責任共有モデル

Azureのようなパブリッククラウドでは、クラウドプロバイダーが処理するセキュリティタスクと利用者が処理するタスクを理解しておくことが重要です。オンプレミスのデータセンターでは、利用者がスタック全体を所有し管理しますが、クラウドでは責任の一部がクラウドプロバイダに委譲されます。

下図は、サービスの種類に応じた利用者とMicrosoftの責任範囲を示しています。

  • Azureのセキュリティに関する責任分担

これらの責任範囲を理解したうえで、プロジェクトの初期段階からセキュリティの設計をすることが重要です。もし、セキュリティの設計を後回しにしてしまうと、セキュリティポリシーがITやビジネスの要件を満たせず、損失やセキュリティインシデントを発生させてしまうかもしれません。

そのような事態を招かないように、Azureではツール、追跡、セキュリティ機能の向上を通じてセキュリティの強化を図るセキュリティベースラインとセキュリティ体制管理と脅威保護のためのMicrosoft Defender for Cloudを提供しています。Azure Security CenterとAzure Defenderを統合して、Azure Defender for Cloudと呼ばれています。

セキュリティベースラインは、Center of Internet Security (CIS)で説明されているようなよく知られたベンチマークと一貫性があり、Azureセキュリティベンチマークに記載された制御領域に関するガイダンスを提供します。

Microsoft Defender for Cloudでは、Defenderプランとしてコンピューティング、データ、サービスレイヤの包括的な防御の計画を提供しています。コンテナ環境用の Microsoft Defender for containersには、Defender for KubernetesとDefender for Container registriesが統合されており、次のような機能を提供します。

  • kubernetesのクラスタを継続的に評価し、脅威をもたらす誤った構成とガイドラインを可視化

  • Azure Container Registryに格納され、Azure Kubernetes Servicesで実行されているイメージの脆弱性スキャンと評価

  • kubernetesノードとクラスタ実行時の脅威保護

Defender for KubernetesはAzure Kubernetes Serviceだけではなく、他社クラウドのkubernetesサービス、オンプレミスのkubernetesサービスやRed Hat OpenShiftなども評価できます。

Azureサブスクリプションの分離

Azureでは、管理グループ、サブスクリプション、リソースグループ、リソースの4つの階層構造でリソースを管理しています。サブスクリプションはリソースの論理コンテナで、各Azureリソースは1つのサブスクリプションだけに関連付られ、課金用のコンテナという役割のほかに、セキュリティの境界としても機能します。仮想ネットワーク(VNet)はクラウド内のユーザー独自のネットワークを表したもので、特定のサブスクリプション専用にAzureクラウドネットワークが論理的に分離されています。

[Azureのロールベースのアクセス制御(RBAC)](https://docs.microsoft.com/ja-jp/azure/role-based-access-control/overview) では、Azureのリソースにアクセスできるユーザー、そのユーザーがそれらのリソースに対してできることを管理できます。RBACのスコープは4つのレベル(管理グループ、サブスクリプション、リソースグループ、リソース)で指定でき、例えば、あるユーザーはサブスクリプション内の仮想マシンの管理を許可し、別のユーザーには仮想ネットワークの管理を許可することができます。

  • Azureのリソースの階層

今回は、クラウドセキュリティの概要について説明しました。次回のテーマは、クラウドで動かすKubernetesのセキュリティを学ぶうえで知っておきたい「コンテナのおさらい」です。

著者プロフィール


NRI セキュアテクノロジーズ  田中 悠一郎(たなか ゆういちろう)


2016年に NRIセキュアテクノロジーズ株式会社に入社。セキュリティ診断やペネトレーションテスト に従事 。セキュリティ診断ではWebアプリケーションやスマートフォンアプリ、ブロックチェーンを活用したシステムの診断を担当する他、コンテナオーケストレーションシステムを対象としたコンテナ診断サービスの立ち上げに従事。

Microsoft 大 溝 桂 (おおみぞ けい)


k8sなどのコンテナ基盤の中でも OpenShiftとの関わりは長く、OpenShift on Azureの推進を長いことやっています。