ストレージ、データ、および暗号化

保存データの保護は、すべてのワークロードで機密性、整合性、および可用性の保証を維持するために必要です。 Azure のようなクラウド サービスのストレージは、大規模なスケーリング、REST API を使用した最新のアクセス、およびテナント間の分離を実現するために、オンプレミス ソリューションとはまったく異なる方法で設計および実装されています。

Azure ストレージへのアクセス権の付与は、Azure Active Directory (Azure AD) だけでなく、キー ベースの認証メカニズム (対称共有キー認証、つまり Shared Access Signature (SAS)) を使用して行うことができます。

Azure のストレージには、さまざまなネイティブ セキュリティ設計属性が含まれています

  • すべてのデータがサービスによって暗号化される

  • ストレージ システム内のデータは、テナントによって書き込まれていない場合はそのテナントで読み取ることはできない (テナント間のデータ漏洩のリスクを軽減するため)

  • データは選択したリージョンにのみ残る

  • システムでは、選択したリージョンにデータの同期コピーが 3 つ保持される

  • 詳細なアクティビティ ログは、オプトイン単位で利用できる

追加のセキュリティ機能 (ストレージ ファイアウォールなど) を構成して、異常なアクセスやアクティビティを検出するための追加のアクセス制御層やストレージの脅威からの保護を提供できます。

暗号化はセキュリティのための強力なツールですが、データ保護におけるその制限を理解することが重要です。 金庫と同じように、暗号化では小さなもの (数学的なキー) を所有しているユーザーだけにアクセスが制限されます。 大規模なデータセットを保護するよりもキーの所有権を保護する方が簡単であり、キーに対して適切な保護を提供することが必須です。 暗号化キーの保護は、(特に、キーのような電子データは、法医学的証拠を残さずに完全にコピーできるため) 自然で直感的な人間のプロセスではありません。そのため、見過ごされたり、実装が不適切になったりすることがよくあります。

暗号化は Azure の多くのレイヤーで利用できます (多くの場合、既定で有効) が、実装に最も重要なレイヤー (データが別のストレージ メディアに移動する可能性が高い) と、実装が最も簡単なレイヤー (オーバーヘッドがほぼない) がわかっています。

ID ベースのストレージ アクセス制御を使用する

クラウド サービス プロバイダーでは、ストレージ リソースのアクセス制御方法を複数利用できるようにしています。 たとえば、共有キー、共有署名、匿名アクセス、ID プロバイダーベースの方法などがあります。

ID プロバイダーの認証と認可は、侵害の可能性が最も低く、ストレージ リソースに対するよりきめ細かなロールベースのアクセス制御を可能にする方法です。

ストレージ アクセス制御には ID ベースのオプションを使用することをお勧めします。

この 1 つの例が、Azure BLOB サービスとキュー サービスに対する Azure Active Directory の認証です。

仮想ディスク ファイルを暗号化する

仮想マシンは、仮想ディスク ファイルを仮想ストレージ ボリュームとして使用し、クラウド サービス プロバイダーの BLOB ストレージ システムに存在します。 これらのファイルは、オンプレミスからクラウド システム、クラウド システムからオンプレミス、またはクラウド システム間で移動できます。 これらのファイルのモビリティのため、承認されていないユーザーがファイルとそのコンテンツにアクセスできないようにする必要があります。

認証ベースのアクセス制御は、潜在的な攻撃者が自分のシステムにファイルをダウンロードするのを防ぐために用意する必要があります。 認証および認可システムまたはその構成に欠陥がある場合は、仮想ディスク ファイルをセキュリティで保護するためのバックアップ メカニズムが必要です。

仮想ディスク ファイルを暗号化すると、攻撃者がファイルをダウンロードできる場合でも、ディスク ファイルの内容へのアクセスは防止することができます。 暗号化されたディスク ファイルを攻撃者がマウントしようとしても、暗号化されているためできません。

仮想ディスクの暗号化を有効にすることをお勧めします。

Azure Disk Encryption は、仮想ディスクの暗号化の例です。

プラットフォーム暗号化サービスを有効にする

すべてのパブリック クラウド サービス プロバイダーでは、プロバイダーがプラットフォームで管理するキーを使用して自動的に実行される暗号化を有効にしています。 多くの場合、これは顧客のために行われ、ユーザーの操作は必要ありません。 それ以外の場合、プロバイダーはこれをオプションにして、顧客が使用するかどうかを選択することができます。

この種類の暗号化は、クラウド サービス プロバイダーによって管理されるため、有効にしてもオーバーヘッドはほとんどありません。

サービス プロバイダーの暗号化をサポートするサービスごとに、このオプションを有効にすることをお勧めします。

サービス固有のサービス プロバイダーの暗号化の例としては、Azure Storage サービスの暗号化があります。

次のステップ

Microsoft のセキュリティに関するその他のガイダンスについては、Microsoft のセキュリティに関するドキュメントを参照してください。