SaaS、PaaS、IaaS のセキュリティの概要
このモジュールでは、サービスとしてのソフトウェア (SaaS)、サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS) のセキュリティに関するセキュリティ要件を指定する方法の概要について説明します。 このモジュールでは、IoT Hub、App Service、Azure Kubernetes Service (AKS) の Microsoft クラウド セキュリティ ベースラインと、Microsoft Azure OpenAI をセキュリティで保護するためのガイドラインに焦点を当てています。
あなたは大規模な多国籍企業のセキュリティ エンジニアであるとします。 あなたの会社は最近インフラストラクチャを Azure に移行し、IaaS と PaaS のサービスを組み合わせて使用しています。 これらのサービスのセキュリティを確保することがあなたの任務ですが、何から手をつけてよいのかわかっていません。 あなたは、IaaS と PaaS をセキュリティで保護するためのベスト プラクティスと、Azure のセキュリティ ベースラインを IoT Hub、App Service、AKS に適用する方法を理解する必要があります。 さらに、あなたの会社は Azure OpenAI の使用を検討しており、あなたはそれを効果的にセキュリティで保護する方法を把握する必要があります。
学習の目的
このモジュールでは、次の方法を学習します。
- SaaS、PaaS、IaaS サービスのセキュリティ ベースラインを指定する
- Web ワークロードのセキュリティ要件を指定する
- コンテナーおよびコンテナー オーケストレーションのセキュリティ要件を指定する
このモジュールの内容は、SC-100: Microsoft Cybersecurity Architect 認定資格試験の準備に役立ちます。
前提条件
- ID とアクセス、プラットフォームの保護、セキュリティ運用、データのセキュリティ保護、アプリケーションのセキュリティ保護に関する高度な経験と知識。
- ハイブリッド実装とクラウド実装の経験。
クラウドにおける共同責任
パブリック クラウド サービスを検討して評価する際には、共同責任モデル、クラウド プロバイダーが処理するセキュリティ タスク、およびお客様が処理するタスクを理解することが重要です。 ワークロードの責任は、ワークロードがサービスとしてのソフトウェア (SaaS)、サービスとしてのプラットフォーム (PaaS)、サービスとしてのインフラストラクチャ (IaaS)、またはオンプレミスのデータセンターのいずれでホストされるかによって異なります。
責任の分担
オンプレミスのデータセンターでは、お客様がスタック全体を所有します。 クラウドに移行すると、責任の一部は Microsoft に移譲されます。 次の図は、スタックのデプロイの種類に応じて、お客様と Microsoft の間の責任の範囲を示しています。
すべてのクラウド デプロイの種類において、データと ID を所有するのはあなたです。 あなたは、データと ID、オンプレミス リソース、制御するクラウド コンポーネント (サービスの種類によって異なります) のセキュリティを保護する責任があります。
デプロイの種類に関係なく、次の責任はお客様が必ず負います。
- データ
- エンドポイント
- Account
- アクセス管理