O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
Azure SecOps
Azure Key Vault を用いたクラウドのキー管理
- クラウドに接続するための大事な様々なキー、config ファイルに書いていいんですか?
日本マイクロソフト
アプリケーションソリューションアーキテクト
服...
Key Vault とは
クラウド アプリケーションやサービスで使用される
暗号化キーとシークレットをセキュリティで保護す
るために役立ちます。
キーとシークレットをハードウェア セキュリティ
モジュール (HSM) で保護されたキーを使用...
キーの漏洩
キーやシークレットの漏洩の多くは人的ミスが多い。
単純な文字列であるため簡単に漏洩できてしまう。
3
Azure のオブジェクトモデル
Azure Active Directory
Subscription
Resource Group
VM Storage Account Key Vault
Secret Key
Version Versio...
HSM とは
HSM(Hardware Security Module)
乱数/キー生成機能
暗号化機能
署名機能
キーの保管、取り出し
大切なキーをハードウェア内部に保管し、外部から取り出せないようにする装置
署名依頼
 キーを取り出して署...
Key VaultのHSM
認可されたユーザーと
アプリケーション Get
List
Set
Secret
25KB以内のバイト文字列
• SQL 接続文字列
• PFX ファイル
• AES 暗号化キー など
Decrypt
Sign
HSM...
対応地域と耐久性・高可用性
耐久性
キーボルトのキーとシークレットはそのリージョンに格納され、同じジオ内の2番目のリージョンにバックアップされます。合計6
つのコピーが得られます。
高可用性
読み取り/書き込み要求はプライマリ領域にアフィニティ...
Key Vault オペレーション
Key Vault を用いたオペレーションシナリオ
複数のベンダー/チームがアプリケーションを開発
 マルチテナントのアプリケーション
 キーを管理、隠蔽(基本機能)
 仮想マシンに配布する証明書の隠...
アプリケーション構成
9
ユーザー Web Apps Key Vault Storage AccountAzure Active Directory
ユーザー アプリケーション AAD Key Vault Key 管理対象
 アプリケーション...
Azure ADとKey Vaultの役割
• Azure AD は アプリの Key Vault へのアクセスをコントロール
• Key Vault はキーとシークレットを一元管理し、アプリケーションのリ
ソースへのアクセスをコントロール
1...
アプリケーションのアクセスフロー
11
ユーザー Web Apps Key Vault Storage Account
Azure Active Directory
🅰1
2 3
4
5
61
2
3
4
5
6
🅰 あらかじめ Key を K...
管理のフロー(Key 管理の場合)
• SecOps / DevOpsを分離することができます。
12
Web Apps Key Vault Storage Account
Azure Active Directory
SecOps
Key を...
マルチテナントアプリ
企業A 企業B 企業C
Developer
• Key Vault の複数用意で、顧客ごとに Secret を分離して管理できま
す。
• SaaS として提供するアプリケーションの開発などに適しています。
マルチテナント...
管理のフロー(証明書管理の場合)
• SecOps チームで証明書を管理できます。
14
Key Vault
Azure Active Directory
SecOps
証明書をアップロード
DevOps
Secret を取得するための Sec...
Key Vault運用のベストプラクティス
15
Certificate1.pfx
Certificate2.pem
Password1
Password2
DBConnectionString1
StorageAccountKey1
Stor...
Key Vault運用のベストプラクティス
16
Azure Key Vault
1. シークレットを生成
2. シークレットのためにデザインされ
たストアで保管
ストレージアカウントキー
証明書
保護キー
パスワード
Key Vault運用のベストプラクティス
17
Azure Key Vault
Azure Active Directory
1. シークレットを生成
2. シークレットのためにデザインされ
たストアで保管
3. ディレクトリに紐付ける
スト...
Key Vault運用のベストプラクティス
1. シークレットを生成
2. シークレットのためにデザインされ
たストアで保管
3. ディレクトリに紐付ける
4. 権限を最小化し、定期的にアクセス
許可を確認
18
App developers
...
Key Vault運用のベストプラクティス
1. シークレットを生成
2. シークレットのためにデザインされ
たストアで保管
3. ディレクトリに紐付ける
4. 権限を最小化し、定期的にアクセス
許可を確認
19
Secret Custodia...
Key Vault運用のベストプラクティス
1. シークレットを生成
2. シークレットのためにデザインされ
たストアで保管
3. ディレクトリに紐付ける
4. 権限を最小化し、定期的にアクセス
許可を確認
5. ログアクセス、ログのレビュー
...
Key Vault運用のベストプラクティス
1. シークレットを生成
2. シークレットのためにデザインされ
たストアで保管
3. ディレクトリに紐付ける
4. 権限を最小化し、定期的にアクセス
許可を確認
5. ログアクセス、ログのレビュー
...
Key Vault運用のベストプラクティス
1. シークレットを生成
2. シークレットのためにデザインされ
たストアで保管
3. ディレクトリに紐付ける
4. 権限を最小化し、定期的にアクセス
許可を確認
5. ログアクセス、ログのレビュー
...
ソリューション例
23
Azure アプリ
開発者
SaaS
開発者
セキュリティ
担当者
 署名と暗号化のキーを使用する Azure のアプリケーションを
作成したいが、ソリューションが地理的に分散したアプリ
ケーションに合うように、これら...
 本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うものではなく、
提示された情...
Próximos SlideShares
Carregando em…5
×

