Azure とアマゾン ウェブ サービス (AWS) を使用したマルチクラウドのセキュリティと ID
多くの組織では、それが意図的な戦略でない場合でも、事実上マルチクラウド戦略が採用されています。 マルチクラウド環境では、セキュリティと ID の一貫したエクスペリエンスを確保して、開発者の抵抗の増大、ビジネス上の取り組み、増加する組織のリスクを、セキュリティのギャップを利用したサイバー攻撃から防ぐことが重要です。
クラウド間でセキュリティと ID の一貫性を確保するには、次のものが必要です。
- マルチクラウド ID の統合
- 強力な認証と明示的な信頼の検証
- クラウド プラットフォーム セキュリティ (マルチクラウド)
- Microsoft Defender for Cloud
- 特権 ID 管理 (Azure)
- 一貫したエンドツーエンドの ID 管理
マルチクラウド ID の統合
Azure と AWS の両方のクラウド プラットフォームを使っているお客様は、Microsoft Entra ID とシングル サインオン (SSO) サービスを使って、これら 2 つのクラウド間で ID サービスを統合することでメリットが得られます。 このモデルでは、統合された ID プレーンを使用できます。これにより、両方のクラウドのサービスへのアクセスを一貫してアクセス、管理することができます。
このアプローチでは、Microsoft Entra ID の user.userprincipalname
属性と user.assignrole
属性を IAM アクセス許可に関連付けるルールを使用して、Microsoft Entra ID の豊富なロールベースのアクセス制御を AWS の ID およびアクセス管理 (IAM) サービス全体で有効にすることができます。 この方法では、ユーザーと管理者が両方のクラウドで管理する必要がある一意の ID の数が削減されます。これには、AWS が採用するアカウントごとの ID 設計の統合が含まれます。 AWS IAM ソリューションでは、顧客のフェデレーションと認証のソースとして Microsoft Entra ID を許可し、具体的に識別します。
この統合の完全なチュートリアルについては、「チュートリアル: Microsoft Entra シングル サインオン (SSO) とアマゾン ウェブ サービス (AWS) の統合」を参照してください。
強力な認証と明示的な信頼の検証
多くのお客様で Active Directory サービスのハイブリッド ID モデルが引き続きサポートされるため、セキュリティ エンジニアリング チームにとって、強力な認証ソリューションを実装し、主にオンプレミスおよび従来の Microsoft テクノロジに関連する従来の認証方法をブロックすることがますます重要になっています。
多要素認証と条件付きアクセス のポリシーを組み合わせることにより、組織内のエンド ユーザーにとって一般的な認証シナリオのセキュリティを強化できます。 多要素認証自体により、認証を確認するためのセキュリティ レベルが向上しますが、Azure と AWS の両方のクラウド環境に対するレガシ認証をブロックする条件付きアクセス制御を使用して追加の制御を適用することができます。 先進認証クライアントのみを使用する強力な認証は、多要素認証と条件付きアクセス ポリシーを組み合わせることによってのみ可能になります。
クラウド プラットフォーム セキュリティ (マルチクラウド)
マルチクラウド環境で共通の ID が確立されたら、Microsoft Defender for Cloud Apps のクラウド プラットフォームのセキュリティ (CPS) サービスを使用して、サービスの検出、監視、評価、および保護を行うことができます。 セキュリティ運用担当者は、Cloud Discovery ダッシュボードを使用して、AWS と Azure のクラウドプラット フォーム全体で使用されているアプリとリソースを確認できます。 サービスが確認され、使用が承認されると、ユーザーの利便性を目的として Security Assertion Markup Language (SAML)、パスワードベース、およびリンクされたシングル サインオン モードを有効にするために、サービスをエンタープライズ アプリケーションとして Microsoft Entra ID で管理できるようになります。
また、CPS では、ベンダー固有の推奨されるセキュリティおよび構成のコントロールを使用して、構成の誤りやコンプライアンスに関して、接続されたクラウド プラットフォームを評価することもできます。 この設計により、組織は、すべてのクラウド プラットフォーム サービスとそのコンプライアンス状態を 1 つの統合ビューで管理できるようになります。
さらに、CPS はアクセスとセッションの制御ポリシーを提供し、これらのプラットフォームにデータ流出や悪意のあるファイルが導入されたときに、リスクのあるエンドポイントやユーザーを阻止し、環境を保護します。
Microsoft Defender for Cloud
Microsoft Defender for Cloud は、Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) のワークロードなど、ハイブリッドとマルチクラウドのワークロードにおける統一されたセキュリティ管理と脅威保護を提供します。 Defender for Cloud は、セキュリティの脆弱性の検出と修正、悪意のあるアクティビティをブロックするためのアクセス制御とアプリケーション制御の適用、分析とインテリジェンスを使用した脅威の検出、攻撃を受けたときのすばやい対応を支援します。
Microsoft Defender for Cloud で AWS ベースのリソースを保護するには、アカウントをクラシック クラウド コネクタ エクスペリエンスまたは推奨の環境設定ページ (プレビュー) のいずれかに接続できます。
Privileged Identity Management (Azure)
Microsoft Entra ID で最上位の特権アカウントへのアクセスを制限および制御するために、Privileged Identity Management (PIM) を有効にして、Azure サービスに Just-In-Time のアクセスを提供できます。 PIM をデプロイして使用すると、ロールの割り当てモデルを使用してアクセスを制御および制限したり、これらの特権アカウントの永続的なアクセスを排除したり、これらのアカウントの種類を持つユーザーの検出と監視を追加したりすることができます。
Microsoft Sentinel と組み合わせると、ブックとプレイブックを確立して、侵害されたアカウントの侵入の動きが発生したことを監視し、セキュリティ オペレーション センターの担当者にアラートを通知することができます。
一貫したエンドツーエンドの ID 管理
すべてのプロセスに、すべてのクラウドとオンプレミスのシステムのエンドツーエンドのビューが含まれていること、およびこれらのプロセスでセキュリティと ID の担当者がトレーニングされていることを確認します。
Microsoft Entra ID、AWS アカウント、オンプレミス サービス全体で 1 つの ID を使うことで、このエンドツーエンドの戦略が可能になり、特権および非特権アカウントに対するアカウントのセキュリティと保護を強化できます。 現在、マルチクラウド戦略で複数の ID を維持する負担を軽減することを検討しているお客様は、Microsoft Entra ID を導入することで、環境内の ID の異常と不正使用を一貫した強力な方法で制御、監査、検出できるようになります。
Microsoft Entra エコシステム全体で新機能を継続的に拡張し、マルチクラウド環境で ID を共通のコントロール プレーンとして使用することにより、環境に対する脅威に事前に備えることができます。
次のステップ
- Microsoft Entra B2B: パートナーによって管理される ID から会社のアプリケーションにアクセスできるようにします。
- Azure Active Directory B2C: コンシューマー向けアプリケーションに対するシングル サインオンおよびユーザー管理をサポートするサービスです。
- Microsoft Entra Domain Services: ホステッド ドメイン コントローラー サービスであるこのサービスでは、Active Directory と互換性のあるドメイン参加とユーザー管理機能を使用できます。
- Microsoft Azure セキュリティの概要
- Azure の ID 管理とアクセス制御セキュリティのベスト プラクティス