クラウド規模の分析のセキュリティ、ガバナンス、コンプライアンス
クラウド規模の分析アーキテクチャを計画するときは、アーキテクチャが堅牢で安全であることを保証することに特に注意を払う必要があります。 この記事では、エンタープライズ規模およびクラウド規模の分析のためのセキュリティ、コンプライアンス、およびガバナンスの設計基準について説明します。 この記事では、Azure でのクラウド規模の分析のデプロイに関する設計上の推奨事項とベスト プラクティスについても説明します。 「エンタープライズ規模のセキュリティ ガバナンスとコンプライアンス」を参照して、エンタープライズ ソリューションのガバナンスを完全に準備します。
クラウド ソリューションは、最初は単一の比較的分離されたアプリケーションをホストしていました。 クラウド ソリューションのメリットが明らかになるにつれて、大規模なワークロードが SAP on Azure などのクラウドでホストされるようになりました。 そのため、クラウド サービスのライフサイクル全体を通じて、リージョン デプロイのセキュリティ、信頼性、パフォーマンス、およびコストに対処することが極めて重要になりました。
Azure でのクラウド規模の分析のランディング ゾーンのセキュリティ、コンプライアンス、およびガバナンスに対するビジョンは、リスクを最小限に抑え、効果的な意思決定を行うのに役立つツールとプロセスを提供することです。 Azure ランディング ゾーンでは、セキュリティ、ガバナンス、およびコンプライアンスの役割と責任が定義されます。
クラウド規模の分析のパターンは、Azure で有効にできるさまざまなセキュリティ機能に依存します。 これらの機能には、暗号化、ロールベースのアクセス制御、アクセス制御リスト、ネットワーク制限が含まれます。
セキュリティ設計に関する推奨事項
Microsoft とお客様の両方が、セキュリティに対する責任を共有します。 受け入れられているセキュリティ ガイダンスについては、Center for Internet Security による「Cybersecurity Best Practices」(サイバーセキュリティのベスト プラクティス) を参照してください。 以下のセクションで、セキュリティ設計に関する推奨事項を示します。
保存データの暗号化
保存データの暗号化とは、ストレージ内に保持されるデータの暗号化を指し、ストレージ メディアに対する直接物理アクセスに関連するセキュリティ リスクに対応します。 DAR が重要なセキュリティ コントロールであるのは、基になるデータの復元が不可能であり、暗号化解除キーなしでは変更できないためです。 DAR は、Microsoft データセンターの多重防御戦略の重要なレイヤーです。 多くの場合、保存データの暗号化を展開するためのコンプライアンスとガバナンス上の理由があります。
Azure Storage や Azure SQL データベースなどのさまざまな Azure サービスで、保存データの暗号化がサポートされています。 一般的な概念とモデルは Azure サービスの設計に影響していますが、各サービスで適用される保存データの暗号化は、スタック レイヤーが異なっていたり、暗号化要件が異なっていたりする場合があります。
重要
保存データの暗号化をサポートするすべてのサービスでは、それが既定で有効になっています。
転送中のデータを安全に保護する
ある場所から別の場所に移動されるとき、データは、移動中や送信中の状態になります。 これは、内部で発生したり、オンプレミスで発生したり、Azure 内で発生したり、外部的に発生したり (インターネット経由でエンド ユーザーに送るなど) する可能性があります。 Azure には、転送中のデータを非公開のままにするためのメカニズムが、暗号化を含めていくつか用意されています。 その例を次に示します。
- IPsec/IKE 暗号化を使用した VPN の通信。
- Azure Application Gateway や Azure Front Door などの Azure コンポーネントを使用したトランスポート層セキュリティ (TLS) 1.2 以降。
- Windows IPsec や SMB などの Azure Virtual Machines で使用できるプロトコル。
Azure データセンター間のすべての Azure トラフィックに対して、データリンク層の IEEE 標準である MACsec (Media Access Control Security) を使用した暗号化が自動的に有効になります。 この暗号化により、顧客データの機密性と整合性が確保されます。 詳細については、「Azure 顧客データ保護」を参照してください。
キーとシークレットの管理
クラウド規模の分析向けのディスク暗号化キーとシークレットを管理するには、Azure Key Vault を使用します。 Key Vault には、SSL/TLS 証明書をプロビジョニングおよび管理する機能があります。 また、ハードウェア セキュリティ モジュール (HSM) を使用してシークレットを保護することもできます。
Microsoft Defender for Cloud
Microsoft Defender for Cloud は、仮想マシン、SQL データベース、コンテナー、Web アプリケーション、仮想ネットワークなどに対して、セキュリティ アラートと高度な脅威保護が提供されます。
価格設定と設定の領域から Defenderfor Cloud を有効にすると、次の Microsoft Defender プランが同時に有効になり、環境のコンピューティング、データ、およびサービスレイヤーに包括的な防御を提供します。
- Microsoft Defender for servers
- Microsoft Defender for App Service
- Microsoft Defender for Storage
- Microsoft Defender for SQL
- Microsoft Defender for Kubernetes
- コンテナー レジストリ用 Microsoft Defender