Azure SecOps! Azure Key Vaultを用いたクラウドのキー管理

3.188 visualizações

Publicada em

Azure Key Vault を用いたクラウドのキー管理 - クラウドに接続するための大事な様々なキー、config ファイルに書いていいんですか?

Publicada em: Software
  • 1,DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1,DOWNLOAD PDF EBOOK here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... 1,DOWNLOAD EPUB Ebook here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... 1,DOWNLOAD doc Ebook here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... 1,DOWNLOAD PDF EBOOK here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... 1,DOWNLOAD EPUB Ebook here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... 1,DOWNLOAD doc Ebook here { https://tinyurl.com/y8nn3gmc } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui
  • Hello! Get Your Professional Job-Winning Resume Here - Check our website! https://vk.cc/818RFv
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui

Azure SecOps! Azure Key Vaultを用いたクラウドのキー管理

  1. 1. Azure SecOps Azure Key Vault を用いたクラウドのキー管理 - クラウドに接続するための大事な様々なキー、config ファイルに書いていいんですか? 日本マイクロソフト アプリケーションソリューションアーキテクト 服部 佑樹
  2. 2. Key Vault とは クラウド アプリケーションやサービスで使用される 暗号化キーとシークレットをセキュリティで保護す るために役立ちます。 キーとシークレットをハードウェア セキュリティ モジュール (HSM) で保護されたキーを使用して暗 号化できます。 • 認証キー • ストレージ アカウント キー • データ暗号化キー • PFX ファイル • パスワードなど 2
  3. 3. キーの漏洩 キーやシークレットの漏洩の多くは人的ミスが多い。 単純な文字列であるため簡単に漏洩できてしまう。 3
  4. 4. Azure のオブジェクトモデル Azure Active Directory Subscription Resource Group VM Storage Account Key Vault Secret Key Version Version 4
  5. 5. HSM とは HSM(Hardware Security Module) 乱数/キー生成機能 暗号化機能 署名機能 キーの保管、取り出し 大切なキーをハードウェア内部に保管し、外部から取り出せないようにする装置 署名依頼  キーを取り出して署名す るのではなく、キーの生 成、署名を外部から依頼 する。  キーを取り出さないので、 ハッキングの危険性を減 らせる。 5
  6. 6. Key VaultのHSM 認可されたユーザーと アプリケーション Get List Set Secret 25KB以内のバイト文字列 • SQL 接続文字列 • PFX ファイル • AES 暗号化キー など Decrypt Sign HSM 保護 Key(RSAーHSM) • Thales nShield(FIPS 140-2 Level 2) • KEK(Key Encryption Key) Encrypt Software 保護 Key(RSA 2048) • FIPS 140-2 Level 1 pending 暗 号 化 Import Decrypt Sign Encrypt Create Premium 6
  7. 7. 対応地域と耐久性・高可用性 耐久性 キーボルトのキーとシークレットはそのリージョンに格納され、同じジオ内の2番目のリージョンにバックアップされます。合計6 つのコピーが得られます。 高可用性 読み取り/書き込み要求はプライマリ領域にアフィニティ化されます。しかし、サービスは地域内で自動的に、またはセカンダリ リージョンでフェイルオーバーされます。 7 地域 US West, East, East 2, Central, North Central, South Central Europe North, West Asia East, Southeast Japan East, West Australia East, Southeast Brazil South USGov Iowa, Virginia China North, East
  8. 8. Key Vault オペレーション Key Vault を用いたオペレーションシナリオ 複数のベンダー/チームがアプリケーションを開発  マルチテナントのアプリケーション  キーを管理、隠蔽(基本機能)  仮想マシンに配布する証明書の隠蔽  SQL のコネクションストリングを定義 8
