クラウド規模の分析のためのセキュリティ、ガバナンス、コンプライアンス

クラウド規模の分析アーキテクチャを計画するときは、アーキテクチャが堅牢で安全であることを確認するために特別な注意を払います。 この記事では、エンタープライズ規模のクラウド規模分析のセキュリティ、コンプライアンス、ガバナンスの設計基準について説明します。 この記事では、Azure にクラウド規模の分析をデプロイするための設計上の推奨事項とベスト プラクティスについても説明します。 エンタープライズ 規模 セキュリティ ガバナンスとコンプライアンスの を確認して、エンタープライズ ソリューションのガバナンスに完全に備えます。

クラウド ソリューションは、最初は、比較的分離された単一のアプリケーションをホストしました。 クラウド ソリューションの利点が明らかになると、SAP on Azure などの大規模なワークロードがクラウドでホストされていました。 そのため、クラウド サービスのライフサイクル全体を通じて、リージョンデプロイのセキュリティ、信頼性、パフォーマンス、コストに対処することが不可欠になりました。

Azure でのクラウド規模の分析ランディング ゾーンのセキュリティ、コンプライアンス、ガバナンスのビジョンは、リスクを最小限に抑え、効果的な意思決定を行うのに役立つツールとプロセスを提供することです。 Azure ランディング ゾーンでは、セキュリティ ガバナンスとコンプライアンスのロールと責任を定義します。

クラウド規模の分析パターンは、Azure で有効にできるいくつかのセキュリティ機能に依存しています。 これらの機能には、暗号化、ロールベースのアクセス制御、アクセス制御リスト、ネットワーク制限が含まれます。

セキュリティ設計に関する推奨事項

Microsoft とお客様の両方が、セキュリティに対する責任を共有します。 受け入れ可能なセキュリティ ガイダンスについては、インターネット セキュリティセンター サイバーセキュリティのベスト プラクティスに関するページを参照してください。 次のセクションでは、セキュリティ設計に関する推奨事項について説明します。

保存データの暗号化

保存データの暗号化とは、ストレージに保持されるデータの暗号化を指し、ストレージ メディアの直接物理アクセスに関連するセキュリティ リスクに対処します。 静止データは重要なセキュリティ制御です。基になるデータが復号化キーなしでは回復不能で変更できないためです。 保存データは、Microsoft データセンターの多重防御戦略の重要なレイヤーです。 多くの場合、保存データ暗号化をデプロイするコンプライアンスとガバナンスの理由があります。

一部の Azure サービスでは、Azure Storage や Azure SQL データベースなど、保存データの暗号化がサポートされています。 一般的な概念とモデルは Azure サービスの設計に影響しますが、各サービスは、異なるスタック レイヤーで保存データ暗号化を適用したり、異なる暗号化要件を持ったりすることができます。

重要

保存データの暗号化をサポートするすべてのサービスでは、既定で有効にする必要があります。

転送中のデータをセキュリティで保護する

データは、ある場所から別の場所に移動すると、転送中または移動中と見なされます。 この転送は、内部、オンプレミス、Azure 内、またはエンド ユーザーへのインターネット経由などの外部で発生する可能性があります。 Azure には、転送中にデータをプライベートに保つための暗号化など、いくつかのメカニズムが用意されています。 これらのメカニズムは次のとおりです。

• IPsec/IKE 暗号化を使用した VPN 経由の通信。
• トランスポート層セキュリティ (TLS)
• Windows IPsec や SMB など、Azure Virtual Machines で使用できるプロトコル。

データ リンク層の IEEE 標準である MACsec (メディア アクセス制御セキュリティ) を使用した暗号化は、Azure データセンター間のすべての Azure トラフィックに対して自動的に有効になります。 この暗号化により、お客様のデータの機密性と整合性が保証されます。 詳細については、Azure 顧客データ保護に関するページを参照してください。

キーとシークレットを管理する

クラウド規模の分析のためにディスク暗号化キーとシークレットを制御および管理するには、Azure Key Vault を使用します。 Key Vault には、SSL/TLS 証明書をプロビジョニングおよび管理するための機能があります。 ハードウェア セキュリティ モジュール (HSM) を使用してシークレットを保護することもできます。

Microsoft Defender for Cloud

Microsoft Defender for Cloud では、仮想マシン、SQL データベース、コンテナー、Web アプリケーション、仮想ネットワークなどのセキュリティ アラートと高度な脅威保護が提供されます。

価格と設定領域から Defender for Cloud を有効にすると、次の Microsoft Defender プランが同時に有効になり、環境のコンピューティング、データ、サービス レイヤーに対して包括的な防御が提供されます。

• Microsoft Defender for servers
• Microsoft Defender for App Service
• Microsoft Defender for Storage
• Microsoft Defender for SQL
• Microsoft Defender for Kubernetes
• コンテナ レジストリ用 Microsoft Defender
• Microsoft Defender for Key Vault
• Microsoft Defender for Resource Manager
• Microsoft Defender for DNS

