クラウドは、企業がセキュリティを管理する方法を再定義し、クラウド生まれのアプリケーションを扱う場合でも、オンプレミスからワークロードを移行する場合でも、より警戒と多層的なセキュリティの実装を要求しています。
主要なクラウド サービス プロバイダーの 1 つである Microsoft Azure には、これらの新しい課題に対処するためのサービスとツールが多数用意されています。 それでも、クラウドのセキュリティは 共同責任です。 資産の物理的なセキュリティ、OS(PaaSサービスの場合)、アプリケーションスタック(SaaSの場合)などの一部の要因はクラウドサービスプロバイダーによって取り除かれますが、データ、エンドポイント、アカウントおよびアクセス管理のセキュリティはお客様の責任です。
Azure プラットフォームには、サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS)、サービスとしてのソフトウェア (SaaS) の各デリバリー モデルに大まかに分類できる多数のサービスが用意されています。 複数のオペレーティングシステム、アプリケーションスタック、最も一般的なDBプラットフォーム、コンテナホスティングソリューションをサポートしています。 アプリケーションが .NET、PHP、Python、Node.JS、Java、MySQL、SQL、MariaDB、Docker、 Kubernetes のいずれを使用して構築されているかに関係なく、Azure でホームを見つけることができます。
完全に管理されているデータセンターから Azure にアプリケーションを移行する場合、これらのワークロードを保護するプラットフォームに大きく依存します。 したがって、セキュリティの責任共有モデルは、ここでは役割と責任の境界に非常に関連します。
Microsoft は Azure プラットフォームの物理インフラストラクチャを所有し、そのセキュリティを処理し、 物理 データセンター、アクセス制御、スタッフへの必須のセキュリティ トレーニング、身元調査などのいくつかの側面をカバーしています。 ただし、Azure プラットフォームにワークロードをデプロイするときは、以下に要約するように、お客様とプロバイダーの間の責任の分担を考慮する必要があります。
上の画像に示されているように、物理データセンター、ネットワーク、ホストなど、一部のセキュリティ責任は クラウドプロバイダーが担当します。 ただし、IaaS、PaaS、SaaS モデルのいずれを使用しているかに応じて、OS アプリケーション スタックと追加のネットワーク層セキュリティ要件に対処する必要があります。
すべての組織のセキュリティ要件は一意であり、特定の各ワークロードのセキュリティを確保するために広範なカスタマイズが必要になります。 クラウドの高度な脅威ベクトルには、デフォルトで何も信頼されず、すべてが検証されるゼロトラストセキュリティアプローチが必要です。 クラウドセキュリティに対するこのプロアクティブなアプローチは、攻撃対象領域を減らし、攻撃が発生した場合の被害を制限するのに役立ちます。
セキュリティは、コンピューティング、ストレージ、ネットワークから、アプリケーション固有の制御、IDおよびアクセス管理に至るまで、アプリケーションスタックの各レイヤーに実装する必要があります。 最適な保護のためには、悪意のあるアクティビティをリアルタイムで検出する必要があるため、環境のセキュリティの状態を可視化することも重要です。
Azure では、さまざまなセキュリティ要求を満たし、クラウドセキュリティ体制を強化するために活用できる複数の構成可能なツールとサービスを通じて、ワークロードのセキュリティを実現します。 また、該当する場合はパートナーのセキュリティソリューションを使用して、このスタンスをさらに強化することもできます。
Security Center は Azure の一元化されたセキュリティ管理ソリューションであり、変化する脅威の状況にセキュリティ制御を適応させ、複数の種類の攻撃から組織をプロアクティブに保護するのに役立ちます。 Azure サービスは Security Center に自動的にオンボードされ、定義されたセキュリティ ベースラインに照らして監視されます。 既定のポリシーと調整されたポリシーを使用して、Azure サブスクリプションと含まれるリソースの状態を監視できます。 Security Center は、Azure 環境の継続的な評価に基づいて、セキュリティギャップに積極的に対処するために使用できる実用的な推奨事項を提供します。
また、Azure Security Center は包括的な脅威保護を提供し、サイバー キル チェーン分析を使用して、攻撃ベクトルをエンドツーエンドで可視化します。 さらに、Microsoft Defender for エンドポイントを使用して Azure サーバーを保護できます。 ビッグデータと分析の力によって進化する脅威に迅速に適応する高度な侵害検出センサーを提供し、ワークロードを保護するための優れた脅威インテリジェンスを提供します。
