Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azure Data Lake Storage Gen 2 security recommen...
Search
Ryoma Nagata
September 16, 2022
Technology
1
690
Azure Data Lake Storage Gen 2 security recommendation
Microsoft Data Analytics Day(Online) 夜のLT会
https://sqlserver.connpass.com/event/257293/
Ryoma Nagata
September 16, 2022
Tweet
Share
More Decks by Ryoma Nagata
See All by Ryoma Nagata
Fabric + Databricks 2025.6 の最新情報ピックアップ
ryomaru0825
1
130
Microsoft Fabric のライセンスについて
ryomaru0825
2
3.9k
Microsoft Fabric OneLake を通じた Delta Lake & Iceberg の相互運用性
ryomaru0825
1
340
Microsoft Fabric OneLake の実体について
ryomaru0825
0
890
European Fabric Community Conference 2024 での個人的ピックアップ
ryomaru0825
1
230
Microsoft Purview Data Governance について
ryomaru0825
2
2k
Microsoft Fabric OneLakeの相互運用性、他ソリューションとの連動について
ryomaru0825
2
640
Microsoft Fabric 開発ガイド
ryomaru0825
13
13k
Microsoft Fabric と データメッシュ
ryomaru0825
3
6.1k
Other Decks in Technology
See All in Technology
Snowflake Summit 2025全体振り返り / Snowflake Summit 2025 Overall Review
mtpooh
2
390
TechLION vol.41~MySQLユーザ会のほうから来ました / techlion41_mysql
sakaik
0
180
GeminiとNotebookLMによる金融実務の業務革新
abenben
0
220
Definition of Done
kawaguti
PRO
6
480
AIの最新技術&テーマをつまんで紹介&フリートークするシリーズ #1 量子機械学習の入門
tkhresk
0
140
データプラットフォーム技術におけるメダリオンアーキテクチャという考え方/DataPlatformWithMedallionArchitecture
smdmts
5
630
セキュリティの民主化は何故必要なのか_AWS WAF 運用の 10 の苦悩から学ぶ
yoh
1
110
解析の定理証明実践@Lean 4
dec9ue
0
170
rubygem開発で鍛える設計力
joker1007
2
190
変化する開発、進化する体系時代に適応するソフトウェアエンジニアの知識と考え方(JaSST'25 Kansai)
mizunori
1
210
mrubyと micro-ROSが繋ぐロボットの世界
kishima
2
220
Абьюзим random_bytes(). Фёдор Кулаков, разработчик Lamoda Tech
lamodatech
0
330
Featured
See All Featured
GraphQLとの向き合い方2022年版
quramy
48
14k
Scaling GitHub
holman
459
140k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
181
53k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
281
13k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
GitHub's CSS Performance
jonrohan
1031
460k
Code Reviewing Like a Champion
maltzj
524
40k
Product Roadmaps are Hard
iamctodd
PRO
54
11k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.5k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Why Our Code Smells