  9. 9. アプリケーション構成 9 ユーザー Web Apps Key Vault Storage AccountAzure Active Directory ユーザー アプリケーション AAD Key Vault Key 管理対象  アプリケーションの認証情報  AAD のクレデンシャル  Secret が格納されている Key Vault の URL  保護対象のSecret (String)  Azure Active Directory のアプリ ケーションに割り当てられた 権限  保護対象のデータなど アプリケーションID やオブジェ クトID など、サービスプリンシ パルの情報 Key Vault と Azure Active Directory を介すことによって キー を保護します。 ユーザー Web Apps Storage Account 保護されていないアクセス Key Vaultで保護 責任範囲
  10. 10. Azure ADとKey Vaultの役割 • Azure AD は アプリの Key Vault へのアクセスをコントロール • Key Vault はキーとシークレットを一元管理し、アプリケーションのリ ソースへのアクセスをコントロール 10 アプリを認可 Secret取り出し リソースとしてアクセス権を管理 アクセス Key Vault の 使用を認可 Secret や Key を使用してアクセス ユーザー認証 アプリの利用を認可 Key Vault の使用を認可 暗号化依頼 アプリケーション Key Vault
  11. 11. アプリケーションのアクセスフロー 11 ユーザー Web Apps Key Vault Storage Account Azure Active Directory 🅰1 2 3 4 5 61 2 3 4 5 6 🅰 あらかじめ Key を Key Vault に登録 ユーザーがアプリケーションにアクセス Azure AD で アプリとユーザーの認可 Key Vault にアクセスする Token を発行・取得 アプリは Key Vault のToken を取得 Token を使い、アプリから Key Vault にアクセス。登録された Key を取得 取得した Key で Storage Account など、対象サービスにアクセス
  12. 12. 管理のフロー(Key 管理の場合) • SecOps / DevOpsを分離することができます。 12 Web Apps Key Vault Storage Account Azure Active Directory SecOps Key を頻繁に変更 (将来的には自動化) Key の変更を Key Vaultに反映 DevOps アプリの開発 Secretを取得するためのSecret URI のみがコンフィグファイル(App.config)には含まれる。 DevOps チームは Secret が格納されている URL のみを知り、 保護対象のサービスにはアクセスしない 保護対象サービスへのアクセスを制限する場合には RBAC を使う DevOps チームは特定の権限を持った Azure Active Directory のアプリケーションの サービスプリンシパルで Azure にアクセス DevOps SecOps
  13. 13. マルチテナントアプリ 企業A 企業B 企業C Developer • Key Vault の複数用意で、顧客ごとに Secret を分離して管理できま す。 • SaaS として提供するアプリケーションの開発などに適しています。 マルチテナントアプリケーション 13
  14. 14. 管理のフロー(証明書管理の場合) • SecOps チームで証明書を管理できます。 14 Key Vault Azure Active Directory SecOps 証明書をアップロード DevOps Secret を取得するための Secret URI 経由で Key Vault から証明書を取得 DevOps SecOps 証明書をインジェクトし VMにアクセス
  15. 15. Key Vault運用のベストプラクティス 15 Certificate1.pfx Certificate2.pem Password1 Password2 DBConnectionString1 StorageAccountKey1 StorageAccountKey2 1. シークレットを生成
  16. 16. Key Vault運用のベストプラクティス 16 Azure Key Vault 1. シークレットを生成 2. シークレットのためにデザインされ たストアで保管 ストレージアカウントキー 証明書 保護キー パスワード
  17. 17. Key Vault運用のベストプラクティス 17 Azure Key Vault Azure Active Directory 1. シークレットを生成 2. シークレットのためにデザインされ たストアで保管 3. ディレクトリに紐付ける ストレージアカウントキー 証明書 保護キー パスワード App5 - Containers App2 - Web App App4 - Cloud Service App3 - Service Fab App1 - VMs
  18. 18. Key Vault運用のベストプラクティス 1. シークレットを生成 2. シークレットのためにデザインされ たストアで保管 3. ディレクトリに紐付ける 4. 権限を最小化し、定期的にアクセス 許可を確認 18 App developers (the rest of your team) ストレージアカウントキー 証明書 保護キー パスワード App5 - Containers App2 - Web App App4 - Cloud Service App3 - Service Fab App1 - VMs
  19. 19. Key Vault運用のベストプラクティス 1. シークレットを生成 2. シークレットのためにデザインされ たストアで保管 3. ディレクトリに紐付ける 4. 権限を最小化し、定期的にアクセス 許可を確認 19 Secret Custodians App developers Storage account keys Certificates Encryption keys Passwords Storage account keys Certificates Encryption keys Passwords App5 - Containers App2 - Web App App4 - Cloud Service App3 - Service Fab App1 - VMs Storage account keys Certificates Encryption keys Passwords Storage account keys Certificates Encryption keys Passwords Storage account keys Certificates Encryption keys Passwords
