Azureの設定に関する最も一般的な問題とその対処法 #aqua #セキュリティ #Azure #CSPM
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2021年4月23日に公開された「 Most Common Azure Configuration Issues and How to Treat Them 」の日本語翻訳です。
Azureの設定に関する最も一般的な問題とその対処法
何百もの製品やクラウドサービスを提供する Microsoft Azure Cloud は、それを支える十分な能力を備えていますが、それらすべてを適切に設定しておくのは大変な作業です。しかし、インフラの健全性と安全性を確保するために、今すぐ実行できることがいくつかあります。
ほとんどのクラウドネイティブ製品がそうであるように、すべてが同じように構成されるわけではありません。そこで私たちは、サービスの人気度、セキュリティリスク、他のコントロールやサービスとの相互作用や、何十万件もの設定チェックを行ってきた経験など、複数の要素に基づいて設定上の問題を評価しました。
起こりうる問題を事前に把握しておくことは、組織にとって戦略的な優位性をもたらすため、Azure の設定とその適切な管理方法を理解しておくことは、明らかな優位性につながるでしょう。お客様のインフラストラクチャの管理とセキュリティを向上させるために、以下の一般的な構成問題のリストを用意しました。
Azure サービス全体の設定リストについては、ホワイトペーパー「The 10 Most Common Azure Configuration Challenges」にて提供しています。
ネットワークセキュリティグループ(NSGs)
ネットワークセキュリティグループは、Azure の最も基本的なセキュリティリソースの1つです。これは、Azure 仮想ネットワーク内のリソースとの間のネットワークトラフィックをフィルタリングします。Redis Cache、Azure Functions、Azure Container Instances など、ほとんどの Azure サービスは、仮想ネットワークサービスに展開できます。作成されたセキュリティグループには、いくつかのタイプの Azure リソースとの間のインバウンドトラフィックを許可/拒否するセキュリティルールが含まれています。
デフォルトのセキュリティグループ:定義済みのセキュリティグループが適用されていない場合に有効となるデフォルトのセキュリティグループが、デフォルトですべてのトラフィックをブロックするようにします。デフォルトのルールですべてのトラフィックをブロックするように設定することで、意図しない漏洩を防ぐことができます。
設定の見直し:デフォルトのセキュリティグループのルールを更新して、デフォルトですべてのトラフィックを拒否する。 |
Azure Kubernetes Service (AKS)
AKS は、可用性が高く、安全で、かつ完全に管理された Kubernetes サービスを提供するように設計されています。AKS は、コンテナアプリケーションをより迅速にデプロイし、より簡単に管理する方法をユーザに提供します。Azure AKS は、サーバーレスな Kubernetes に加え、一般的な CI/CD・セキュリティ・ガバナンスツールと統合できます。このサービスは、開発チームと運用チームに1つのプラットフォームを提供し、アプリケーションの構築とデプロイの円滑・高速化を支援します。
Kubernetes の RBAC 対応:AKS の RBAC は、Azure AD のロールをベースとして使用できます。これをオンにすることで AKS の各部分に適切なチームやユーザがアクセスできるようになります。
構成の見直し:すべての Azure Kubernetes クラスタに RBAC 認証を許可する。 |
Azure Blob Storage
Azure Blob Storage は、非構造化データ用のスケーラブルで安全なオブジェクトストレージを提供し、異なるデータベースシステムを導入することなく、データの一貫性とアクセスの柔軟性を実現します。Blob Storage は、Azure のクラウドネイティブ Platform as a Service(PaaS)、その他のサービスと組み合わせて利用できます。また、Azure AD ロールを使用しているため、関連するすべてのサービスで一貫したユーザパーミッションを実現できます。
- Blob コンテナへのプライベートアクセス:この構成を有効にすると、blob コンテナに認証が必要になります。反対に、パブリックアクセスを設定した Blob コンテナでは、匿名のユーザーが認証なしでパブリックアクセス可能なコンテナ内の Blob を読み取ることができます。
構成の見直し:各 Blob コンテナを設定して、匿名のアクセスを制限する。 |
まとめ
インフラストラクチャを適切に設定する方法について詳しく知りたい方のために、Azure における最も一般的な設定上の問題点 10 項目を、詳細な改善手順を含めてまとめました。