Upload
miho-yamamoto
View
83
Download
1
Embed Size (px)
Citation preview
セキュアなプラットフォーム Azure + SQL Serverのご紹介日本マイクロソフト株式会社テクニカルエバンジェリスト山本 美穂
Twitter: @mihochannelBlog: http://aka.ms/miyamam
本セッションのアジェンダ はじめに マイクロソフトのクラウド プラットフォームのセキュリティ SQL Server のセキュリティ
レ
はじめに
4,300 億超 Microsoft Azure AD の認証数は 4,300 億を突破
280% Microsoft Azure におけるデータベースの前年比増加率は 280% に到達
80%Fortune 500 企業の 80% が Microsoft Cloud を使用
$25,000運用コストはオンプレミスの 100,000 ドルに対してクラウドでは 25,000 ドル(Microsoft Azure BI Team, STMG Proof Points Central)
経済性規模
30,000 か
ら
250,000 へ
サイト訪問者が
あっという間に増加(Case Study: Autocosmos)
2 週間新規サービスを 2 週間で提供 ( 従来ソリューションでは 6-12 か月 )(Case Study: HarperCollins Publishers)
スピード
テクノロジートレンドは「クラウドの採用」
の CIO が 2016 年にクラウド ファースト戦略を採用する見通しである(IDC CIO Agenda webinar)
クラウドの動向 :70%メリット
Azure の採用
導入前の懸念
60%導入の障壁として、データ セキュリティに対する懸念を挙げている企業
45%クラウド導入によってデータを制御できなくなることを懸念している企業
得られたメリット
94%これまでの自社運用にはなかったセキュリティ上のメリットを実感している企業
62%クラウドへの移行によってプライバシー保護が強化されたと感じている企業
クラウドによるイノベーション : リスクとメリット
セキュリティ• 設計 / 運用• インフラストラク
チャ• ネットワーク• アイデンティ
ティ / アクセス• データ
プライバシー
コンプライアンス
透明性
6
誰もお客様が承認していない方法でお客様のデータを使用することはできない
お客様のデータの機密性、完全性、および可用性が保護されている
お客様は自分のデータがどのように処理され、使用されているかを「見える化」する能力 ( ビジビリティ ) が得られる
お客様のコンテンツは、関連する法令、規制、標準に準拠した形で保存および管理される
プライバシー &
コントロール
セキュリティ 透明性コンプライアンス
マイクロソフトクラウド
本セッションのアジェンダ はじめに マイクロソフトのクラウド プラットフォームのセキュリティ SQL Server のセキュリティ
レレ
マイクロソフトのクラウド
Happy 7th Anniversaryクラウドサービスを提供して7 年になります。
Platform Services
Infrastructure ServicesCompute Storage
Datacenter Infrastructure (38 Regions, 30 Online)
Application Platform
WebApps
MobileApps
API Apps
Notification Hubs
HybridCloud
Backup
StorSimple
Azure SiteRecovery
Import/Export
Networking
DataSQL Database DocumentDB
Redis Cache
AzureSearch
StorageTables
SQL DataWarehouse
Azure AD Health Monitoring
Virtual Network
ExpressRouteBlob Files DisksVirtual
Machines
AD PrivilegedIdentity Management
Traffic Manager
AppGateway
OperationalAnalytics
Compute Services
Cloud Services
Batch RemoteApp
ServiceFabric
Developer Services
Visual Studio
ApplicationInsights
VS Team Services
Containers
DNS VPN Gateway
Load Balancer
Domain Services
Analytics & IoTHDInsight Machine
Learning Stream Analytics
Data FactoryEvent
Hubs
Data LakeAnalytics Service
IoT Hub
Data Catalog
Security & Manageme
nt
Azure ActiveDirectory
Multi-FactorAuthentication
Automation
Portal
Key Vault
Store/Marketplace
VM Image Gallery& VM Depot
Azure ADB2C
Scheduler
Xamarin
HockeyAppPower BI Embedded
SQL Server Stretch Database
MobileEngagement
Functions
IntelligenceCognitive Services Bot Framework Cortana
Security Center
Container Service
Queues
VM Scale Sets
Data Lake Store
Dev/Test Lab
IntegrationBizTalkServices
Service BusLogic Apps
API Management
Media & CDNContent DeliveryNetwork
Media Services
Media Analytics
世界中にデータセンターがあります。32 regions worldwide, 6 more announced
100+ datacenters $15 billion investment Operational
Announced
Central US
Iowa
West USCalifornia
North EuropeIreland
East USVirginia
East US 2
Virginia
US GOVVirginia
North Central US
