Downloaded 51 times
More Related Content
![[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス](https://cdn.slidesharecdn.com/ss_thumbnails/amazonauroratips-170307140000-thumbnail.jpg?width=640&height=640&fit=bounds)
![[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際](https://cdn.slidesharecdn.com/ss_thumbnails/sc05-170614044200-thumbnail.jpg?width=640&height=640&fit=bounds)
Azure Key Vault
- 1. 1 アイデンティティはもう飽きた? それなら今度は Key 管理だ! AzureKey Vault 徹底解説 日本マイクロソフト株式会社 プリンシパル テクニカル エバンジェリスト 安納 順一 2017年04月16日 V2.0
- 2. 2 Security Concept -CIA アクセスすべきでない人から秘匿すること 情報 三者の協調動作が重要
- 3. 3 Security Concept -CIA Disclosure(漏洩) unauthorized
- 4. 4 People-centric IT User DeviceApplication Data Network Identity Management & Authentication Access Control & Authorization Data(packet)Protection & Encryption Auditing Subjects & Objects Practices Process
- 5.
- 6.
- 7. 7 Azure Key Vault 認可されたユーザーと アプリケーション Set Get List Delete Secret 25KB以内のバイト文字列 •SQL接続文字列 • PFX ファイル • AES 暗号化キー など HSM 保護 Key(RSAーHSM) • Thales nShield(FIPS 140-2 Level 2) • KEK(Key Encryption Key) Software 保護 Key(RSA 2048) 暗 号 化 Premium マイクロソフトが管理するマルチテナント型のHSM Certificate • X.509 Create Get Delete Update Import Encrypt Decrypt Sign Import Encrypt Decrypt Sign
- 8. 8 HSM とは HSM(Hardware SecurityModule) 乱数/キー生成機能 暗号化機能 署名機能 キーの保管、取り出し 大切なキーをハードウェア内部に保管し、外部から取り出せないようにする装置 署名依頼 キーを取り出して署名する のではなく、キーの生成、 署名を外部から依頼する。 キーを取り出さないので、 ハッキングの危険性を減ら せる。
- 9.
- 10.
- 11. 11 Azure Key Vaultの役割 xxxxxxxx Key Certificate Secret 情報 Information Protection Azure Disk Encryption PowerShell C# Key や Secret の保護、アクセスコントロール Application Data LayerUser/Device Azure AD Service Fabric
- 12. 12 これまでは • Azure ADでユーザー、デバイス、アプリを認証/認可 • Key や Secret はアプリに埋め込み、または個人/企業で管理 アプリを認可 ユーザー認証 アプリの利用を認可 アクセス Secret や Key を使用してアクセス 暗号化
- 13. 13 さらに深いアクセス制御へ • Azure ADは アプリの Key Vault へのアクセスをコントロール • Key Vault はアプリケーションのリソースへのアクセスをコントロール アプリを認可 Secret取り出し リソースとしてアクセス権を管理 アクセス Key Vault の 使用を認可 Secret や Key を使用してアクセス ユーザー認証 アプリの利用を認可 Key Vault の使用を認可 暗号化依頼
- 14.
