Azure Storage セキュリティの戦略を確認する
管理者は、データのセキュリティを確保するために、さまざまな戦略を使います。 一般的なアプローチとして、暗号化、認証、認可のほか、資格情報、ファイル アクセス許可、プライベート署名を使ったユーザー アクセス制御などがあります。 Azure Storage には、データをセキュリティで保護するために、一般的な戦略に基づいた一連のセキュリティ機能が用意されています。
Azure Storage のセキュリティ戦略について知っておくべきこと
Azure Storage のセキュリティの特徴をいくつか見てみましょう。
暗号化。 Azure Storage に書き込まれるすべてのデータは、Azure Storage の暗号化を使って自動的に暗号化されます。
[認証] : Microsoft Entra ID とロールベースのアクセス制御 (RBAC) は、Azure Storage のリソース管理操作とデータ操作の両方でサポートされます。
- Azure Storage アカウントを対象とする RBAC ロールをセキュリティ プリンシパルに割り当て、Microsoft Entra ID を使って、キー管理などのリソース管理操作を認可できます。
- Microsoft Entra の統合は、Azure Blob Storage と Azure Queue Storage のデータ操作でサポートされています。
転送中のデータ。 アプリケーションと Azure の間で送信されるデータを、クライアント側暗号化、HTTPS、または SMB 3.0 使用して保護できます。
ディスクの暗号化。 Azure Virtual Machines に使われるオペレーティング システム ディスクとデータ ディスクは、Azure Disk Encryption を使って暗号化できます。
Shared Access Signature。 Azure Storage のデータ オブジェクトへの委任アクセスは、共有アクセス署名 (SAS) を使って付与できます
承認。 BLOB Storage、Azure Files、Queue Storage、または Azure Cosmos DB (Azure Table Storage) のセキュリティで保護されたリソースに対して行われるすべての要求は、認可される必要があります。 認可により、必要な場合にのみ、アクセスを許可されたユーザーまたはアプリケーションだけが、ストレージ アカウント内のリソースにアクセスできるようになります。
認可のセキュリティを使うときに考慮すべきこと
Azure Storage への要求を認可するには、次の戦略を確認します。 お使いの Azure Storage にはどのようなセキュリティ戦略が適しているかを考えてください。
| 認可戦略 | 説明 |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID は、Microsoft のクラウドベースの ID およびアクセス管理サービスです。 Microsoft Entra ID を使用すると、ロールベースのアクセス制御 を使って、ユーザー、グループ、またはアプリケーションにきめ細かいアクセスを割り当てることができます。 |
| 共有キー | 共有キーの認可は、Azure Storage アカウントのアクセス キーとその他のパラメーターを利用し、暗号化された署名文字列を生成しています。 この文字列は、要求の Authorization ヘッダーで渡されます。 |
| 共有アクセス署名 | SAS により、Azure Storage アカウント内の特定のリソースへのアクセスが、指定したアクセス許可で、指定した期間だけ委任されます。 |
| コンテナーと BLOB への匿名アクセス | 必要に応じて、コンテナーまたは BLOB のレベルで BLOB リソースをパブリックにすることができます。 任意のユーザーが、匿名読み取りアクセスで、パブリック コンテナーまたは BLOB にアクセスできます。 パブリック コンテナーと BLOB に対する読み取り要求に認可は必要ありません。 |