- Microsoft Defender for Key Vault
- Microsoft Defender for Resource Manager
- Microsoft Defender for DNS
これらのプランについては、Defender for Cloud のドキュメントで個別に説明されています。
重要
Defender for Cloud をサービスとしてのプラットフォーム (PaaS) オファリングで利用する場合は、この機能を既定で有効にする必要があります (特に Azure Data Lake Storage アカウントに対して)。 詳細については、Microsoft Defender for Storage の概要を参照し、Microsoft Defender forStorage を構成してください。
Microsoft Defender for Identity
Microsoft Defender for Identity は、高度なセキュリティ機能の統合パッケージである高度なデータ セキュリティ オファリングの一部です。 Microsoft Defender for Identity は Azure portal を使用してアクセスおよび管理できます。
重要
ご使用の PaaS サービスで使用できる場合は常に、既定で Microsoft Defender for Identity を有効にしてください。
Microsoft Sentinel を有効にします
Microsoft Sentinel は、スケーラブルでクラウド ネイティブのセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Microsoft Sentinel は、高度なセキュリティ分析と脅威インテリジェンスを企業全体で実現し、アラートの検出、脅威の可視性、予防的な捜索、および脅威への対応のための 1 つのソリューションを提供します。
ネットワーク
クラウド規模の分析の所定のビューでは、すべての PaaS サービスに対して Azure プライベート エンドポイントを使用し、すべてのサービスとしてのインフラストラクチャ (IaaS) サービスに対してパブリック IP は使用しません。 詳細については、クラウド規模の分析のネットワークに関するページを参照してください。
コンプライアンスとガバナンスの設計に関する推奨事項
Azure Advisor によって、Azure サブスクリプション間の統合ビューを得ることができます。 Azure Advisor で、信頼性、回復性、セキュリティ、パフォーマンス、オペレーショナル エクセレンス、およびコストに関する推奨事項を参照します。 以下のセクションで、コンプライアンスとガバナンスの設計に関する推奨事項を示します。
Azure Policy を使用する
Azure Policy は、組織の標準を適用してコンプライアンスを大規模に評価するのに役立ちます。 コンプライアンス ダッシュボードを通じて、環境の全体的な状態を評価するための集計ビューが提供されます。これには、リソースごとまたはポリシーごとの粒度でドリルダウンできる機能が備わっています。
Azure Policy は、既存のリソースの一括修復と新しいリソースの自動修復によって、お客様のリソースでコンプライアンスを実現するのにも役立ちます。 さまざまな組み込みポリシーを使用できます。たとえば、新しいリソースの場所を制限したり、リソースのタグとその値を要求したり、マネージド ディスクを使用して VM を作成したり、名前付けポリシーを適用したりできます。
配置の自動化
デプロイを自動化することで、時間を短縮し、エラーを削減できます。 再利用できるコード テンプレートを作成することで、エンドツーエンドのデータ ランディング ゾーン、およびデータ製品を作成するデータ アプリケーションのデプロイの複雑さを軽減します。 これにより、ソリューションをデプロイまたは再デプロイする時間が最小限に抑えられます。 詳細については、Azure でのクラウド規模の分析のための DevOps 自動化の理解に関する記事を参照してください
運用環境のワークロードのリソースをロックする
プロジェクトの最初に、必要なコア データ管理とデータ ランディング ゾーンの Azure リソースを作成します。 すべての追加、移動、および変更が完了し、Azure のデプロイが運用可能になったら、すべてのリソースをロックします。 その後、管理者だけが、データ カタログなどのリソースのロックを解除または変更できます。 詳細については、「リソースのロックによる予期せぬ変更の防止」を参照してください。
ロールベースのアクセス制御を実装する方法
Azure サブスクリプションのリソースにアクセスできるユーザー、それらのリソースでユーザーが実行できること、およびユーザーがアクセスできる領域を管理するロールベースのアクセス制御 (RBAC) をカスタマイズできます。 たとえば、チーム メンバーは、コア資産をデータ ランディング ゾーンにデプロイできるがネットワーク コンポーネントは変更できないようにすることができます。
コンプライアンスとガバナンスのシナリオ
次の推奨事項は、さまざまなコンプライアンスとガバナンスのシナリオに適用されます。 これらのシナリオは、コスト効率が高くスケーラブルなソリューションを表しています。
| シナリオ | 推奨 |
|---|---|
| 標準的な名前付け規則を使用してガバナンス モデルを構成し、コスト センターに基づいてレポートをプルします。 | Azure Policy とタグを使用して要件を満たします。 |
| Azure リソースを誤って削除しないようにします。 | Azure リソース ロックを使用して、リソースを誤って削除できないようにします。 |
| コストの最適化、回復性、セキュリティ、オペレーショナル エクセレンス、および Azure リソースのパフォーマンスに関する機会領域の統合ビューを取得します。 | Azure Advisor を使用して、SAP on Azure サブスクリプションの統合ビューを取得します。 |
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示