Service Enable Framework とは Cloud Adoption Framework(CAF)における “準備” の設計領域の一つであるセキュリティについて検討する際に利用されます。Service Enable Frameworkを利用することで、既存のワークロードを以下の観点で評価することができます。これらの評価を行った結果、Azureへのデプロイにおいて何か不足していることが無いかをチェックすることが可能となります。
- セキュリティ
- ID管理とアクセス管理
- ガバナンス
- オペレーション
- コンプライアンス
これらの評価を行った結果、ワークロードをAzureにデプロイするにあたり、何か不足していることが無いかといったチェックが可能となります。
サービスの有効化フレームワーク
Service Enable Framework は Well-Architected Framework の原則のひとつであるセキュリティにて推奨事項のひとつとして記載されています。以下の記事も併せてご確認ください。
[Azure Well-Architected Framework] セキュリティの原則
以下に各チェックリストを記載していきます。少々分かりづらい記載や表現がありますので、私なりの解釈を補足していきます。
今回は「セキュリティ」と「ID管理とアクセス管理」について記載してます。
※比較的重要と思われる項目をピックアップしております。
セキュリティ
ネットワークエンドポイント
| 評価基準 | 補足 |
| – サービスには、仮想ネットワークの外部からアクセスできるパブリック エンドポイントがありますか。 | 例1:App ServiceでWebサイトが構成されている場合、外部からの443,80アクセスを許可する必要があればそれが外部からアクセスできるエンドポイントとなります。WAFを設置することでセキュリティを向上させることができます。 例2:仮想ネットワーク内にはパブリックIPを持つ仮想マシンが存在している場合は外部からアクセスが可能となります。サブネット単位でNSGによりアクセス元を制限するなどといった方法で保護ができます。 |
| – 仮想ネットワーク サービス エンドポイントをサポートしていますか。 – Azure サービスとサービス エンドポイントは直接対話できますか。 – Azure Private Link エンドポイントをサポートしていますか。 | プライベートアクセスが必要で、AzureでPaaSの利用が想定される場合に検討の余地があります。サービスに対するプライベートアクセスが必要ない場合には検討の必要はありません。 サービスエンドポイント、プライベートエンドポイントはプライベートネットワークからPaaSサービスへのアクセスを許可することができます。 |
| – 仮想ネットワーク内にデプロイできますか。 | 仮想ネットワーク内のリソースをNSGで保護できていれば特にセキュリティの問題はなくなると思います。 |
データの流出防止
| 評価基準 | 補足 |
| – サービスとしてのプラットフォーム (PaaS) サービスには、Azure ExpressRoute Microsoft ピアリングに個別の Border Gateway Protocol (BGP) コミュニティがありますか。 – ExpressRoute によって、サービスのルート フィルターは公開されますか。 | ExpressRouteの利用がある場合には検討する余地があります。 ExpressRouteの経路情報はBGPで接続元から伝搬されます。どういった通信経路が必要なのかを考えてルーティングの設計をする必要があります。また通知をさせたくない場合には必要以上の経路情報を伝搬させないように注意します。 |
管理およびデータ プレーン操作にネットワーク トラフィック フローを適用する
管理(コントロール)プレーンとデータプレーンについては以下を参考にしてください。
| 評価基準 | 補足 |
| – サービスに出入りするトラフィックを検査することはできますか。 | AzureではNetwork WatcherのNSGフローログを分析するTraffic Analyticsという機能がありますので、必要であればこちらを利用します。 |
| – ユーザー定義のルーティングを使用してトラフィックを強制的にトンネリングできますか。 | ネットワーク要件が厳しい場合には強制トンネリングを行う必要性が生じることもありますが、Azure Backupなどインターネット通信が必要なサービスも多くありますのでご注意ください。 |
| – 管理操作に Azure 共有パブリック IP 範囲は使用されますか。 | Azureの管理ポータルは共通なので共通のパブリックIPに対して通信を行うことになります。Azure Portalにアクセスができる管理者アカウントの強化という観点であればID,PWのみの認証ではなく多要素認証を有効化することが最も手軽にセキュリティを強化できます。 データプレーンへのアクセスについて、例えばSQL Databaseにアクセスする場合はAzure AD認証を有効にするか、SQL認証を用いる場合にはアクセス元のパブリックIPを制限することでセキュリティを強化することができます。 |
保存時のデータの暗号化
| 評価基準 | 補足 |
| – 暗号化は既定で適用されますか。 | ストレージアカウントやSQL DBを例にすると、データは既定で暗号化されています。利用するサービスの暗号化が既定で有効になっているかは確認が必要です。 |
ソフトウェアのデプロイ
| 評価基準 | 補足 |
| – ソフトウェアのデプロイはどのように行われ、管理されていますか。 | ソースコード管理、ビルド・デプロイ方法を確認して適切に管理されているのかを確認します。 |
| – ソースまたはコードの整合性を制御するためにポリシーを適用できますか。 | ブランチ戦略を採用しているかどうかを確認します。 |
| – ソフトウェアがデプロイ可能な場合、マルウェア対策機能、脆弱性管理、セキュリティ監視ツールを使用できますか。 | 先のようなセキュリティ対策として必要な診断が実施できているか確認します。 |
ID管理とアクセス管理
認証とアクセス制御
| 評価基準 | 補足 |
| – すべてのコントロール プレーン操作が、Azure Active Directory (Azure AD) によって管理されていますか。 AKS の場合のように、入れ子にされたコントロール プレーンがありますか。 | “コントロール プレーン” は、サブスクリプション内のリソースの管理を指します。ほとんどはAzure Portalからのみ操作を行いますので、その場合はAzure ADにて認証が行われ、ログインや操作情報のログは残ります。 |
| – データ プレーンへのアクセスを提供するにはどのような方法がありますか。 | データプレーンへのアクセスとは、サブスクリプション内に作成されたリソースへのアクセスのことを指します。Azureに作成される予定のリソースにはどんなものがあるか把握しておく必要があります。 |
| – データ プレーンは Azure AD と統合されますか。 | VMにRDPでアクセスすることや、SQL DatabaseにSQL認証でアクセスする場合は各リソース内のログ情報でしかアクセス情報が確認できません。Azure ADと認証を統合することでAzure ADで統合してアクセス管理ができるほかログも確認可能です。 |
| – Azure サービス間の認証では、マネージド ID やサービス プリンシパルが使用されますか。 | 資格情報の管理方法によっては検討の余地あります。例えばソースコード内に資格情報が記載されている場合などは情報漏洩の危険性があるため、マネージドIDやサービスプリンシパルの利用が推奨されます。 |
| – 適用可能なキーまたは Shared Access Signature はどのように管理されますか。 | Storageへのアクセス方法としてアクセスキー、SAS、サービスプリンシパルがあります。それらの管理方法のひとつとしてAzure Key Vaultを利用するとキーのローテーションをアプリケーションの中断なく自動で行うことができ、セキュリティが向上します。 |
職務の分離
| 評価基準 | 補足 |
| サービスでは、Azure AD 内のコントロール プレーンとデータ プレーンの操作は分離されていますか。 | 例えば管理者はコントロールプレーンを操作できるが、開発者はデータプレーンの操作に留める、といったように役割に応じて権限を分離することでセキュリティが向上すると考えられます。 |
(←参考になった場合はハートマークを押して評価お願いします)
読み込み中...