bkeepers
PRO
337
57k
Transcript
Azure Data Lake Storage Gen2 の セキュリティの推奨事項について Microsoft MVP for
Data Platform 永田 亮磨 Twitter:@ryomaru0825 Linkedin:ryoma-nagata-0825 Qiita:qiita.com/ryoma-nagata
• スピーカーおよびセッションの背景 • エンプラ系の基盤構築を業務にしているアーキテクトが、 Data Lake Storage Gen2をセキュアに使うために整理した内容です。 • 対象者
• Azure Data Lake Storage Gen2(Blob Storage)を使用する方々 • ゴール • Azure Data Lake Storage Gen2(Blob Storage)のセキュリティ推奨事項 の内容と目的を理解する 本セッションについて
• セキュリティの観点 • Azure Data Lake Storage Gen2(Blog Storage)の セキュリティ推奨事項
• セキュリティ評価のための標準(ベンチマーク) 時間の都合上一部詳細を割愛するかもしれません AGENDA
共有責任モデル クラウド利用者はどの部分でセキュリティを検討することが必要か? • クラウドにおける共同責任 - Microsoft Azure | Microsoft Docs
• セキュリティを検討するうえで、どの部分に ついて保護の責任が生じるのかを理解し たうえで対策を講じる必要がある • ITインフラ→Microsoft • コンテンツ、アクセス管理→利用者 • Azure Storage のようなPaaSサービス ではOSより上の層で セキュリティ対策が必要 情報およびデータ モバイル端末やPC ID,アカウント情報 ID管理基盤 アプリのセキュリティ ネットワーク制御 OS保護 ホスト環境の物理保護 ネットワークの物理保護 データセンターの物理保護 共有 顧客 常に顧客側に取扱い責任 が発生 利用サービスにより異なる 常に提供者に責任を委任
• NIST CSF(サイバーセキュリティフレー ムワーク)であれば、左のような分類が ある • 特に防御~対応についてシステム的な 対策箇所が多い • システムはアクションにつなげるための前提
や、ツール的立ち位置が基本だが、 防御についてはシステム設定自体がアク ションであることが多い セキュリティの基本的観点 • セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構 識別 • 「資産管理」、「ビジネス環境」、「ガバナンス」、「リスクアセスメント」、「リスクマネジ メント戦略」、「サプライチェーンリスクマネジメント」 防御 • 「アイデンティティ管理とアクセス制御」、「意識向上およびトレーニング」、「データセ キュリティ」、「情報を保護するためのプロセスおよび手順」、「保守」、「保護技術」 検知 • 「異常とイベント」、「セキュリティの継続的なモニタリング」、「検知プロセス」 対応 • 「対応計画の作成」、「コミュニケーション」、「分析」、「低減」、「改善」 復旧 • 「復旧計画の作成」、「改善」、「コミュニケーション」
対応例 識別 • 「資産管理」、「ビジネス環境」、「ガバナンス」、「リスクアセスメント」、「リスクマネジ メント戦略」、「サプライチェーンリスクマネジメント」 防御 • 「アイデンティティ管理とアクセス制御」、「意識向上およびトレーニング」、「データセ キュリティ」、「情報を保護するためのプロセスおよび手順」、「保守」、「保護技術」 検知
• 「異常とイベント」、「セキュリティの継続的なモニタリング」、「検知プロセス」 対応 • 「対応計画の作成」、「コミュニケーション」、「分析」、「低減」、「改善」 復旧 • 「復旧計画の作成」、「改善」、「コミュニケーション」 • Azure RBACや、データベースアクセス制御、ファイアウォール、暗 号化、誤削除防止措置など • (IaaSであれば、ウィルス保護のような措置が必要) • Microsoft Defender for Cloudによる セキュリティスコアや脅威検出など • Azure Monitor Logs上のログ解析など • バックアップ、リストア計画など • セキュリティ標準の策定 • 資産管理であればAzure Resource Graphや、タグ管 理、Azure Policyなどを用いることも
対応例 識別 • 「資産管理」、「ビジネス環境」、「ガバナンス」、「リスクアセスメント」、「リスクマネジ メント戦略」、「サプライチェーンリスクマネジメント」 防御 • 「アイデンティティ管理とアクセス制御」、「意識向上およびトレーニング」、「データセ キュリティ」、「情報を保護するためのプロセスおよび手順」、「保守」、「保護技術」 検知
