セキュリティ設計原則
セキュリティ設計原則は、クラウドまたはオンプレミスのデータセンター (または両方の組み合わせ) でホストされる、セキュリティで保護された設計されたシステムを表します。 これらの原則を適用すると、セキュリティ アーキテクチャによって機密性、整合性、および可用性が保証される可能性が大幅に向上します。
Azure Well-Architected Framework に含まれている原則を使用してワークロードを評価するには、「Microsoft Azure Well-Architected レビュー 」を参照してください。
以下の設計原則により次のものが提供されます。
- 質問のコンテキスト
- 特定の側面が重要である理由
- セキュリティに対する側面の適用方法
これらの重要な設計原則は、Azure にデプロイされたアプリケーションのセキュリティを評価するためのレンズとして使用されます。 これらのレンズは、アプリケーション評価に関する質問のためのフレームワークを提供します。
リソースとリソースを強化する方法を計画する
推奨事項:
- ワークロード リソースを計画する際は、セキュリティを考慮してください。
- 個々のクラウド サービスがどのように保護されるのかについて理解します。
- サービス有効化フレームワークを使用して評価します。
最小特権の自動化と使用
推奨事項:
- アプリケーションとコントロール プレーン全体で最小特権を実装して、データの侵入や悪意のあるアクターのシナリオから保護します。
- DevSecOps を使用して自動化を実現し、人間の操作の必要性を最小限に抑える。
データの分類と暗号化
推奨事項:
- リスクに応じてデータを分類する。
- 保存時と転送中に業界標準の暗号化を適用します。これにより、キーと証明書が安全に格納され、適切に管理されます。
システム セキュリティの監視、インシデント対応の計画
推奨事項:
- セキュリティ イベントと監査イベントを関連付け、アプリケーションの正常性をモデル化します。
- セキュリティ イベントと監査イベントを関連付け、アクティブな脅威を特定します。
- インシデントに対応するための自動化された手動の手順を確立します。
- 追跡には、セキュリティ情報およびイベント管理 (SIEM) ツールを使用します。
エンドポイントを識別して保護する
推奨事項:
- 次のようなセキュリティ アプライアンスまたは Azure サービスを使用して、内部エンドポイントと外部エンドポイントのネットワーク整合性を監視および保護します。
- ファイアウォール
- Web アプリケーション ファイアウォール
- 業界標準のアプローチを使用して、SlowLoris などの分散型サービス拒否 (DDoS) 攻撃などの一般的な攻撃ベクトルから保護します。
コード レベルの脆弱性から保護する
推奨事項:
- クロスサイト スクリプティングや構造化クエリ言語 (SQL) インジェクションなど、コード レベルの脆弱性を特定して軽減します。
- 運用ライフサイクルでは、次の機能を定期的に組み込む必要があります。
- セキュリティに関する修正
- コードベースと依存関係の修正プログラムの適用
潜在的な脅威をモデル化してテストする
推奨事項:
- 既知の脅威を特定して軽減するための手順を確立します。
- 侵入テストを使用して脅威の軽減策を確認します。
- 静的コード分析を使用して、将来の脆弱性を検出して防止します。
- コード スキャンを使用して、将来の脆弱性を検出して防止する