Azure の ID およびアクセス管理に関する考慮事項
ほとんどのアーキテクチャには、複数のネットワークにまたがってホストおよびアクセスされる共有サービスがあります。 これらのサービスは共通のインフラストラクチャを共有し、ユーザーはリソースやデータにどこからでもアクセスする必要があります。 このようなアーキテクチャの場合、リソースをセキュリティで保護する一般的な方法は、ネットワーク制御を使用することです。 ただし、それで十分ではありません。
セキュリティ プリンシパルを認証および承認するプロセスである "ID 管理" を通してセキュリティ保証を提供します。 ID 管理サービスを使用して、ユーザー、パートナー、顧客、アプリケーション、サービスなどのエンティティを認証し、アクセス許可を付与します。
Note
ID 管理は、通常、ワークロードのアーキテクチャの一部としてワークロード チームによって制御されない一元化された機能です。 ワークロード チームが専用 ID ストアを担当しない限り、複数のワークロードをサポートする ID ソリューションを実装する場合は、クラウド導入フレームワークの Azure ID とアクセス管理の設計領域のガイダンスを参照する必要があります。
チェック リスト
ワークロードの ID をどのように管理していますか?
- 機能ごとに明確な責任範囲と職務の分離を定義します。 知る必要性と最小限の特権の 2 つのセキュリティ原則に基づいて、アクセスを制限します。
- Azure RBAC を使用して、特定のスコープのユーザー、グループ、アプリケーションにアクセス許可を割り当てます。 可能な場合、組み込みロールを使用します。
- 管理ロックを使用して、リソース、リソース グループ、またはサブスクリプションの削除または変更を防止します。
- マネージド ID を使用して Azure のリソースにアクセスします。
- 単一のエンタープライズ ディレクトリをサポートします。 重大な影響があるアカウントを除き、クラウドとオンプレミスのディレクトリとの同期を維持します。
- Azure AD の条件付きアクセスを設定します。 すべてのユーザーを認証するとき、特に、重大な影響があるアカウントの場合は、重要なセキュリティ属性を適用および測定します。
- 従業員以外のための個別の ID ソースを用意します。
- 可能であれば、パスワードレスの方法を使用するか、最新のパスワード方法を選択します。
- レガシのプロトコルおよび認証方法をブロックします。
Azure セキュリティ ベンチマーク
Azure セキュリティ ベンチマークには、Azure で使用するサービスをセキュリティで保護するために使用できる、影響力の高いセキュリティに関する推奨事項のコレクションが含まれています。
このセクションにある質問は、Azure セキュリティ ベンチマークの ID およびアクセス制御に関するページに合わせて調整されています。
ID 用の Azure サービス
このセクションの考慮事項とベスト プラクティスは、これらの Azure サービスに基づいています。
参照アーキテクチャ
ここでは、ID およびアクセス管理に関連するいくつかの参照アーキテクチャについて説明します。
オンプレミスの AD ドメインと Azure AD を統合する
次のステップ
セグメント間の通信を監視します。 データを使用して異常を特定したり、アラートを設定したり、トラフィックをブロックしたりすることで、攻撃者がセグメント化境界を越えるリスクを軽減します。
関連リンク
ID インフラストラクチャをセキュリティ保護する 5 つのステップ
メインの記事に戻るする: セキュリティの柱の概要