- 15. 15 ロール別ソリューション Azure アプリケー ションの開発者 "署名と暗号化のキーを使用する Azureのアプリ ケーションを作成したいが、ソリューションが地 理的に分散したアプリケーションに合うように、 これらをアプリケーションの外部に設定したい。 また、これらのキーとシークレットは、自分で コードを記述せずに保護し、簡単にアプリケー ションから最適なパフォーマンスで使用できるよ うにしたい。” • キーは、資格情報コンテナーに格納され、必要なときに、URI によって呼び出されます。 • キーは、業界標準のアルゴリズム、キーの長さ、およびハード ウェア セキュリティ モジュール (HSM) を使用して、Azure に よって保護されています。 • キーは、アプリケーションと同じ Azure データ センター内にあ る HSM で処理されるため、信頼性が向上し、オンプレミスの 場所などの別の場所にキーが存在する場合より待機時間が削減 されます。 サービスとしての ソフトウェア (SaaS) の開発者 "顧客のテナント キーやシークレットに対して義務 や潜在的責任を負いたくない。 顧客はキーを自分で所有して管理してほしい。そ うすることで、私は自分の専門分野である、中心 的なソフトウェア機能を提供することに集中でき る。" • 顧客は Azure に自分のキーをインポートして管理でき ます。SaaS アプリケーションが顧客のキーを使用して 暗号化操作を実行する必要がある場合は、Key Vault が アプリケーションに代わって、これを行います。アプリ ケーションには、顧客のキーは表示されません。 最高セキュリティ 責任者 (CSO) "アプリケーションが、セキュリティで保護された キー管理のために FIPS 140-2 レベル 2 HSM に準 拠していることを確認したい。 組織が、キーのライフ サイクルを管理し、キーの 使用状況を確実に監視できるようにしたい。 複数の Azure サービスとリソースを使用している が、Azure の 1 つの場所からキーを管理したい。" • HSM は FIPS 140-2 レベル 2 で検証済みです。 • Key Vault は、Microsoft によってご使用のキーが参照 されたり抽出されたりしないように設計されています。 • キー使用法 (現在使用できません) のリアルタイムのロ グ記録。 • 資格情報コンテナーは、Azure にある資格情報コンテ ナーの数、それらがサポートするリージョン、およびそ れらを使用するアプリケーションに関係なく、1 つのイ ンターフェイスを提供します。
- 16. 16 可用性、冗長性 • リージョン内自動複製 • リージョン外自動複製 Azure Region Azure Region リージョン内複製リージョン間複製 Primary Secondary
- 17. 17 Due Care:Key/Secret のライフサイクル •有効化、無効化 • バックアップ • リストア • アクティブ化 • 有効期限
- 18. 18 Due Diligent: KeyVault のRBACとライフサイクル管理
- 19. 19 Key Vault の監視、ログ •Activity Log • Audit Log Azure Storage Event Hub Log Analytics Stream Analytics PowerBI .JSON
- 20. 20 Key Vault の制限 HSM-CREATE KEY HSM - その他のトランザクション ソフトキーの CREATE KEY ソフトキーのその他のトランザクション すべてのシークレット、 資格情報コンテナーに関連するトランザクション トランザクションの種類 リージョンあたりのコンテナーごとに、 10 秒間に許可される最大トランザクション数 キー コンテナーごとに許可される上限は 5 倍までです。 たとえば、1 つのサブスクリプションで許可される 「HSM - その他のトランザクションの最大数」は、10 秒間に 5000 トランザクションです。 5 1,000 10 1,500 2,000
- 21. 21 よくある質問 • 既存アプリで KeyVault を使用できるか? • NO. アプリケーションは Key Vault を前提に設計されていないとならない. • ただし、証明書を使用するだけならば Yes. • マイクロソフトは Key を参照できるのか? • NO • マイクロソフトは政府にキーを渡すことがあるか? Microsoft VP of LCA Brad Smith http://blogs.microsoft.com/on-the-issues/2013/07/16/responding-to-government- legal-demands-for-customer-data/ If we receive a government demand for data held by a business customer, we take steps to redirect the government to the customer directly, and we notify the customer unless we are legally prohibited from doing so.
- 22. 22 Azure Disk Encryption forWindows and Linux IaaS VMs
- 23.