これらのプランについては、Defender for Cloud のドキュメントで個別に説明します。

重要

Defender for Cloud がサービスとしてのプラットフォーム (PaaS) オファリングで使用できる場合は、この機能を既定で有効にする必要があります (特に Azure Data Lake Storage アカウントの場合)。 詳細については、「Microsoft Defender for Cloud の概要」を参照し、Microsoft Defender for Storageの構成を確認してください。

Microsoft Defender for Identity

Microsoft Defender for Identity は、高度なセキュリティ機能の統合パッケージである高度なデータ セキュリティ オファリングの一部です。 Microsoft Defender for Identity には、Azure portal からアクセスして管理できます。

重要

使用する PaaS サービスで使用できる場合は常に、既定で Microsoft Defender for Identity を有効にします。

Microsoft Sentinel を有効にする

Microsoft Sentinel は、スケーラブルなクラウドネイティブのセキュリティ情報イベント管理 (SIEM)、およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Microsoft Sentinel は、インテリジェントなセキュリティ分析と脅威インテリジェンスを企業全体に提供し、アラート検出、脅威の可視性、プロアクティブハンティング、脅威対応のための単一のソリューションを提供します。

ネットワーキング

クラウド規模の分析の規定ビューでは、すべての PaaS サービスに Azure プライベート エンドポイントを使用し、すべてのサービスとしてのインフラストラクチャ (IaaS) サービスにパブリック IP を使用するわけではありません。 詳細については、「クラウドスケールの分析ネットワーク」を参照してください。

コンプライアンスとガバナンスの設計に関する推奨事項

Azure Advisor は、Azure サブスクリプション全体の統合ビューを取得するのに役立ちます。 信頼性、回復性、セキュリティ、パフォーマンス、オペレーショナル エクセレンス、コストに関する推奨事項については、Azure Advisor を参照してください。 次のセクションでは、コンプライアンスとガバナンスの設計に関する推奨事項について説明します。

Azure Policy を使用する

Azure Policy は、組織の標準を適用し、大規模なコンプライアンスを評価するのに役立ちます。 コンプライアンス ダッシュボードを使用すると、環境の全体的な状態を集約したビューが提供され、個々のリソースまたはポリシーにドリルダウンできます。

Azure Policy は、既存のリソースの一括修復と新しいリソースの自動修復を通じて、リソースをコンプライアンスに取り込むのに役立ちます。 新しいリソースの場所の制限、リソースに対するタグとその値の要求、マネージド ディスクを使用した VM の作成、名前付けポリシーの適用など、いくつかの組み込みポリシーを使用できます。

デプロイを自動化する

デプロイを自動化することで、時間を節約し、エラーを減らすことができます。 再利用可能なコード テンプレートを作成することで、エンド ツー エンドのデータ ランディング ゾーンとデータ アプリケーション (データ製品を作成する) のデプロイの複雑さを軽減します。 この自動化により、ソリューションをデプロイまたは再デプロイする時間が最小限に抑えられます。 詳細については、「Azure でのクラウドスケール分析の DevOps 自動化について」を参照してください。

運用ワークロードのリソースをロックする

プロジェクトの開始時に、必要なコア データ管理とデータ ランディング ゾーンの Azure リソースを作成します。 すべての追加、移動、変更が完了し、Azure のデプロイが動作している場合は、すべてのリソースをロックします。 その後、管理者のみがリソースのロックを解除または変更できます。 詳細については、「リソースをロックして予期しない変更を防ぐ」を参照してください。

ロールベースのアクセス制御を実装する

Azure サブスクリプションのロールベースのアクセス制御 (RBAC) をカスタマイズして、Azure リソースにアクセスできるユーザー、それらのリソースに対して実行できる操作、アクセスできる領域を管理できます。 たとえば、チーム メンバーがコア 資産をデータ ランディング ゾーンにデプロイできるようにし、ネットワーク コンポーネントを変更できないようにすることができます。

コンプライアンスとガバナンスのシナリオ

次の推奨事項は、さまざまなコンプライアンスとガバナンスのシナリオに適用されます。 これらのシナリオは、コスト効率が高くスケーラブルなソリューションを表します。

シナリオ	勧告
標準の名前付け規則を使用してガバナンス モデルを構成し、コスト センターに基づいてレポートをプルします。	要件を満たすには、Azure Policy とタグを使用します。
Azure リソースが誤って削除されないようにします。	Azure リソース ロックを使用して、誤って削除されないようにします。
Azure リソースのコストの最適化、回復性、セキュリティ、オペレーショナル エクセレンス、パフォーマンスに関する機会領域の統合ビューを取得します。	Azure Advisor を使用して、SAP on Azure サブスクリプション全体の統合ビューを取得します。

次の手順

クラウド規模の分析用の Azure ポリシー