Azure Storage セキュリティの戦略を確認する

管理者は、データのセキュリティを確保するために、さまざまな戦略を使います。 一般的なアプローチとして、暗号化、認証、認可のほか、資格情報、ファイル アクセス許可、プライベート署名を使ったユーザー アクセス制御などがあります。 Azure Storage には、データをセキュリティで保護するために、一般的な戦略に基づいた一連のセキュリティ機能が用意されています。

Azure Storage のセキュリティ戦略について知っておくべきこと

Azure Storage のセキュリティの特徴をいくつか見てみましょう。 このモジュールを実行するときは、多層防御を検討してください。 この概念にストレージ セキュリティ機能を適用するにはどうすればよいですか?

• 保存時の暗号化。 256 ビットの Advanced Encryption Standard (AES) 暗号を使用した Storage Service Encryption (SSE) は、Azure Storage に書き込まれるすべてのデータを暗号化します。 Azure ストレージからデータを読み取るときは、Azure ストレージによって復号化されたデータが返されます。 このプロセスにより追加料金は発生せず、パフォーマンスが低下することもありません。 保存時の暗号化には、Azure Disk Encryption を使用した仮想ハード ディスク (VHD) の暗号化が含まれます。 この暗号化では、Windows イメージには BitLocker が使用され、Linux には dm-crypt が使用されます。

• 転送中の暗号化。 Azure とクライアントの間で "トランスポートレベルのセキュリティ" を有効にすることで、データのセキュリティ保護を維持します。 パブリック インターネット経由の通信をセキュリティで保護するには、常に HTTPS を使用します。 REST API を呼び出してストレージ アカウント内のオブジェクトにアクセスする場合は、ストレージ アカウントの 安全な転送 を要求することで、HTTPS の使用を強制できます。 安全な転送を有効にすると、HTTP を使用する接続は拒否されます。 このフラグでは、すべてのファイル共有マウントに対して SMB 3.0 を要求することで、SMB 経由での安全な転送も強制されます。

• 暗号化モデル。 Azure では、サービスが管理するキー、Key Vault でユーザーが管理するキー、またはユーザーが制御するハードウェア上でユーザーが管理するキーを使用したサーバー側暗号化など、さまざまな暗号化モデルがサポートされています。 クライアント側暗号化を使用すると、オンプレミスまたは別のセキュリティで保護された場所で、キーを管理したり格納したりできます。

• 要求を承認します。 最適なセキュリティを確保するために、Microsoft では、可能な限り、マネージド ID で Microsoft Entra ID を使用して、BLOB、キュー、テーブル データに対する要求を承認することをお勧めします。 Microsoft Entra ID とマネージド ID を使用した承認は、共有キーの承認よりも優れたセキュリティと使いやすさを提供します。

• RBAC。 RBAC を使用すると、ストレージ アカウント内のリソースにアクセスできるのは、必要なときにのみ、アクセス権を付与したユーザーまたはアプリケーションに限られます。 Azure ストレージ アカウントにスコープ付けされた RBAC ロールを割り当てます。

• ストレージ分析。 Azure Storage Analytics は、ストレージ アカウントのログ記録を実行します。 このデータを使用して、要求のトレース、使用傾向の分析、ストレージ アカウントの問題の診断を行うことができます。

認可のセキュリティを使うときに考慮すべきこと

Azure Storage への要求を認可するには、次の戦略を確認します。 お使いの Azure Storage にはどのようなセキュリティ戦略が適しているかを考えてください。