2018.11.21 COMPUS 2018 で使用した資料です

1. Microsoft Azure のセキュリティ対策
~ Security DevOps を支える技術群
Junichi Anno（安納 順一）
Microsoft Corporation
Commercial Software Engineering

2. 96%ポリモーフィックな
マルウェアの割合
50K毎月攻撃されている
企業のアイデンティ
ティ
<48攻撃者がネットワーク
を乗っ取るまでに必要
な時間
より洗練されつつある攻撃

4. 4
技術 運用
“安全”であることを維持し続けられることが重要

5. 5
Security DevOps
Secure the
subscription
Enable
secure
development
Integrate
security into
CI/CD
Continuous
Assurance
Alerting &
Monitoring
Cloud Risk
Governance
起点はサブスクリプションのセキュリティ
設計
• Azure AD による認証と認可
• 多要素認証
• Identity Protection
• Managed Identity
• ARM & Role-based Access Control
• モニター
• Azure セキュリティセンター
• Log Analytics
• ガバナンス
• Azure Blueprints/Azure Policy
• Just Enough Administration（JEA）
• PowerShell JEA
• Azure AD 特権管理

6. On-
premises

7. On-premises /
Private cloud

8. On-premises /
Private cloud

9. 9
Azure AD Join
パスワード連携
OMA-DM
オンプレミス
SAML 2.0
WS-Federation
OpenID Connect
OAuth 2.0
ID
管理
認証
Active
Directory
U/P Sync
SSO
業界標準プロトコルの
サポート
他社 SaaS との ID 連携
Microsoft
Passport
Windows Hello
Windows 10
Browser
セキュリティ
ポリシー
アプリ配布/利用制限
暗号化,
権限管理,追跡
BYOD/CYOD
社内業務
SAML 2.0
WS-Fed.
Azure
Machine
Learning
Intune
Subscription
RBAC
…
Proxy
Connector
KCD
ID 同期
条件付きｱｸｾｽ
特権 ID 管理
RBAC
Managed ID 多要素認証必須
アクセスOK
アクセス不可
ID
連携
Information
Protection
MDM/
MAM/
MCM
B2B
Azure IaaS
Domain
Services
VPN
Kerberos
ldap
NTLM
Group Policy
SPNego
IWA
アクセス
パネルBusiness
Store
SCIM 2.0
監査
ﾛｸﾞ解析
ｼｬﾄﾞｳIT検出
ﾘｽｸﾍﾞｰｽ認証
MS Account

12. https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-conditional-access

13. https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-dynamic-data-masking-get-started-portal
name division email phone
Junichia SEI jxxx@xxxx.com 000-0000-0000
Hirosho C+E hxxx@xxxx.com 000-0000-0000
Sahomma SET sxxx@xxxx.com 000-0000-0000
drobbins DevCrew dxxx@xxxx.com 000-0000-0000

15. ClientID
ClientSecret
ユーザー認証を行うに
は、アプリ自身が
Azure ADで認証/認可
される必要がある

16. const string authString = "https://login.windows.net/hogehoge.com";
const string clientID = "07e33f8a-166f-4d79-a46d-f96dccf08b76";
const string clientSecret =
"s9e6moGcFsRPP0rENcniLxxxxxhgmpGxxxxxpSIenvY=";
const string resAzureGraphAPI = "https://graph.windows.net";
const string serviceRootURL = "https://graph.windows.net/hogehoge.com”;
こいつをなんとかしたい
※ SQL 接続文字列も同様

18. KeyVaultにアクセスする
には、Azure AD に認証/
認可される必要がある
金庫の鍵を保管するために、別の金庫を用意するようなもの。。。

19. RBAC
信頼関係

20. 自動生成/自動管理

21. http://169.254.169.254/
metadata/instance?api-
version=2018-02-01
metadata
• ARM 配下の仮想マシン インスタンスに関する情報を提供するインターフェース
• 実行中の仮想マシン インスタンスからのみアクセス可能
• ルーティング不可能なローカルホスト（169.254.169.254）から取得する
http://169.254.169.254/metadata/instance/<category>
{ "compute": { "location": "westus", "name": "avset2",
"offer": "UbuntuServer", "osType": "Linux",
"placementGroupId": "", "platformFaultDomain": "1",
"platformUpdateDomain": "1", "publisher": "Canonical",
"resourceGroupName": "myrg", "sku": "16.04-LTS",
"subscriptionId": "xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx",
"tags": "", "version": "16.04.201708030", "vmId": "13f56399-
bd52-4150-9748-7190aae1ff21", "vmScaleSetName": "",
"vmSize": "Standard_D1", "zone": "1" }, "network":
{ "interface": [ { "ipv4": { "ipAddress":
[ { "privateIpAddress": "10.1.2.5", "publicIpAddress":
"X.X.X.X" } ], "subnet": [ { "address": "10.1.2.0", "prefix":
"24" } ] }, "ipv6": { "ipAddress": [] }, "macAddress":
"000D3A36DDED" } ] } }
api-version=2017-08-01
Endpoint
Parameter
Header Metadata="true"