- 24. 24 Azure Disk Encryption WindowsServer Linux BitLocker 外部保護キー DM-Crypt Windows OS Windows Data Linux OS Linux Data Basic VM × × × × Standard VM 〇 〇 〇 〇 暗号化方式 BitLocker BitLocker DM-Crypt DM-Crypt 暗号化 〇 〇 〇 〇 非暗号化 〇 〇 × 〇 Premium storage 既に暗号化されたストレージの設定を更新することはできない Managed storage 〇 〇 〇 〇 Backup/restore KEK 必須 KEK 必須 KEK 必須 KEK 必須 Striping/Storage Space 〇 〇 〇 〇 Classic VM × × × × 以下のファイルシステムは未サポート Azure Files (shared file system), Network File System (NFS), dynamic volumes, ソフトウェアRAIDで構成された Windows VM ※GPの「TPM保護」を 有効化しないこと
- 25. 25 KEK(Key encryption key) KEK (KeyEncryption Key) DEK (Data Encryption Key) encryptencrypt ケルクホフス(Kerchoffs)の原理 1. 暗号方式は、現実的に(数学的にではなく)逆変換不能であること 2. 暗号方式は、秘密であることを必要としてはならず、敵の手に落ちても不都合が無いようにできること 3. 鍵は伝達可能で、文書を見なくても維持することができ、通信員が変更できること 4. 電気通信に適したものであること 5. 携帯可能であり、その利用や動作には大勢の人を必要としてはならない 6. 最後に、利用状況のことを考えて、精神的緊張や長々とした注意書きを知っていることは不要など、取り扱い易いことが必要である From Wikipedia “ケルクホフスの原理” HSM Secret ※SoftwareでもOK
- 26. 26 Supported OS Windows Server2008 R2(.NET Framework 4.5) Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows 8 Windows 10 Ubuntu 16.04-DAILY-LTS OS and Data disk Ubuntu 14.04.5-DAILY-LTS OS and Data disk Ubuntu 12.10 Data disk Ubuntu 12.04 Data disk RHEL 7.3 OS and Data disk RHEL 7.2 OS and Data disk RHEL 6.8 OS and Data disk RHEL 6.7 Data disk CentOS 7.3 OS and Data disk CentOS 7.2n OS and Data disk CentOS 6.8 OS and Data disk CentOS 7.1 Data disk CentOS 7.0 Data disk CentOS 6.7 Data disk CentOS 6.6 Data disk CentOS 6.5 Data disk openSUSE 13.2 Data disk SLES 12 SP1 Data disk SLES 12-SP1 (Premium) Data disk SLES HPC 12 Data disk SLES 11-SP4 (Premium) Data disk SLES 11 SP4 Data disk Key Vault と VM は同じリージョン/サブ スクリプションである必要がある
- 27. 27 どうやって暗号化するのか • ARM template(https://github.com/Azure/azure-quickstart-templates) •PowerShell • CLI 現時点ではUIから設定することはできない
- 28. 28 KEKとDEKのアクセス制御 DEK(シークレット)保存 DEKをKEKでWrap REST API encrypt KEK の生成 RBAC AzureDisk Encryption Service • ARM template • PowerShell • CLI Disk Encryption がAPIにアクセス できる権限が必要
- 29. 29 Azure のオブジェクトモデル Azure ActiveDirectory Subscription Resource Group VM Storage Account Key Vault Secret Key Version Version
- 30. 30 Key Vault はリソースグループに割り当てる KeyVault 仮想ネットワーク 仮想マシン NIC パブリックIP ストレージ リソースグループ
- 31. 31 “正しいアプリケーション”であることの証明 Azure Disk Encryption Service •ARM template • PowerShell • CLI userdevice application Service Principal Application id Application secret New-MsolServicePrincipalCredential -AppPrincipalId <Application Id> -Type password -Value <Application secret> Application(Client) Secret を使用する場合 Token connect-msolservice Application id Role: Key Wrap Role: Secret Set
- 32. 32 “正しいアプリケーション”であることの証明 Azure Disk Encryption Service •ARM template • PowerShell • CLI user device application Service Principal Application id Application secret New-MsolServicePrincipalCredential -AppPrincipalId <Application Id> -Type asymmetric -Value <CertRawData_base64> 証明書を使用する(Windowsでサポート)
- 33. 33 Step0 Azure ADにアプリケーション登録
- 34.
- 35.
- 36.
- 37. 37 Step3 Key Vaultパーミッション設定 Azure AD に登録し たApplication
- 38.
- 39.
- 40. 40 Step4 ディスクを暗号化 Set-AzureRmVMDiskEncryptionExtension -ResourceGroupName $resourceGroupName -VMName$vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $keyVaultResourceId -KeyEncryptionKeyUrl $KeyEncryptionKeyUrl -KeyEncryptionKeyVaultId $keyVaultResourceId -VolumeType All KeyVault の URL DEKは自動生成される
- 41. 41 Linux は? オンプレミスで PreEncrypted の準備が必要
- 42. 42 まとめ キー/シークレット は • アプリから切り離しましょう •Key Vault で集中管理 Key Vault へのアクセスを認可するには Azure Active Directory です