• 「異常とイベント」、「セキュリティの継続的なモニタリング」、「検知プロセス」 対応 • 「対応計画の作成」、「コミュニケーション」、「分析」、「低減」、「改善」 復旧 • 「復旧計画の作成」、「改善」、「コミュニケーション」 • Azure RBACや、データベースアクセス制御、ファイアウォール、暗 号化、誤削除防止措置など • (IaaSであれば、ウィルス保護のような措置が必要) • Microsoft Defender for Cloudによる セキュリティスコアや脅威検出など • Azure Monitor Logsでのログ解析など • バックアップ、リストア計画など • セキュリティ標準の策定 • 資産管理であればAzure Resource Graphや、タグ管 理、Azure Policyなどを用いることも Azure Storage (その他PaaS)の基本的推奨事項
多層防御 • 多層防御 - Learn | Microsoft Docs # 観点
例 1 物理的なセキュリティ • Azure データ センターの生体認証アクセス制御 https://docs.microsoft.com/ja- jp/azure/security/fundamentals/physical-security 2 IDとアクセス • Azure Active Directory ユーザー認証 • RBAC 3 境界 • DDoS保護 • Advanced Threat Protection (脅威検出機能) 4 ネットワーク • ネットワーク セキュリティ規則 • ファイアウォール、IPフィルタ 5 コンピューティング • OS および階層型ソフトウェア パッチを定期的に適用 (PaaSではベンダーの責任範囲となる) 6 アプリケーション • SSL/TLS で暗号化されたセッション 7 データ • Azure Blob Storage に保存中のデータの暗号化
Azure Data Lake Storage Gen2(Blog Storage)の セキュリティ推奨事項 • BLOB ストレージのセキュリティに関する推奨事項
- Azure Storage | Microsoft Docs • セキュリティ措置のための推奨事項が まとめられており、これらを設計に織り 込むことで多層防御を実現する
推奨事項 データ保護① よく要件化されるもの:暗号化 脅威を検知する リソースの誤削除を防御する 改ざんを防御する データファイルの誤削除を防御する
推奨事項 データ保護② 通信の盗聴を防御する ※なお保存時暗号化は常に有効となる。 (保存データに対する Azure Storage 暗号化 | Microsoft
Docs)
推奨事項 ID 管理とアクセス管理① • よく要件化されるもの:AD認証、アクセス制御の粒度 許可されない(AD認証されない、ロー ルをもたない)第三者によるアクセス を防御する キーの悪用を防御する
• キーによるアクセス • 認証→キーでは誰が利用したかが記録されない (キーを取得したログは取れても使用については取得できない) • 認可→ • キーによる許可:キーを使用できるロールは共同作成者などだが、キーが漏れればアクセス可能となる。 •
ストレージアカウント全体のすべてのデータ操作が可能 • SASトークンによる許可:どこまでできるかを定義したトークンを使う。 • トークン生成時に定義した操作のみ可能 • Azure AD認証によるアクセス • 認証→誰がアクセスしたかが明示的に記録。Azure ADにて誰なのかを識別 • 認可→ • Azure RBACによる許可:Blobデータ〇〇ロールを付与する • コンテナの粒度まで制御可能 • ACL設定による許可:セキュリティグループなどにRead/Write/Execute* を付与する • フォルダ、ファイルの粒度まで可能。ただし同一ファイル、フォルダに対しての設定数に32個の上限あり アクセス方式の重要性 • *:フォルダを開く権限
推奨事項 ID 管理とアクセス管理② アクセス範囲の意図せぬ拡大を防御す る 匿名アクセスの許可を防御する
是非チェックしてください
推奨事項 ネットワーク① • よく要件化されるもの:ネットワーク全般 通信の盗聴を防御する (データ保護のネットワーク側面から の確認) 許可されないネットワークからの アクセスを防御する (ファイアウォール)
※プライベートエンドポイント以外の アクセスで効果がある (プライベートエンド自体のアクセス 制御はNSGなどで)
ネットワーク制御方式について • *:変わってしまう。同じリージョンだとパブリックIPを持ったアクセスにならない Azure Storage ファイアウォールおよび仮想ネットワークの構成 | Microsoft Docs #