  20. 20. Key Vault運用のベストプラクティス 1. シークレットを生成 2. シークレットのためにデザインされ たストアで保管 3. ディレクトリに紐付ける 4. 権限を最小化し、定期的にアクセス 許可を確認 5. ログアクセス、ログのレビュー 20 App developers Secret Custodians Security Analysts & Auditors App4 - Cloud Service Logs ストレージアカウントキー 証明書 保護キー パスワード App5 - Containers App2 - Web App App4 - Cloud Service App3 - Service Fab App1 - VMs
  21. 21. Key Vault運用のベストプラクティス 1. シークレットを生成 2. シークレットのためにデザインされ たストアで保管 3. ディレクトリに紐付ける 4. 権限を最小化し、定期的にアクセス 許可を確認 5. ログアクセス、ログのレビュー 6. 定期的にシークレットを更新 21 App developers Secret Custodians Security Analysts & Auditors ストレージアカウントキー 証明書 保護キー パスワード App5 - Containers App2 - Web App App4 - Cloud Service App3 - Service Fab App1 - VMs
  22. 22. Key Vault運用のベストプラクティス 1. シークレットを生成 2. シークレットのためにデザインされ たストアで保管 3. ディレクトリに紐付ける 4. 権限を最小化し、定期的にアクセス 許可を確認 5. ログアクセス、ログのレビュー 6. 定期的にシークレットを更新 7. 自動化 22 App developers Security Analysts & Auditors ストレージアカウントキー 証明書 保護キー パスワード App5 - Containers App2 - Web App App4 - Cloud Service App3 - Service Fab App1 - VMs
  23. 23. ソリューション例 23 Azure アプリ 開発者 SaaS 開発者 セキュリティ 担当者  署名と暗号化のキーを使用する Azure のアプリケーションを 作成したいが、ソリューションが地理的に分散したアプリ ケーションに合うように、これらをアプリケーションの外部 に設定したい。  これらのキーとシークレットは、自分でコードを記述せずに 保護し、簡単にアプリケーションから最適なパフォーマンス で使用できるようにしたい。  顧客のテナント キーやシークレットに対して義務や潜在的 責任を負いたくない。  顧客はキーを自分で所有して管理してほしい。そうすること で、私は自分の専門分野である、中心的なソフトウェア機能 を提供することに集中できる。  アプリケーションが、セキュリティで保護されたキー管理の ために FIPS 140-2 レベル 2 HSM に準拠していることを確 認したい。  組織が、キーのライフ サイクルを管理し、キーの使用状況 を確実に監視できるようにしたい。  複数の Azure サービスとリソースを使用しているが、Azure の 1 つの場所からキーを管理したい。  キーは、資格情報コンテナーに格納され、必要なときに、 URI によって呼び出されます。  キーは、業界標準のアルゴリズム、長いキー、およびHSM により、Azure によって保護されています。  キーは、アプリケーションと同じ Azure データ センター内 にある HSM で処理されるため、信頼性が向上し、オンプ レミスの場所などの別の場所にキーが存在する場合より待 機時間が削減されます。  顧客は Azure に自分のキーをインポートして管理できます。 SaaS アプリケーションが顧客のキーを使用して暗号化操作 を実行する必要がある場合は、Key Vault がアプリケーショ ンに代わって、これを行います。アプリケーションには、顧 客のキーは表示されません。  HSM は FIPS 140-2 レベル 2 で検証済みです。  Key Vault は、Microsoft によってご使用のキーが参照され たり抽出されたりしないように設計されています。  資格情報コンテナーは、Azure にある資格情報コンテナー の数、それらがサポートするリージョン、およびそれらを 使用するアプリケーションに関係なく、1 つのインター フェイスを提供します。
  24. 24.  本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うものではなく、 提示された情報の信憑性については保証できません。  本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。  すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、どのような形式または手段(電子的、 機械的、複写、レコーディング、その他)、および目的であっても禁じられています。 これらは著作権保護された権利を制限するものではありません。  Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれら の特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。 © 2017 Microsoft Corporation. All rights reserved. Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。 その他、記載されている会社名および製品名は、一般に各社の商標です。

×