はじめに
データのセキュリティは、お客様とクラウド プロバイダーの共同責任です。 クライアント側では、お客様が、サーバーの修正プログラムを最新の状態に保ち、HTTPS または TLS 暗号化を使用し、管理者アカウントに強力なパスワードが設定されていることを確認する必要があります。 クラウド側では、Azure Cosmos DB が、データをセキュリティで保護するために大規模なセキュリティ要件のセットを満たします。 Azure Cosmos DB によってデータがどのようにセキュリティ保護されるのかを簡単に見てみましょう。 このモジュールで後ほど、これらの要件のいくつかについて詳しく説明します。
| セキュリティ要件 | Azure Cosmos DB のセキュリティ手法 |
|---|---|
| ネットワークのセキュリティ | Azure Cosmos DB は、受信ファイアウォールでのポリシーに基づく IP ベースのアクセス制御をサポートしています。 Azure Cosmos DB では、IP と IP 範囲の組み合わせを使用できます。 適切な IP が割り当てられたマシンまたは IP 範囲内のマシンのみが Azure Cosmos DB リソースにアクセスでき、他のすべてのマシンは Azure Cosmos DB によってブロックされます。 |
| 認可 | Azure Cosmos DB は、承認のためにハッシュ ベースのメッセージ認証コード (HMAC) を使用します。 主キーまたはリソース トークンのいずれかを使用して、ドキュメントなどのリソースに対するきめ細かいアクセス制御を実行できます。 |
| ユーザーとアクセス許可 | アカウントの主キーを使用して、ユーザー リソースとアクセス許可リソースをデータベースごとに作成することができます。 リソース トークンは認証中に使用され、リソースへのアクセスが提供されるか拒否されます。 |
| Active Directory 統合 (Azure RBAC) | Azure Portal でアクセス制御 (IAM) を使用して、Cosmos アカウント、データベース、コンテナー、およびプラン (スループット) へのアクセスを提供または制限することもできます。 IAM は ロールベースのアクセス制御を提供し、Active Directory と統合されています。 個人やグループに対して組み込みロールまたはカスタム ロールを使用できます。 |
| グローバル レプリケーション | セキュリティの点では、グローバル レプリケーションは、局地的な障害からデータが保護されることを保証します。 |
| リージョン間フェールオーバー | 複数のデータセンターにデータをレプリケートしているときに、リージョンのデータセンターがオフラインになった場合、Azure Cosmos DB は、操作を自動的にロールオーバーします。 |
| ローカル レプリケーション | Azure Cosmos DB は、1 つのデータセンター内でも、高可用性を維持するためにデータを自動的にレプリケートします。一貫性レベルは顧客自身が選択できます。 |
| 削除されたデータの復元 | 自動化されたオンライン バックアップを使用して、誤って削除したデータを最大 30 日以内に回復することができます。 |
| 機密データの保護と分離 | ドキュメントとバックアップは、保存時に暗号化されるようになりました。 特定のコンテナーに個人データやその他の機密データを隔離し、読み取りおよび書き込みのアクセスを特定のユーザーに限定するか、読み取り専用のアクセスを制限することができます。 |
| 攻撃の監視 | 監査ログとアクティビティ ログを使用することで、アカウントの通常のアクティビティと異常なアクティビティを監視できます。 |
| 攻撃への対応 | Azure サポートに連絡して潜在的な攻撃を報告すると、問題が検出され、調査が開始された後、通常のサービスのセキュリティと運用をできるだけ迅速に復元するために、5 段階のインシデント対応プロセスが開始されます。 |
| ジオフェンス | Azure Cosmos DB は、主権地域 (ドイツ、中国、US Gov など) に対するデータ ガバナンスを保証します。 |
| 施設の保護 | Azure Cosmos DB のデータは、Azure の保護されたデータセンター内の SSD に格納されます。 |
| HTTPS/SSL/TLS の暗号化 | Azure Cosmos DB へのすべての接続で HTTPS がサポートされます。 Azure Cosmos DB では TLS 1.2 もサポートされます。 |
| 静止時の暗号化 | Azure Cosmos DB に格納されるすべてのデータは、保存時に暗号化されます。 |
| サーバーへの修正プログラムの適用 | マネージド データベースである Azure Cosmos DB を使うと、サーバーの管理とパッチを行う必要がなくなります。 あなたのためにそれは自動的に行われます。 |
| 強力なパスワードを持つ管理者アカウント | TLS と HMAC のシークレット ベースの認証によるセキュリティは、既定で組み込まれています。 |
このモジュールを終了すると、次のことができるようになります。
- ネットワーク レベルのアクセス制御を実装する
- データ暗号化オプションを確認する
- ロール ベースのアクセス制御 (RBAC) を使用する
- Microsoft Entra ID を使ってアカウント リソースにアクセスする
- Always Encrypted について理解する