さらに、Windowsサーバーの自動オンボーディング機能と単一ペインの可視性により、運用上のオーバーヘッドが削減され、クラウドセキュリティチームの作業が容易になります。 Azure Security Center は、Azure Policy、Azure Monitor ログ、Azure クラウド App Security などのソリューションと統合され、詳細なセキュリティを実現します。
クラウドの脅威は、オンプレミスと同じではありません。 クラウドには、セキュリティの衛生状態を確保し、セキュリティのベストプラクティスが実装されていることを確認するために、クラウド生まれのソリューションが必要です。 Azure のクラウドセキュリティ Posture Management はこれを支援し、Azure のセキュリティ ワークロードをプロアクティブに管理できるようにします。
Security Center の "セキュリティ スコア" オプションは、環境が評価される複数の事前構築済みのセキュリティ制御を使用して、環境のセキュリティ体制を定量化するのに役立ちます。 これらのコントロールのいずれかが実装されていない場合、または構成に誤りがある場合、Security Center はスコアを改善するための規範的な推奨事項を提供します。 一方、規制コンプライアンス スコアでは、PCI DSS、HIPAA、Azure 独自の CIS、NIST などの標準に照らしてワークロードが評価され、公式のコンプライアンス状態を評価するのに役立ちます。
Security Center は、脆弱性の鳥瞰図を提供し、潜在的な攻撃に関するアラートを生成することで 、CSPM を有効にします。 各アラートには重大度のレベルがタグ付けされているため、軽減アクティビティに優先順位を付けることができます。 Security Center は、クラウドネイティブ ワークロード、IoT サービス、データ サービスと共に、環境全体の Windows マシンと Linux マシンを脅威から保護し、攻撃対象領域を減らすことができます。
クラウドアプリケーションの無秩序な増加により、すべてのアプリを監視し、安全なデータトランザクションを確保することがますます困難になっています。 Azure は、Microsoft Cloud App Security と呼ばれるクラウドセキュリティ ブローカー ソリューションを通じて、この懸念に対処するのに役立ちます。
このツールは、組織で使用されているクラウドサービスを検出し、それらに関連するリスクを特定することで、シャドーITから保護します。 このサービスの組み込みポリシーを使用すると、クラウド アプリケーションのセキュリティ制御の実装を自動化できるほか、16,000 を超えるアプリケーションをカバーし、80+ のリスク要因に基づいてスコア付けするクラウド アプリ カタログ機能を使用してアプリを承認または承認解除できるため、組織で許可するアプリの種類について十分な情報に基づいた決定を下すことができます。
さらに、クラウド App Security は、アプリケーションとそのセキュリティ状態を可視化し、アプリケーション間のデータの移動方法を制御します。 また、異常な動作を検出して侵害されたアプリケーションを特定し、自動修復をトリガーしてリスクを軽減することもできます。 規制コンプライアンスについてアプリケーションをさらに評価し、準拠していないアプリへのデータの移動を制限し、アプリ内の規制対象データも不正アクセスから保護できます。
他の Microsoft セキュリティ ソリューションとのネイティブ統合により、比類のない脅威インテリジェンスと詳細な分析が提供され、クラウド内のさまざまな種類の攻撃からアプリケーションを保護します。
Azure Security Center は、AKS などのコンテナー ホスティング環境や、Docker を実行している VM のセキュリティ ベースラインと評価を提供し、潜在的な構成ミスやセキュリティの抜け穴を特定します。 Docker 環境のセキュリティ強化は、Security Center に統合された推奨事項を使用して CIS ベンチマーク に照らして監視することで可能になります。 同様に、監視と高度な脅威検出は、AKS ノードとクラスターで使用できます。 また、Kubernetes クラスター用の Azure Policy アドオンを有効にして、Kubernetes API サーバーへの要求を、サービスを受ける前に、定義されたベスト プラクティスに照らして監視することもできます。
一方、Azure Defender は、Web シェルの検出、疑わしい IP からの接続要求、特権コンテナーのプロビジョニングなどの疑わしいアクティビティを検出することで、AKS ノードとクラスターを実行時の脆弱性や侵入から保護します。 Azure Defender には、Azure Container Registry にプルまたはプッシュされたイメージをスキャンするための Qualys 統合も含まれています。 検出結果は Security Center に分類されて表示されるため、正常なイメージと異常なイメージを区別できます。
