Windows Azureのセキュリティに関して知っておくべき10のこと

Posted: 2013/06/19 カテゴリー: Uncategorized
タグ:, ,

クラウド サービスを検討する際、セキュリティは重要な領域です。内部では、Windows Azureのインフラストラクチャは、環境を保護するために、多数のテクノロジーとプロセスを実装しています。ここでは、MicrosoftのGlobal Foundation Services (GFS) がインフラストラクチャをどのように運用しているか、そしてGFSが実装しているセキュリティ対策について取り上げます。

基本的に、Windows Azureは、他のすべてのアプリケーション ホスティング プロバイダーと同様に、お客様データの機密性、整合性、可用性を提供しなければなりません。また、お客様とその代理人が、彼ら自身、またはMicrosoftによって、アプリケーションとインフラストラクチャの管理を追跡できるように、Windows Azureは、透明性のある説明責任を提供しなければなりません。

ここまで説明した基本的なコンポーネントとその関係を利用して、ここでは、Windows Azureが情報セキュリティのこういった伝統的な特質をどのように提供しているかを、説明していきます。

1.内部制御トラフィックでのSSL相互認証

Windows Azureの内部コンポーネント間のすべての通信は、SSLで保護されています。

2. 証明書と秘密鍵の管理

証明書と秘密鍵を開発者と管理者に公開してしまうリスクを減らすために、証明書と秘密鍵は、それらを使うコードとは異なる機構を介してインストールされます。証明書と秘密鍵は、通信中はSSLによって保護されたPKCS12 (PFX) ファイルとして、SMAPI (サービス管理API)、またはWindows Azure管理ポータルを介してアップロードされます。このPKCS12ファイルはパスワードで保護されている場合もありますが、その場合も、同じメッセージ内にパスワードが含まれていなければなりません。SMAPIは、(必要であれば) パスワード保護を除去し、SMAPIの公開鍵を使ってPKCS12のBLOB全体を暗号化し、それを、メタデータとしての短い証明書名と公開鍵とともに、FC (ファブリック コントローラー) 上のシークレット ストアに格納します。

3. 最小限の特権を持つお客様のソフトウェア

最小限の特権でアプリケーションを稼働することは、情報セキュリティのベスト プラクティスとして広く認められています。最小限の特権という原則に従うために、Windows Azureクラウド サービスでは、お客様には、自分のVMへの管理者アクセスが与えられず、お客様のソフトウェアは、既定で低い特権のアカウントのもとで動作するように制限されています (お客様は、オプションとして異なる特権モデルを選択できます)。これによって、潜在的な影響が減り、他のセキュリティ上の弱点に加えて特権の昇格が必要となり、攻撃に必要な知識が高まります。また、これによって、お客様自身のエンド ユーザーによる攻撃から、お客様のサービスが保護されます、

4. Windows Azureストレージにおけるアクセス制御

Windows Azureストレージは、単純なアクセス制御モデルを持っています。各Windows Azureサブスクリプションは、1つ以上のストレージ アカウントを作成できます。各ストレージ アカウントは、そのストレージ アカウント内のすべてのデータに対するアクセスを制御するために使われる、1つの秘密鍵を持っています。これによって、ストレージがアプリケーションに関連付けられ、そのアプリケーションが関連するデータに対する完全な制御を持つという、典型的なシナリオがサポートされます。

5. ハイパーバイザー、ルートOS、ゲストVMの分離

重要な境界は、ルートOSのゲストVMからの分離、および (ハイパーバイザーとルートOSによって管理されている) ゲストVM間の分離です。ハイパーバイザー/ルートOSは、ゲストVMの強力な分離を提供するために、Microsoftの数十年に及ぶOSセキュリティの経験と、より最近のMicrosoft Hyper-Vからの学びを活用しています。

6. ファブリック コントローラーの分離

Windows Azureファブリックの中心的なオーケストレーターとして、特にお客様のアプリケーション内で危害を受けた可能性のあるFA (ファブリック エージェント) からの、FC (ファブリック コントローラー) に対する脅威を軽減するために、重大な制御が実施されています。FCからFAへの通信は一方向です。FAは、FCからアクセスされるSSLで保護されたサービスを実装しており、リクエストに返信するだけです。FAは、FCや他の特権を持つ内部ノードに対する接続を開始できません。FCは、まるで信頼できない通信であるかのように、すべてのレスポンスを強力に解析します。

加えて、FCと、SSLを実装できないデバイスは、異なるVLAN上にあり、これによって、FCの認証インタフェースの公開が、VMをホストする危害を受けたノードに制限されています。

7. パケット フィルタリング

ハイパーバイザーとルートOSは、ネットワーク パケット フィルターを提供しています。これによって、信頼できないVMが、偽装トラフィックを生成できず、自分宛てでないトラフィックを受信できず、保護されたインフラストラクチャ エンドポイントにトラフィックを向けられず。不適切なブロードキャスト トラフィックを送受信できないことが保証されています。

8. VLANの分離

VLANは、FCと他のデバイスを分離するために使われています。危害を受けたノードが (そのVLAN上の他のノードを除いた、そのVLAN外部からのトラフィックを偽装することを防ぐための) ルーターを通過することなしに、VLAN間で通信できないようにし、また、危害を受けたノードが、そのVLANからではなくそのVLANへのでもないトラフィックを盗聴できないようにするために、VLANはネットワークをパーティション化します。

9. お客様のアクセスの分離

お客様の環境へのアクセスを管理するシステム (Windows Azure管理ポータル、SMAPIなど) は、Microsoftが運用するWindows Azureアプリケーション内で分離されています。これは、お客様の環境にアクセスするインフラストラクチャを、お客様のアプリケーションとストレージから論理的に分離します。

10. データの削除

適切な場合には、機密性は、データの有効なライフサイクルを超えて持続されるべきです。Windows Azureのストレージ サブシステムは、削除操作が呼び出されると、お客様のデータを利用不可能にします。削除を含むすべてのストレージ操作は、即座に一貫性を持つように設計されています。削除操作の実行に成功すると、関連するデータ項目へのすべての参照が削除され、ストレージAPIを介してアクセスすることはできません。それから、削除されたデータ項目のすべてのコピーが、ガベージ コレクションされます。標準的なコンピューターのハード ドライブと同様に、他のデータを格納するために、関連するストレージ ブロックが再利用された際に、物理的なビットは上書きされます。

関連情報

 

 

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中