Azure NetApp Files データ プレーンのセキュリティについて

ニーズに最適なソリューションを見つけられるように、Azure NetApp Files のさまざまなデータ プレーン セキュリティ機能について説明します。

データ プレーンのセキュリティの概念

Azure NetApp Files を操作する場合は、データ プレーンを理解していることが重要です。 データ プレーンはデータの格納および管理操作を担当し、セキュリティと効率の両方を維持するうえで重要な役割を果たします。 Azure NetApp Files には、データのセキュリティで保護された処理と格納を保証するためのアクセス許可の管理、データ暗号化 (転送中および保存時)、LDAP (ライトウェイト ディレクトリ アクセス プロトコル) 暗号化、ネットワーク セキュリティを含む、一連の包括的なデータ プレーン セキュリティ機能が用意されています。

アクセス許可の管理

Azure NetApp Files では、ネットワーク ファイル システム (NFS) とサーバー メッセージ ブロック (SMB) の種類に分類されるアクセス許可を使用して、ネットワーク接続ストレージ (NAS) データをセキュリティで保護します。 最初のセキュリティ レイヤーは、必要なユーザーとグループに制限された共有アクセスです。 共有のアクセス許可は最も制限が少ないため、ファネル ロジックに従う必要があります。これにより、共有レベルでのより広範なアクセスと、基になるファイルやフォルダーに対するよりきめ細かい制御が可能になります。

Azure NetApp Files で NAS データをセキュリティで保護するには、アクセス許可を効果的に管理する必要があります。 アクセス許可は、次の 2 つの主な種類に分類されます。

• 共有アクセス アクセス許可: これらのアクセス許可は、NAS ボリュームをマウントできるユーザーと、読み取り/書き込みの基本的なアクセス許可を制御します。

  • NFS エクスポート: IP アドレスまたはホスト名を使用してアクセスを制御します。
  • SMB 共有: ユーザーとグループのアクセス制御リスト (ACL) を使用します。

• ファイル アクセス許可: これらは、NAS ボリュームがマウントされた後にユーザーとグループが実行できる操作を決定します。 これらは次のとおりです。

  • 個々のファイルとフォルダーに適用されます。
  • 共有のアクセス許可よりきめ細かく指定できます。

共有アクセス アクセス許可

NFS エクスポートのポリシー:

• ボリュームは、クライアントまたは一連のクライアントからアクセス可能なパスをエクスポートすることによって NFS クライアントに共有されます。
• エクスポート ポリシーによってアクセスが制御されます。 エクスポート ポリシーは、望ましいアクセスの順序で一覧表示された一連のアクセス規則のコンテナーです。 優先順位の高い規則が最初に読み取られて適用され、クライアント用のそれ以降の規則は無視されます。
• 規則では、クライアント IP アドレスまたはサブネットを使用してアクセスを制御します。 クライアントがエクスポート ポリシーの規則に一覧表示されていない場合、そのクライアントは NFS エクスポートをマウントできません。
• エクスポート ポリシーでは、ルート ユーザーがクライアントに表示される方法を制御します。 ルート ユーザーが "スカッシュされている" (ルート アクセス = オフ) 場合、その規則にあるクライアントのルートは匿名 UID 65534 に解決されます。

SMB 共有:

• アクセスは、ユーザーとグループの ACL 経由で制御されます。
• アクセス許可には、読み取り、変更、フル コントロールを含めることができます。

詳細については、「NAS 共有のアクセス許可について」を参照してください。

ファイル アクセス許可

SMB ファイルのアクセス許可:

• 属性には、読み取り、書き込み、削除、変更のアクセス許可と、Windows によってサポートされている所有権の取得やよりきめ細かいアクセス許可が含まれます。
• アクセス許可は、親フォルダーから子オブジェクトに継承できます。

NFS ファイルのアクセス許可:

• NFSv3 と NFSv4.x では、モード ビットで表される従来の UNIX ファイルのアクセス許可を使用します。
• NFSv4.1 では、NFSv4.1 ACL を使用した高度なアクセス許可もサポートされています。

ファイル アクセス許可の詳細については、「NAS ファイルのアクセス許可について」および「SMB ファイルのアクセス許可について」を参照してください。

アクセス許可の継承

アクセス許可の継承を使用すると、親フォルダーがそのアクセス許可を、ファイルやサブディレクトリを含むすべての子オブジェクトに自動的に適用できます。 親ディレクトリにアクセス許可を設定すると、これらの同じアクセス許可が、その中に作成されたすべての新しいファイルやサブディレクトリに適用されます。

SMB:

• 高度なアクセス許可のビューで制御されます。
• 継承フラグを設定すると、アクセス許可を親フォルダーから子オブジェクトに伝達できます。

NFS:

• NFSv3 では、umask および setgid フラグを使用して継承を模倣します。
• NFSv4.1 では、ACL に関する継承フラグを使用します。

アクセス許可の継承の詳細については、「NAS ファイルのアクセス許可について」、NFS モード ビットの概要に関するページ、「NFSv4.x ACL の概要に関するページを参照してください。