NSG は、Azure VNet に接続されているワークロードのネットワーク防御の最前線として機能します。 送信元、送信元ポート、宛先、宛先ポート、プロトコルを使用して 5 つのタプル ルールを使用して、受信トラフィックと送信トラフィックをフィルター処理します。 これらのグループは、サブネットまたは仮想マシンの NIC カードに関連付けることができ、ネットワーク間通信とインターネット アクセスを許可するいくつかの既定のルールが付属しています。 さらに、ネットワーク セキュリティ グループを使用すると、East-West および North-South トラフィックをきめ細かく制御し、アプリケーション コンポーネントの通信を分離できます。
Azure VNet は、Azure のネットワークの基本的な構成要素であり、ワークロードのマイクロセグメンテーションに役立ち、接続されたワークロードと他の Azure リソース、オンプレミス リソース、インターネットとの安全な通信を可能にします。 1 つの Azure VNet 内のリソースは、ピアリング、VPN、Private Link などのオプションを使用して明示的に接続されていない限り、既定では別の VNet 内のリソースと通信できません。VNet 内のサブネットで NSG を有効にすることで、セキュリティの別のレイヤーを追加できます。 さらに、カスタム ルート テーブルを作成することで、VNet 内でトラフィック シェーピングを使用できます (たとえば、パケット検査のためにすべてのトラフィックをネットワーク仮想アプライアンス経由でルーティングする場合)。
Azure VPN を使用すると、オンプレミスのデータセンター ネットワークからサイト間接続を介して、またはポイント対サイト接続を使用して個々のマシンから Azure リソースに安全に接続できます。 Azure へのトラフィックはインターネットを経由しますが、SSTP、OpenVPN、または IPSec を使用したセキュリティで保護された暗号化されたトンネルを経由します。 VPN 接続はブランチ オフィスのシナリオでは適切に機能しますが、Azure SLA によってサポートされる確実な接続のために、お客様はオンプレミスのデータセンターから Azure クラウドへの専用接続である ExpressRoute を選択できます。
Azure アプリケーション Gartner Magic Quadrant は、アプリケーション層 (OSI レイヤー 7) で動作し、HTTP 属性に基づいてバックエンド プール内のリソースにトラフィックをリダイレクトするロード バランサーです。 SQLインジェクション攻撃、クロスサイトスクリプティング、HTTPリクエスト分割、リモートファイルインクルードなどの一般的な攻撃からアプリケーションを保護するのに役立つWebアプリケーションファイアウォール(WAF)を備えています。 事前定義されたセキュリティルールのセットが付属していますが、独自のルールを柔軟に定義することもできます。 このサービスは、 OWASP ModSecurity Core Rule Set に基づいており、自動的に更新して、新しい脆弱性や進化する脆弱性からアプリケーションを保護することができます。
クラウド主導の世界では、アイデンティティが新しいセキュリティ境界として浮上しています。 Azure には、ホストされているアプリケーションへのアクセスを制御するために、Azure Active Directory (AD) によって有効になるロールベースのアクセス制御 (RBAC) が用意されています。 最小特権の原則 (PoLP) に従って、ユーザーには作業に必要な最小限のアクセス権のみを付与することをお勧めします。 この権限は、ユーザーに割り当てられたロールによって決定され、組み込みロールの 1 つ、または管理者が定義したカスタムロールのいずれかになります。
VM の Just-In-Time (JIT) アクセス、ストレージの Shared Access Signature、多要素認証などのオプションを使用して、IAM をさらに強化できます。 また、Azure AD 監査ログと Azure アクティビティ ログを使用してユーザー アクティビティをログに記録して追跡し、侵害された ID と悪意のあるユーザーを特定することも重要です。
多くの場合、ネイティブのツールやサービスは出発点として適していますが、クラウド内の進化する脅威アクターからアプリケーションを保護するための高度な機能を備えたツールも必要です。 包括的なクラウドセキュリティを確保するためには、次の追加機能が不可欠です。
CloudGuard は、これらの機能があらかじめ組み込まれているため、上記のすべてに役立ちます。 Azure ネイティブ ツールとシームレスに統合され、Azure でホストされているデータとワークロードのセキュリティが強化されます。
CloudGuardが クラウドセキュリティの目標達成にどのように役立つかについて、今すぐお読みください。