はじめに
くどうです
そろそろAzureでもセキュリティのお話を取り上げていかないとヤバいかなっと。
今回はMicrosoft Azure Advent Calendar 2017 のネタになります。
https://qiita.com/advent-calendar/2017/azure
忙しすぎて軽すぎるネタです。
Azureで用意されているもの
Azureのセキュリティ=AzureAD
とイメージをする人も少なくないと思います。
ID管理も立派なセキュリティですから、そのイメージはもっと広げてください。
さて、AzureAD 以外にもAzureにはサービスが用意されています。
下記のサイトからセキュリティに関係ありそうなものをピックアップしていきたいと思います。
https://azure.microsoft.com/ja-jp/services/
Azure Active Directory
Azure Active Directory は、クラウド アプリケーションの ID 管理とアクセス制御を実現します。クラウド アプリケーションへのユーザー アクセスを簡略化するために、オンプレミスの ID との同期を行い、シングル サインオンを有効にすることもできます。Azure Active Directory には、Free、Basic、Premium の 3 つのエディションが用意されています。
https://azure.microsoft.com/ja-jp/services/active-directory/
Multi-Factor Authentication
Azure Multi-Factor Authentication は、認証レイヤーをさらに提供することによってオンプレミス アプリケーションとクラウド アプリケーションへの無許可のアクセスを防ぐことができます。組織のセキュリティとコンプライアンスの標準に準拠しつつ、使いやすいアクセスを求めるユーザーの要望にも対応します。
https://azure.microsoft.com/ja-jp/services/multi-factor-authentication/
Azure Active Directory Domain Services
Azure Active Directory Domain Services は、ドメイン参加、LDAP、Kerberos、Windows 統合認証およびグループ ポリシー サポートなどの、スケーラブルでハイパフォーマンスな、管理されたドメイン サービスを提供します。管理者は、ボタンをクリックするだけで、Azure インフラストラクチャ サービスにデプロイされた仮想マシンやディレクトリ認識アプリケーションに対して、管理されたドメイン サービスを有効にすることができます。Azure Active Directory Domain Services は、Windows Server Active Directory と同じ基本テクノロジで構築されており、従来のオンプレミス アプリケーションをクラウドに簡単に移行することができます。
https://azure.microsoft.com/ja-jp/services/active-directory-ds/
Azure Advisor
Azure Advisor は個別化されたリコメンデーション エンジンで、お客様が Azure のベスト プラクティスをフォローするのに役立ちます。お客様の Azure リソース構成と使用テレメトリを分析して推奨事項を提示して、お客様がコストを削減し、アプリケーションのパフォーマンス、セキュリティ、信頼性を改善できるようにします。
https://azure.microsoft.com/ja-jp/services/advisor/
Key Vault
Azure Key Vault を使用すると、ハードウェア セキュリティ モジュール (HSM) を使った簡単かつコスト効率の良い方法でクラウド内のキーとその他の秘密情報を保護できます。HSM に格納されたキーを使用して、暗号化キーと小規模な秘密情報 (パスワードなど) を保護します。さらに安心感を高めたい場合には、FIPS 140-2 レベル 2 および Common Criteria EAL4+ 規格の認証を受けた HSM でキーをインポートまたは生成すれば、キーを HSM の境界内にとどめることができます。Key Vault は、Microsoft がキーを確認または抽出しないように作られています。開発とテストに使用する新しいキーを数分で作成でき、セキュリティ操作で管理されるプロダクション キーにシームレスに移行できます。Key Vault は、HSM とキー管理ソフトウェアのプロビジョニング、デプロイ、管理に伴う煩雑さなしにクラウド アプリケーションの需要に合わせて拡大/縮小できます。
https://azure.microsoft.com/ja-jp/services/key-vault/
Azure Active Directory B2C
Azure Active Directory は 1 日に何十億もの認証を処理できる実績のあるクラウド サービスです。現在パブリック プレビュー中の新たなサービス、Azure Active Directory B2C により、コンシューマー ID 管理の機能がさらに拡張されます。Azure Active Directory B2C はコンシューマー向けアプリケーションのための包括的な ID 管理ソリューションであり、どのプラットフォームにも容易に統合することができ、あらゆるデバイスからアクセスできます。パブリック プレビュー期間中、サービスは無料で提供されます。
https://azure.microsoft.com/ja-jp/services/active-directory-b2c/
Security Center
セキュリティ管理を統合し、Advanced Threat Protection をハイブリッド クラウド ワークロード間で有効にします
https://azure.microsoft.com/ja-jp/services/security-center/
VPN Gateway
Azure VPN Gateway を使用すると、Azure の仮想ネットワークとオンプレミスの IT インフラストラクチャ間の安全なクロスプレミス接続を確立できます。
https://azure.microsoft.com/ja-jp/services/vpn-gateway/
Content Protection
次に含まれる機能: Media Services
AES、PlayReady、Widevine、Fairplay を使用した安全なコンテンツ配信
https://azure.microsoft.com/ja-jp/services/media-services/content-protection/
Azure DDoS Protection
Azure DDoS Protection では、常時オンの監視とネットワーク攻撃の自動軽減が可能です。このサービスは、Azure 固有のプラットフォーム分析情報に基づくアダプティブ チューニングを採用し、お客様のアプリケーションへの DDoS 攻撃に関連した詳細な利用統計情報とアラートを提供します。
https://azure.microsoft.com/ja-jp/services/ddos-protection/
Network Watcher
Network Watcher は、ネットワーク シナリオ レベルで状態を監視して診断することができるサービスです。Network Watcher に備わっている診断および視覚化ツールを使用することで、VM 上でのパケット キャプチャの実施、仮想マシン上で IP フローが許可されているかどうかの把握、VM からのパケットのルーティング先の確認を行い、ネットワーク トポロジについての洞察を得ることができます。
https://azure.microsoft.com/ja-jp/services/network-watcher/
Azure Policy
組み込みポリシーを有効にするか独自のカスタム ポリシーを構築して、Azure リソースのセキュリティと管理を大規模なスケールで実現できます。リソース グループやサブスクリプション、または組織全体にわたる管理グループにもポリシーを適用できます。
https://azure.microsoft.com/ja-jp/services/azure-policy/
細かか機能は多く、日々アップデートがされていますので確認しましょう。
https://azure.microsoft.com/en-us/blog/topics/security/
Azure 全般のセキュリティについては
https://docs.microsoft.com/en-us/azure/security/
Azureのクラウド設計パターンにもセキュリティのパターンがあります。
https://docs.microsoft.com/ja-jp/azure/architecture/patterns/category/security
マイクロソフト全体のセキュリティについてはTrust Centerを参照すると良いかと思います。
https://www.microsoft.com/ja-jp/trustcenter
最近はやりの? GDPR コンプライアンについてもまとめられています。
https://www.microsoft.com/ja-jp/TrustCenter/privacy/gdpr
まとめ
列挙しただけなのでまとめにもなってないです(汗
そして、Azure Security Meetup を2018年からできればなぁと(超個人的に)思っています。
https://www.meetup.com/ja-JP/Azure-Security-Meetup/