分類 アクセス元 説明 イメージ 1 IPフィルターを利用する ユーザー (AzureデータセンターのIP は非推奨*) パブリックIPを ホワイトリストに登録しま す。 2 信頼できる Microsoft サービス にストレージ アカウントへの アクセスを許可する Managed ID認証可能な リソース 権限付与された リソースはファイアウォー ルをパスします 3 リソースインスタンスの許可 Azureリソース 選択したリソースからの通 信を許可します。 (例:Synapse Serverless SQL 4 サービスエンドポイント利用 する Vnet内のリソース 特定のVnet内からのアクセ スを許可します 5 プライベートエンドポイント を利用する Vnet内のリソース プライベートIPをStorageに 付与します サービス エンドポイント プライベート エンドポイント
推奨事項 ネットワーク② 意図せぬ経路でのアクセスを防御する ※どちらかというとアクセス元の話
推奨事項 ログ記録または監視 • よく要件化されるもの:ログ記録設定 ※監視についてはクラウドでは監視ができることは当たり前で、どのアクションのための監視なのかの定義が要件化に重要 ログ解析によりインシデントに対応す る 特定の操作を検知する
• ログ記録、ログ可視化、アラートを分けて考える • ログ、メトリックを蓄積したい=ログ記録の要求 • ログ、メトリック(一定期間以上)→Storage or Log Analytics Workspace(最長2年間)にエク
スポート • リテンション(保持)期間は要検討 • 分析要求がなければ、Storageに出力が安価かつ長期間対応可能 • ログを分析したい=ログ可視化の要求 • ログ→Log Analytics Workspaceにエクスポート • メトリック→エクスポートなしでも可視化可能(クエリする場合はLog Analytics Workspaceへ) • 特定条件でアラートさせたい=アラートの要求 • ログ→ Log Analyticsクエリ結果に対して条件づけ • メトリック→メトリック状況に対して条件付け(エクスポートしている場合、Log Analyticsクエリでも可 能) 補足)ログ記録、監視検討のポイント
• セキュリティ設定をしたところでその妥当性が評価される必要がある • 「ベンダーのプラクティス通りだからOK」、だけではなくなんらかの標準と照らし合わせることが 重要 • CIS,NIST,PCI-DSSといった業界フレームワークとの整合をどのようにとるか、 継続的に評価する必要があります • DevSecOps
やってる?. 継続的アシュアランスをご存知でしょうか?継続的アシュアラン スの実現により、セキュ… | by Yuki Hattori | Medium セキュリティ標準に準拠しよう
• セキュリティコントロール • ネットワーク セキュリティ (NS) • ID 管理 (IM)
• 特権アクセス (PA) • データ保護 (DP) • アセット管理 (AM) • ログと脅威検出 (LT) • インシデント対応 (IR) • 体制と脆弱性の管理 (PV) • エンドポイント セキュリティ (ES) • バックアップと回復 (BR) • DevOps セキュリティ (DS) • ガバナンスと戦略 (GS) Azure セキュリティ ベンチマーク • Azure セキュリティ ベンチマークの概要 | Microsoft Docs • Microsoftが作成した、Azure上でのセキュリティ標準。 各項目が業界標準とマッピングされており、オープンな評価が可能
• セキュリティ標準に自分のリソースが準拠しているのかを確認、監視するための機能がそ ろっている • 選択したセキュリティ標準と実際のリソースの状況が照らし合わされ、 標準に準拠していないリソースを確認、修正するための動線がガイドされる Microsoft Defender for Cloudの活用
• Microsoft Defender for Cloud とは - Microsoft Defender for Cloud | Microsoft Docs
• セキュリティの重要な要素の概要 - Microsoft Azure Well-Architected Framework | Microsoft Docs
• NISTが定めるサイバーセキュリティフレームワークとは? | サイバーセキュリティ情 報局 (canon-its.jp) • 米国国立標準技術研究所 (NIST) サイバーセキュリティ フレームワーク (CSF) - マイクロソフト コンプライアンス |マイクロソフトドキュメント (microsoft.com) • Azure のエンドツーエンド セキュリティ | Microsoft Docs • Microsoft Azure Well-Architected Framework - セキュリティ - Training | Microsoft Docs 参考リソース集