考慮事項

• 最も制限の厳しいアクセス許可が適用される: 競合するアクセス許可が存在する場合は、最も制限の厳しいアクセス許可が優先されます。 たとえば、ユーザーが共有レベルでの読み取り専用アクセス権とファイル レベルでのフル コントロールを持っている場合、そのユーザーには読み取り専用アクセス権のみが与えられます。
• ファネル ロジック: 共有のアクセス許可は、ファイルやフォルダーのアクセス許可より制限を少なくする必要があります。 ファイル レベルでは、よりきめ細かく、制限の厳しい制御を適用します。

転送中のデータの暗号化

Azure NetApp Files の転送中の暗号化とは、クライアントと Azure NetApp Files サービスの間を移動するときのデータの保護を指します。 暗号化はデータがセキュリティで保護されていることを保証し、認可されていない第三者が転送中に傍受したり、読み取ったりすることはできません。

プロトコルと暗号化方法

NFSv4.1 では、AES-256 暗号化で Kerberos を使用した暗号化がサポートされており、NFS クライアントと Azure NetApp Files ボリュームの間で転送されるデータがセキュリティで保護されることが保証されます。

• Kerberos モード: Azure NetApp Files では、Kerberos 暗号化モード krb5、krb5i、krb5p がサポートされています。 これらのモードによってさまざまなレベルのセキュリティが提供され、krb5p では、データと整合性チェックの両方の暗号化により最も高いレベルの保護が提供されます。

NFSv4.1 暗号化の詳細については、「データの暗号化について」および「NFSv4.1 の Kerberos 暗号化を構成する」を参照してください。

SMB3 では、AES-CCM および AES-GCM アルゴリズムを使用した暗号化がサポートされており、ネットワーク経由のセキュリティで保護されたデータ転送が提供されます。

• エンド ツー エンド暗号化: SMB 暗号化は、エンド ツー エンドで行われます。 SMB の会話全体 (クライアントとサーバーの間で交換されるすべてのデータ パケットを含む) が暗号化されます。
• 暗号化アルゴリズム: Azure NetApp Files では、SMB 暗号化用の AES-256-GCM、AES-128-CCM 暗号化スイートがサポートされています。 これらのアルゴリズムは、転送中のデータのための堅牢なセキュリティを提供します。
• プロトコル バージョン: SMB 暗号化は、SMB 3.x プロトコル バージョンで使用できます。 これにより、最新の暗号化標準との互換性が確保され、強化されたセキュリティ機能が提供されます。

SMB 暗号化の詳細については、「データの暗号化について」を参照してください。

保存データの暗号化

保存時の暗号化では、ディスクに格納されている間のデータが保護されます。 物理ストレージ メディアが認可されていない個人からアクセスされた場合でも、適切な暗号化解除キーがないと、そのデータは読み取り不可能なままです。

Azure NetApp Files には、次の 2 種類の保存時の暗号化があります。

• 単一暗号化では、ソフトウェア ベースの暗号化を使用して保存データを保護します。 Azure NetApp Files では、FIPS (連邦情報処理標準) 140-2 標準に準拠している AES-256 暗号化キーを使用します。

• 二重暗号化は、ハードウェア ベースの暗号化レイヤー (暗号化された SSD ドライブ) とソフトウェア暗号化レイヤーの 2 つのレベルの暗号化保護を提供します。 ハードウェアベースの暗号化層は、FIPS 140-2 認定ドライブを使って物理ストレージ レベルに存在します。 ソフトウェア ベースの暗号化レイヤーはボリューム レベルにあり、2 番目のレベルの暗号化保護を完了します。

保存時のデータ暗号化の詳細については、「データの暗号化について」および「保存時の二重暗号化」を参照してください。

キー管理

データ プレーンは、データを暗号化および暗号化解除するために使用される暗号化キーを管理します。 これらのキーは、プラットフォーム マネージドまたはカスタマー マネージドのどちらかです。

• プラットフォーム マネージド キーは Azure によって自動的に管理されるため、キーのセキュリティで保護された格納とローテーションが保証されます。
• カスタマー マネージド キーは Azure Key Vault に格納されるため、暗号化キーのライフサイクル、使用アクセス許可、監査を管理できます。
• マネージド ハードウェア セキュリティ モジュール (HSM) を使用したカスタマー マネージド キーは、Azure NetApp Files ボリューム暗号化機能用のカスタマー マネージド キーの拡張機能です。 この HSM 拡張機能は、Azure Key Vault (AKV) で使われる FIPS 140-2 レベル 1 やレベル 2 サービスではなく、より安全な FIPS 140-2 レベル 3 HSM に暗号化キーを格納できます。

