 〇 Preview
Virtual Machine Scale Sets 〇 Preview
Azure App Service
Windows...
Service Resource ID Status
Azure Resource Manager https://management.azure.com/ 使用可能
Microsoft Graph https://graph.windows...
Resource
Group
{
"properties": {
"displayName": "NSG X on every nic",
"description": "This policy enforces a specific NSG on every virtua...
34
Blueprint
Policy Assignment
Role Assignment(RBAC)
Azure Resource Manager Template
Built-in
Custom
Management Group
and
35
35
Resource
Group
Azure Blueprints & Policy to get DevOps right | Best of Microsoft Ignite 2018
https://www.youtube.com/watch?v=OiOXlgFNgDo
NoOps
uncomfortable
No
Ops
Security DevOps
Secure the
subscriptio
n
Enable
secure
developme
-nt
Integrate
security
into CICD
Continuous
Assurance
Ale...
44
Identity is the new perimeter
Identity Provider(Authority)
45
参考URL
https://docs.microsoft.com/ja-jp/azure/security/
• Advanced threat detection
• Azure logging and auditing
• Azure...
46
© 2018 Microsoft Corporation. All rights reserved.
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Prochain SlideShare
Chargement dans…5
×

Microsoft Azure のセキュリティ

519 vues

Publié le

2018.11.21 COMPUS 2018 で使用した資料です

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Microsoft Azure のセキュリティ

  1. 1. Microsoft Azure のセキュリティ対策 ~ Security DevOps を支える技術群 Junichi Anno(安納 順一) Microsoft Corporation Commercial Software Engineering
  2. 2. 96%ポリモーフィックな マルウェアの割合 50K毎月攻撃されている 企業のアイデンティ ティ <48攻撃者がネットワーク を乗っ取るまでに必要 な時間 より洗練されつつある攻撃
  3. 3. 4 技術 運用 “安全”であることを維持し続けられることが重要
  4. 4. 5 Security DevOps Secure the subscription Enable secure development Integrate security into CI/CD Continuous Assurance Alerting & Monitoring Cloud Risk Governance 起点はサブスクリプションのセキュリティ 設計 • Azure AD による認証と認可 • 多要素認証 • Identity Protection • Managed Identity • ARM & Role-based Access Control • モニター • Azure セキュリティセンター • Log Analytics • ガバナンス • Azure Blueprints/Azure Policy • Just Enough Administration(JEA) • PowerShell JEA • Azure AD 特権管理
  5. 5. On- premises
  6. 6. On-premises / Private cloud
  7. 7. On-premises / Private cloud
  8. 8. 9 Azure AD Join パスワード連携 OMA-DM オンプレミス SAML 2.0 WS-Federation OpenID Connect OAuth 2.0 ID 管理 認証 Active Directory U/P Sync SSO 業界標準プロトコルの サポート 他社 SaaS との ID 連携 Microsoft Passport Windows Hello Windows 10 Browser セキュリティ ポリシー アプリ配布/利用制限 暗号化, 権限管理,追跡 BYOD/CYOD 社内業務 SAML 2.0 WS-Fed. Azure Machine Learning Intune Subscription RBAC … Proxy Connector KCD ID 同期 条件付きアクセス 特権 ID 管理 RBAC Managed ID 多要素認証必須 アクセスOK アクセス不可 ID 連携 Information Protection MDM/ MAM/ MCM B2B Azure IaaS Domain Services VPN Kerberos ldap NTLM Group Policy SPNego IWA アクセス パネルBusiness Store SCIM 2.0 監査 ログ解析 シャドウIT検出 リスクベース認証 MS Account
  9. 9. https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-conditional-access
  10. 10. https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-dynamic-data-masking-get-started-portal name division email phone Junichia SEI jxxx@xxxx.com 000-0000-0000 Hirosho C+E hxxx@xxxx.com 000-0000-0000 Sahomma SET sxxx@xxxx.com 000-0000-0000 drobbins DevCrew dxxx@xxxx.com 000-0000-0000
  11. 11. ClientID ClientSecret ユーザー認証を行うに は、アプリ自身が Azure ADで認証/認可 される必要がある
  12. 12. const string authString = "https://login.windows.net/hogehoge.com"; const string clientID = "07e33f8a-166f-4d79-a46d-f96dccf08b76"; const string clientSecret = "s9e6moGcFsRPP0rENcniLxxxxxhgmpGxxxxxpSIenvY="; const string resAzureGraphAPI = "https://graph.windows.net"; const string serviceRootURL = "https://graph.windows.net/hogehoge.com”; こいつをなんとかしたい ※ SQL 接続文字列も同様
  13. 13. KeyVaultにアクセスする には、Azure AD に認証/ 認可される必要がある 金庫の鍵を保管するために、別の金庫を用意するようなもの。。。
  14. 14. RBAC 信頼関係
  15. 15. 自動生成/自動管理
