Azure Storage セキュリティの戦略を確認する
管理者は、データのセキュリティを確保するために、さまざまな戦略を使います。 一般的なアプローチとして、暗号化、認証、認可のほか、資格情報、ファイル アクセス許可、プライベート署名を使ったユーザー アクセス制御などがあります。 Azure Storage には、データをセキュリティで保護するために、一般的な戦略に基づいた一連のセキュリティ機能が用意されています。
Azure Storage のセキュリティ戦略について知っておくべきこと
Azure Storage のセキュリティの特徴をいくつか見てみましょう。
保存時の暗号化。 256 ビットの Advanced Encryption Standard (AES) 暗号を使用した Storage Service Encryption (SSE) は、Azure Storage に書き込まれるすべてのデータを暗号化します。 Azure ストレージからデータを読み取るときは、Azure ストレージによって復号化されたデータが返されます。 このプロセスにより追加料金は発生せず、パフォーマンスが低下することもありません。 無効にすることはできません。
[認証] : Microsoft Entra ID とロールベースのアクセス制御 (RBAC) は、Azure Storage のリソース管理操作とデータ操作の両方でサポートされます。
- Azure Storage アカウントを対象とする RBAC ロールをセキュリティ プリンシパルに割り当て、Microsoft Entra ID を使って、キー管理などのリソース管理操作を認可できます。
- Microsoft Entra の統合は、Azure Blob Storage と Azure Queue Storage のデータ操作でサポートされています。
転送中の暗号化。 Azure とクライアントの間で "トランスポートレベルのセキュリティ" を有効にすることで、データのセキュリティ保護を維持します。 パブリック インターネット経由の通信をセキュリティで保護するには、常に HTTPS を使用します。 REST API を呼び出してストレージ アカウント内のオブジェクトにアクセスするときは、ストレージ アカウントに対して安全な転送を要求することにより、HTTPS の使用を強制できます。 安全な転送を有効にすると、HTTP を使用する接続は拒否されます。 このフラグでは、すべてのファイル共有マウントに対して SMB 3.0 を要求することで、SMB 経由での安全な転送も強制されます。
ディスクの暗号化。 仮想マシン (VM) の場合、Azure では Azure Disk Encryption を使用することによって仮想ハード ディスク (VHD) を暗号化できます。 この暗号化では、Windows イメージには BitLocker が使用され、Linux には dm-crypt が使用されます。 キーは Azure Key Vault に自動的に保存され、ディスク暗号化キーとシークレットの制御と管理に役立ちます。 したがって、だれかが VHD イメージにアクセスしてダウンロードした場合であっても、VHD 上のデータにアクセスすることはできません。
Shared Access Signature。 Azure Storage のデータ オブジェクトへの委任アクセスは、共有アクセス署名 (SAS) を使って付与できます
承認。 BLOB Storage、Azure Files、Queue Storage、または Azure Cosmos DB (Azure Table Storage) のセキュリティで保護されたリソースに対して行われるすべての要求は、認可される必要があります。 認可により、必要な場合にのみ、アクセスを許可されたユーザーまたはアプリケーションだけが、ストレージ アカウント内のリソースにアクセスできるようになります。
認可のセキュリティを使うときに考慮すべきこと
Azure Storage への要求を認可するには、次の戦略を確認します。 お使いの Azure Storage にはどのようなセキュリティ戦略が適しているかを考えてください。
| 認可戦略 | 説明 |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID は、Microsoft のクラウドベースの ID およびアクセス管理サービスです。 Microsoft Entra ID を使用すると、ロールベースのアクセス制御 を使って、ユーザー、グループ、またはアプリケーションにきめ細かいアクセスを割り当てることができます。 |
| 共有キー | 共有キーの認可は、Azure Storage アカウントのアクセス キーとその他のパラメーターを利用し、暗号化された署名文字列を生成しています。 この文字列は、要求の Authorization ヘッダーで渡されます。 |
| 共有アクセス署名 | SAS により、Azure Storage アカウント内の特定のリソースへのアクセスが、指定したアクセス許可で、指定した期間だけ委任されます。 |
| コンテナーと BLOB への匿名アクセス | 必要に応じて、コンテナーまたは BLOB のレベルで BLOB リソースをパブリックにすることができます。 任意のユーザーが、匿名読み取りアクセスで、パブリック コンテナーまたは BLOB にアクセスできます。 パブリック コンテナーと BLOB に対する読み取り要求に認可は必要ありません。 |