Azureにおけるセキュリティを考えてみる

・Azureってなに?
 AzureとはMicrosoftが提供しているCloud Serviceです。
 たとえば、AmazonのAWS、GoogleのCloud PlatformなどもCloud Serviceとなります。

・なんでセキュリティの話?
 経験上、仕事の際などにどれだけセキュリティが高いのかや、どうやってもっとセキュリティを高めればいいのかを、聞かれたり、考えたりということをする機会が増えたので、自分のメモ的に現在(2018/02)時点での考えを取りまとめるためにちょうどいいのでBlogのネタにしました。

 まあ、概要がここに書いてあったりするんですけど。
 Microsoft Azure セキュリティの概要
 https://docs.microsoft.com/ja-jp/azure/security/azure-security-getting-started

 というわけで、この見解は私の個人的な独断と想像、いじれた範囲からの記事であることをご承知下さい。

 この辺に関しては、全体的な構成図と一緒にどこかでMS社に公開してほしいような気がするんですが、、、

・Cloudとは言っても物理的なサーバは存在しているはずで、そのセキュリティは?
 Azure本体(データセンター)のセキュリティといった部分ですね。
 現在世界各国で42 リージョンが存在しているそうですが、当然そこのセキュリティは強固です。
 クラウドのサービス拠点として、日本は東日本、西日本と書かれますが、どこに置かれているかの正確な場所は非公表ですし、MSの中の方々でも知っている方はほとんどいないのではないかと思います。

 https://azure.microsoft.com/ja-jp/overview/datacenters/how-to-choose/

 ちなみに、ディスクドライブの廃棄の際は、構内の専用箇所でデータの消去作業後、最低4つに分断、かつ専用コンテナでそれぞれ違う国の処分場へ輸送の上で、最終処分を行うとのことです。

・AzureってMSが監視しているの?
 契約クラウドサービスそのものの完全監視は行っていないようですが、その基盤は当然MSの監視下であり、今までもMS本体へ世界中からアタックを受けながらも、セキュリティを確保している高度なセキュリティレベルをクラウドサービスの基盤部分でも実施しているそうです。

 よく、自前のほうが安全ではないかという方々がおられますが、MSと同等の金額と人員規模、技術力をそろえることが
できているのかご確認ください。
 なお、セキュリティセンターの入り口の写真(ロゴの壁)とか、内部イメージはたまにMSの講演で表示されることがあります。

・インターネットにさらされているんだから全部IP制御させろ
 全部は無理です。
 とはいえ、外部アクセス制御そのものはNSG(ネットワークサービスゲートウェイ)などで行うことができます。
 また、PasS/SaaS/FaaSで作成されるAPIに関しては、各種サービスを組み合わせることで制御可能ですが、そんなにアクセス不能にすると自身で開発したサービスの継続開発や運用に支障をきたします。

・どんな開発の組み合わせがあるの?
 開発でよくあるのは「WebApps(ApiApps)」「LogicApps」「Funcsions」の組み合わせでしょうか。

 「ApiApps」に関しては以前はAppricationGateWay(AppGW)を使用するにはAzure App Service Environment(ASE)を作成し、その中に配置することでIP遮断とGW制御が可能となっていました。

 とはいえ、いまならASEを使用しなくてもAppGWをApiAppsに使用可能なので、NSGによる制御で十分ではないでしょうか?

 ASEのもう一つの利点としては閉塞ネットワーク制御に便利といった部分でしょうか。

 Azure のネットワーク セキュリティの概要
 https://docs.microsoft.com/ja-jp/azure/security/security-network-overview

 「Funcsions」もApiAppsと同じように制限可能です。

 そして自分がかかわった中ではよく議題に上がるのが「LogicApps」に関してです。
 機能としては「Logic Flow」と呼ばれるサービスになるのですが、これは外部に公開することを前提としたサービスのため、IP制御が基本的にはできません。(IPアドレス制限はできる)

 「WebApps(ApiApps)」「LogicApps」「Funcsions」に対してセキュリティ保護をかけるのであれば、API Management Serviceを使用し、Azure Active Directoryと連携した総合API管理を行うのが良いと思っていますが、なかなかそこまでという場合は、そもそも公開しないか、クラウドでやるのか再検討してくださいとしか言えません。

・個人想像での図としてはこんな感じかなと
 その2に続く

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

This site uses Akismet to reduce spam. Learn how your comment data is processed.