  16. 16. http://169.254.169.254/ metadata/instance?api- version=2018-02-01 metadata • ARM 配下の仮想マシン インスタンスに関する情報を提供するインターフェース • 実行中の仮想マシン インスタンスからのみアクセス可能 • ルーティング不可能なローカルホスト(169.254.169.254)から取得する http://169.254.169.254/metadata/instance/<category> { "compute": { "location": "westus", "name": "avset2", "offer": "UbuntuServer", "osType": "Linux", "placementGroupId": "", "platformFaultDomain": "1", "platformUpdateDomain": "1", "publisher": "Canonical", "resourceGroupName": "myrg", "sku": "16.04-LTS", "subscriptionId": "xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx", "tags": "", "version": "16.04.201708030", "vmId": "13f56399- bd52-4150-9748-7190aae1ff21", "vmScaleSetName": "", "vmSize": "Standard_D1", "zone": "1" }, "network": { "interface": [ { "ipv4": { "ipAddress": [ { "privateIpAddress": "10.1.2.5", "publicIpAddress": "X.X.X.X" } ], "subnet": [ { "address": "10.1.2.0", "prefix": "24" } ] }, "ipv6": { "ipAddress": [] }, "macAddress": "000D3A36DDED" } ] } } api-version=2017-08-01 Endpoint Parameter Header Metadata="true"
  17. 17. http://169.254.169.254/metadata/Identity/OAuth/Token 'http://169.254.169.254/metadata/identity/oauth2/token ?api-version=2018-02-01 &resource=https%3A%2F%2Fvault.azure.net' Endpoint Parameter api-version=2018-02-01 resource=https%3A%2F%2Fvault.azure.net Header Metadata="true"
  18. 18. • システム割り当てマネージド ID(system-assigned managed identity) • Azure サービス インスタンス上で直接有効にされるID • 各インスタンスで機能を有効にする • インスタンスが削除された場合、Azure AD の資格情報および ID を自動的にクリーンアップされる • ユーザー割り当てマネージド ID(user-assigned managed identity) ※Preview • 複数のリソースに割り当て可能なマネージド ID • 現時点では VM と Container サービスでのみ使用可能 RBAC 信頼関係 信頼関係
  19. 19. いい
  20. 20. ROLE1 アクション アクション アクション User • IdP 側で Role をコントロールする Role が持つ権限 ROLE1 ROLE2 ROLE3 権限
  21. 21. サービス システム割り当てID ユーザー割り当てID Azure Virtual Machines 〇 Preview Virtual Machine Scale Sets 〇 Preview Azure App Service Windows:〇 Linux: Coming Soon ー Azure Functions 〇 ー Azure Logic Apps 〇 ー Azure Data Factory V2 〇 ー Azure API Management 〇 ー Azure Container Instances Windows: ー Linux: Preview Windows: - Linux: Preview 最新情報 https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/services-support-msi 2018/10/23 現在
  22. 22. Service Resource ID Status Azure Resource Manager https://management.azure.com/ 使用可能 Microsoft Graph https://graph.windows.net 使用可能 Azure Key Vault https://vault.azure.net/ 使用可能 Azure Data Lake https://datalake.azure.net/ 使用可能 Azure SQL https://database.windows.net/ 使用可能 Azure Event Hubs https://eventhubs.azure.net/ プレビュー Azure Service Bus https://servicebus.azure.net/ プレビュー Azure Storage https://storage.azure.com/ プレビュー 最新情報 https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/services-support-msi 2018/10/23 現在
  23. 23. Resource Group
  24. 24. { "properties": { "displayName": "NSG X on every nic", "description": "This policy enforces a specific NSG on every virtual network interface", "parameters": { "nsgId": { "type": "string", "metadata": { "description": "Resource Id of the Network Security Group", "displayName": "Network Security Group Id" } } }, "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Network/networkInterfaces" }, { "not": { "field": "Microsoft.Network/networkInterfaces/networkSecurityGroup.id", "equals": "[parameters('nsgId')]" } } ] }, "then": { "effect": "deny" } } } }
  25. 25. 34 Blueprint Policy Assignment Role Assignment(RBAC) Azure Resource Manager Template Built-in Custom Management Group and
  26. 26. 35 35
  27. 27. Resource Group
  28. 28. Azure Blueprints & Policy to get DevOps right | Best of Microsoft Ignite 2018 https://www.youtube.com/watch?v=OiOXlgFNgDo
  29. 29. NoOps
  30. 30. uncomfortable No Ops
  31. 31. Security DevOps Secure the subscriptio n Enable secure developme -nt Integrate security into CICD Continuous Assurance Alerting & Monitoring Cloud Risk Governance 起点はサブスクリプションのセキュリティ設計 • Azure AD による認証と認可 • 多要素認証 • Identity Protection • Managed Identity • ARM & Role-based Access Control • モニター • Azure セキュリティセンター • Log Analytics • ガバナンス • Azure Blueprints/Azure Policy • Just Enough Administration(JEA) • PowerShell JEA • Azure AD 特権管理
  32. 32. 44 Identity is the new perimeter Identity Provider(Authority)
  33. 33. 45 参考URL https://docs.microsoft.com/ja-jp/azure/security/ • Advanced threat detection • Azure logging and auditing • Azure network security • Azure serverless platform security • Container security in Azure • Enabling operational security • Isolation in the Azure cloud • Secure hybrid network architecture • Security technical capabilities
  34. 34. 46 © 2018 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

×