22. http://169.254.169.254/metadata/Identity/OAuth/Token
'http://169.254.169.254/metadata/identity/oauth2/token
?api-version=2018-02-01
&resource=https%3A%2F%2Fvault.azure.net'
Endpoint
Parameter api-version=2018-02-01
resource=https%3A%2F%2Fvault.azure.net
Header Metadata="true"

23. • システム割り当てマネージド ID(system-assigned managed identity)
• Azure サービス インスタンス上で直接有効にされるID
• 各インスタンスで機能を有効にする
• インスタンスが削除された場合、Azure AD の資格情報および ID を自動的にクリーンアップされる
• ユーザー割り当てマネージド ID(user-assigned managed identity) ※Preview
• 複数のリソースに割り当て可能なマネージド ID
• 現時点では VM と Container サービスでのみ使用可能
RBAC
信頼関係
信頼関係

24. いい

25. ROLE1
アクション
アクション
アクション
User
• IdP 側で Role をコントロールする
Role が持つ権限
ROLE1
ROLE2
ROLE3 権限

27. サービス システム割り当てID ユーザー割り当てID
Azure Virtual Machines 〇 Preview
Virtual Machine Scale Sets 〇 Preview
Azure App Service
Windows:〇
Linux: Coming Soon
ｰ
Azure Functions 〇 ｰ
Azure Logic Apps 〇 ｰ
Azure Data Factory V2 〇 ｰ
Azure API Management 〇 ｰ
Azure Container Instances
Windows: ｰ
Linux: Preview
Windows: -
Linux: Preview
最新情報
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/services-support-msi
2018/10/23 現在

28. Service Resource ID Status
Azure Resource Manager https://management.azure.com/ 使用可能
Microsoft Graph https://graph.windows.net 使用可能
Azure Key Vault https://vault.azure.net/ 使用可能
Azure Data Lake https://datalake.azure.net/ 使用可能
Azure SQL https://database.windows.net/ 使用可能
Azure Event Hubs https://eventhubs.azure.net/ プレビュー
Azure Service Bus https://servicebus.azure.net/ プレビュー
Azure Storage https://storage.azure.com/ プレビュー
最新情報
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/services-support-msi
2018/10/23 現在

32. Resource
Group

33. {
"properties": {
"displayName": "NSG X on every nic",
"description": "This policy enforces a specific NSG on every virtual network interface",
"parameters": {
"nsgId": {
"type": "string",
"metadata": {
"description": "Resource Id of the Network Security Group",
"displayName": "Network Security Group Id"
}
}
},
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Network/networkInterfaces"
},
{
"not": {
"field": "Microsoft.Network/networkInterfaces/networkSecurityGroup.id",
"equals": "[parameters('nsgId')]"
}
}
]
},
"then": {
"effect": "deny"
}
}
}
}

34. 34
Blueprint
Policy Assignment
Role Assignment(RBAC)
Azure Resource Manager Template
Built-in
Custom
Management Group
and

35. 35
35

36. Resource
Group

39. Azure Blueprints & Policy to get DevOps right | Best of Microsoft Ignite 2018
https://www.youtube.com/watch?v=OiOXlgFNgDo

41. NoOps

42. uncomfortable
No
Ops

43. Security DevOps
Secure the
subscriptio
n
Enable
secure
developme
-nt
Integrate
security
into CICD
Continuous
Assurance
Alerting &
Monitoring
Cloud Risk
Governance
起点はサブスクリプションのセキュリティ設計
• Azure AD による認証と認可
• 多要素認証
• Identity Protection
• Managed Identity
• ARM & Role-based Access Control
• モニター
• Azure セキュリティセンター
• Log Analytics
• ガバナンス
• Azure Blueprints/Azure Policy
• Just Enough Administration（JEA）
• PowerShell JEA
• Azure AD 特権管理

44. 44
Identity is the new perimeter
Identity Provider（Authority）

45. 45
参考URL
https://docs.microsoft.com/ja-jp/azure/security/
• Advanced threat detection
• Azure logging and auditing
• Azure network security
• Azure serverless platform security
• Container security in Azure
• Enabling operational security
• Isolation in the Azure cloud
• Secure hybrid network architecture
• Security technical capabilities

46. 46
© 2018 Microsoft Corporation. All rights reserved.
本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。