Azure Storage のセキュリティ機能を確認する
Contoso 社は、Azure Storage の大量のデータに大きく依存しています。 多くのアプリケーションは、BLOB、構造化されていないテーブル ストレージ、Azure Data Lake、およびサーバー メッセージ ブロック (SMB) ベースのファイル共有に依存しています。
競合企業でデータ侵害が発生した後、Contoso 社はネットワーク管理者に組織のデータ セキュリティをチェックさせます。 Contoso 社のデータ コンサルタントは、ネットワーク管理者に、Azure Storage アカウントによってクラウド内のデータに複数の高レベルのセキュリティ ベネフィットが提供されていることを保証します。
- 保存データを保護する
- 転送中のデータを保護する
- ブラウザーのクロスドメイン アクセスをサポートする
- データにアクセスできるユーザーを制御する
- ストレージ アクセスを監査する
保存時の暗号化
Azure Storage に書き込まれるすべてのデータは、Storage Service Encryption (SSE) によって 256 ビットの Advanced Encryption Standard (AES) 暗号で自動的に暗号化されます。また、FIPS 140-2 に準拠しています。 SSE では、Azure Storage への書き込み時にデータが自動的に暗号化されます。 Azure Storage からデータを読み取るときは、Azure Storage によって復号化されたデータが返されます。 このプロセスにより追加料金は発生せず、パフォーマンスが低下することもありません。 無効にすることはできません。
仮想マシン (VM) の場合、Azure では Azure Disk Encryption を使用することによって仮想ハード ディスク (VHD) を暗号化できます。 この暗号化では、Windows イメージには BitLocker が使用され、Linux には dm-crypt が使用されます。
キーは Azure Key Vault に自動的に保存され、ディスク暗号化キーとシークレットの制御と管理に役立ちます。 したがって、だれかが VHD イメージにアクセスしてダウンロードした場合であっても、VHD 上のデータにアクセスすることはできません。
転送中の暗号化
Azure とクライアントの間で "トランスポートレベルのセキュリティ" を有効にすることで、データのセキュリティ保護を維持します。 パブリック インターネット経由の通信をセキュリティで保護するには、常に HTTPS を使用します。 REST API を呼び出してストレージ アカウント内のオブジェクトにアクセスするときは、ストレージ アカウントに対して安全な転送を要求することにより、HTTPS の使用を強制できます。 安全な転送を有効にすると、HTTP を使用する接続は拒否されます。 このフラグでは、すべてのファイル共有マウントに対して SMB 3.0 を要求することで、SMB 経由での安全な転送も強制されます。
CORS のサポート
Contoso 社では、複数の種類の Web サイト資産が Azure Storage に格納されています。 これらの種類には、画像やビデオが含まれます。 ブラウザー アプリをセキュリティ保護するため、Contoso 社では特定のドメインへの GET 要求がロックされています。
Azure Storage では、クロスオリジン リソース共有 (CORS) によるクロスドメイン アクセスがサポートされています。 CORS では、HTTP ヘッダーを使用することで、あるドメインの Web アプリケーションが異なるドメインのサーバーのリソースにアクセスできるようになります。 CORS を使用すると、Web アプリでは、承認されたソースの承認されたコンテンツのみが確実に読み込まれます。
CORS のサポートは、ストレージ アカウントで有効にできるオプションのフラグです。 そのフラグにより、HTTP GET 要求を使ってストレージ アカウントからリソースを取得するときに、適切なヘッダーが追加されます。
ロールベースのアクセス制御
ストレージ アカウントのデータにアクセスするために、クライアントは HTTP または HTTPS 経由で要求を行います。 セキュリティ保護されたリソースに対するすべての要求は、認可される必要があります。 サービスにより、データへのアクセスに必要なアクセス許可をクライアントが持っていることが確認されます。 複数のアクセス オプションから選択することができます。 おそらく、最も柔軟なオプションはロールベースのアクセスです。
Azure Storage では、リソース管理操作とデータ操作の両方について、Microsoft Entra ID とロールベースのアクセス制御 (RBAC) がサポートされています。 セキュリティ プリンシパルに対しては、ストレージ アカウントを対象とした RBAC の役割を割り当てることができます。 Active Directory を使用して、構成などのリソース管理操作を認可することができます。 Active Directory は、BLOB および Queue Storage でのデータ操作についてサポートされます。
セキュリティ プリンシパルまたは Azure リソースのマネージド ID に対しては、サブスクリプション、リソース グループ、ストレージ アカウント、または個々のコンテナーやキューを対象とする RBAC ロールを割り当てることができます。
アクセスを監査する
監査は、アクセス制御の別の部分です。 組み込みの Storage Analytics サービスを使用して、Azure Storage へのアクセスを監査できます。
Storage Analytics では、すべての操作がリアルタイムでログに記録され、特定の要求に関する Storage Analytics ログを検索できます。 認証メカニズム、操作の成否、アクセスされたリソースに基づいてフィルター処理することができます。