Azure NetApp Files のキー管理の詳細については、「暗号化キーはどのように管理されるのですか?」、カスタマー マネージド キーの構成、またはマネージド HSM を使用したカスタマー マネージド キーに関する記事を参照してください。

ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 暗号化

データ プレーン レイヤーでのライトウェイト ディレクトリ アクセス プロトコル (LDAP) 暗号化によって、クライアントと LDAP サーバーの間のセキュリティで保護された通信が保証されます。 LDAP 暗号化は、Azure NetApp Files で次のように動作します。

• 暗号化方法: LDAP トラフィックは、トランスポート層セキュリティ (TLS) または LDAP 署名を使用して暗号化できます。 TLS では通信チャネル全体が暗号化されるのに対して、LDAP 署名では、デジタル署名の追加によってメッセージの整合性が確保されます。
• TLS 構成: LDAP over StartTLS では、LDAP 接続にポート 389 を使用します。 最初の LDAP 接続が作成された後、StartTLS OID が交換され、証明書が比較されます。 その後、すべての LDAP トラフィックが TLS を使用して暗号化されます。 LDAP 署名: この方法では、AES 暗号化を使用して LDAP メッセージに署名することでセキュリティのレイヤーを追加します。これは、転送されるデータの信頼性と整合性を検証するのに役立ちます。
• Active Directory との統合: Azure NetApp Files では、Active Directory との統合がサポートされています。これは、これらの暗号化方法を使用して LDAP 通信をセキュリティで保護するように構成できます。 現在、LDAP サービスに使用できるのは Active Directory だけです。

LDAP の詳細については、「LDAP の使用について」を参照してください。

ネットワークのセキュリティ

Azure NetApp Files でデータをセキュリティで保護するには、複数の保護レイヤーを使用する必要があります。 プライベート エンドポイントとネットワーク セキュリティ グループ (NSG) の利用は、データが仮想ネットワーク内でセキュリティで保護された状態を維持し、認可されたトラフィックからのみアクセス可能なことを保証するために不可欠です。 この組み合わされたアプローチによって、潜在的な脅威からデータを保護するための包括的なセキュリティ戦略が提供されます。

プライベート エンドポイント

プライベート エンドポイントは、Azure Private Link を経由した Azure サービスへのセキュリティで保護されたプライベート接続を容易にする特殊なネットワーク インターフェイスです。 これらは仮想ネットワーク内でプライベート IP アドレスを利用するため、実質的にサービスがネットワークの内部構造に統合されます。

セキュリティ上のメリット

• 分離: プライベート エンドポイントにより、Azure NetApp Files トラフィックが、パブリック インターネットから離れた仮想ネットワーク内に留まることが保証されます。 この分離によって、外部の脅威にさらされるリスクが最小限に抑えられます。
• アクセス制御: プライベート エンドポイントに関連付けられたサブネット上にネットワーク セキュリティ規則を構成することによって、Azure NetApp Files ボリュームにアクセス ポリシーを適用できます。 この制御により、認可されたトラフィックのみがデータを操作できるようになります。
• コンプライアンス: プライベート エンドポイントでは、データ トラフィックがパブリック インターネットを通過しないようにして、機密データのセキュリティで保護された処理の要件に準拠することにより規制コンプライアンスがサポートされます。

ネットワーク セキュリティ グループ (NSG)

NSG は、Azure 内のネットワーク インターフェイス、仮想マシン (VM)、サブネットへの受信および送信トラフィックを制御するセキュリティ規則のコレクションです。 これらの規則は、ネットワーク内のアクセス制御やトラフィック パターンを定義するのに役立ちます。 NSG は、Azure NetApp Files で Standard ネットワーク機能を使用する場合にのみサポートされます。

セキュリティ上のメリット

• トラフィック フィルタリング: NSG を使用すると、発信元および宛先 IP アドレス、ポート、プロトコルに基づいて、きめ細かいトラフィック フィルタリング規則を作成できます。 これにより、許可されたトラフィックのみが Azure NetApp Files ボリュームに確実に到達できるようになります。
• セグメント化: Azure NetApp Files ボリュームを収容しているサブネットに NSG を適用することによって、ネットワーク トラフィックをセグメント化および分離できます。 セグメント化により、攻撃面が効果的に削減され、全体的なセキュリティが向上します。
• 監視とログ記録: NSG は、ネットワーク セキュリティ グループ フロー ログにより監視およびログ機能を提供します。 これらのログは、トラフィック パターンを追跡し、潜在的なセキュリティの脅威を検出して、セキュリティ ポリシーへの準拠を確保するために重要です。

詳細については、「ネットワーク セキュリティ グループ」および「プライベート エンドポイントとは」を参照してください。

詳細

• Azure NetApp Files での NAS 共有のアクセス許可を理解する
• Azure NetApp Files での NAS プロトコルを理解する
• Azure NetApp Files でのデータの暗号化について理解する
• Azure NetApp Files のセキュリティに関するよくあるご質問
• Azure NetApp Files のネットワーク計画のガイドライン