Illinois
US GOVIowa
South Central US
Texas
Brazil South
Sao Paulo
West Europe
Netherlands
China North *
BeijingChina
South *Shanghai
Japan EastSaitama
Japan WestOsaka
India South
Chennai
East AsiaHong KongSE Asia
Singapore
Australia South East
Victoria
Australia EastNew South
Wales
* Operated by 21Vianet
India CentralPune
Canada EastQuebec City
Canada CentralToronto
India West
Mumbai
Germany East
Germany West
UK WestUK East
Operated by Deutsche Telekom
West US2California
West Central US
Korea CentralSeoul
Korea SouthTBA
US East DoD
US GOVTexas
FranceCentral France
South
US GOVArizona
US Central
DOD
Applications
Clients
Infrastructure
Management
Databases &Middleware
App Frameworks& Tools
DevOps
PaaS &DevOps
Azure はオープンなクラウド Public Cloud
オンプレミス
ストレージ
サーバー
ネットワーク
OS
ミドルウエア
仮想化
データ
アプリケーション
ランタイム
インフラストラクチャー(IaaS)
ストレージ
サーバー
ネットワーク
OS
ミドルウエア
仮想化
データ
アプリケーション
ランタイムユー
ザー
管理
プラットフォーム(PaaS)
ストレージ
サーバー
ネットワーク
OS
ミドルウエア
仮想化
アプリケーション
ランタイム
データ
ソフトウエア(SaaS)
ベン
ダー
管理
ストレージ
サーバー
ネットワーク
OS
ミドルウエア
仮想化
アプリケーション
ランタイム
データ
Microsoft Azure 仮想マシンWindows Server Hyper-VWindows Server Microsoft Azure
App ServicesOffice 365
Dynamics CRMベ
ンダ
ー管
理
ベン
ダー
管理
ユー
ザー
管理
ユー
ザー
管理
クラウドサービスの違い
本セッションのアジェンダ はじめに マイクロソフトのクラウド プラットフォームのセキュリティ SQL Server のセキュリティ
レレレ
プラットフォームのセキュリティ
Microsoft Boydton DC
広い!(車が小さい!)
データセンターのセキュリティ
境界
コンピューター
ルーム
建物
耐震補強ブレース
セキュリティ オペレーショ
ン センター (SOC)
24 時間常駐の
警備員
数日分の予備電源
監視カメラ 警報装置2 要素アクセス制御 : 生体認証情報リーダー
& カード リーダー
防壁 フェンス
Azure の基盤のひみつ
電源 ネットワーク回線
均一化されたサーバー
オンプレミスで実現不可能な要件
電源確保が絶対条件
液体燃料が確保できること
道路の選定もデータセンター設置の条件
どの道路に面しているかが重要
Azure の基盤のひみつ
電源 ネットワーク回線
均一化されたサーバー
オンプレミスで実現不可能な要件
日本の地下ネットワーク網は世界最強
[Image credit: US Pacific Fleet, Flickr]
海底ケーブルへも大型投資を実施
Azure の基盤のひみつ
電源 ネットワーク回線
均一化されたサーバー
オンプレミスで実現不可能な要件
+
Open Compute Project への参加
サーバーの内部設計はすべて公開
Azure のコンプライアンスhttps://www.microsoft.com/ja-jp/TrustCenter/Compliance/default.aspx
データ
重要なデータはどこにある?
ファ
イア
ウォ
ー
ル IPS/IDS
PC/サー
バー
アプ
リケ
ーシ
ョ
ン
ネットワーク
攻撃者
入口対策
出口対策 アンチウイルス
データ
典型的な攻撃
ファ
イア
ウォ
ー
ル IPS/IDS
PC/サー
バー
アプ
リケ
ーシ
ョ
ン
ネットワーク
DDoS
アンチウイルス
Microsoft Cyber Crime Center 外部機関
Machine Learning on Cloud
Zero Day 回避
パスワードリスト
クロスサイトスクリプティング
SQL インジェクション
既知の攻撃は弾く
オンプレミスよりも堅牢
本セッションのアジェンダ はじめに マイクロソフトのクラウド プラットフォームのセキュリティ SQL Server のセキュリティ
レレレレ
SQL Server のセキュリティ
SQL Server の多層防御とは?ネットワーク
OS
SQL Server
ログイン
Windowsアカウント Enhanced
ADO.NET Library
アプリケーションデータ ユーザー
監査
監査
監査
透過的データ暗号化
Always Encrypted
Windows ファイアウォール
サーバー認証
動的データマスク行レベル
セキュリティ
Always Encrypted
Always Encrypted通信経路も含め、常に暗号化した状態でデータを操作できる
クライアント ドライバーは SQL Server から CEK を取得 CEK は、 CMK の秘密キーで暗号化されている クライアント ドライバーは 復号した CEK を使用して
データを暗号化し、 SQL Server に送信する
列マスター キー (CMK)
列暗号化キー (CEK)
SQL Server 2016
クライアントドライバー
CustName CreditCard#User1 1x7fg65se2eUser2 0x7ff65se7eUser3 0y789fjae8dUser4 1x34gja4u8d
CreditCard テーブル
INSERT CreditCardVALUES (User5,'0x4i852fjk23j')
暗号化された列データ
User5
INSERT CreditCardVALUES (User5,'38520000023237')
SQL Server の多層防御とは?ネットワーク
OS
SQL Server
ログイン
Windowsアカウント Enhanced
ADO.NET Library
アプリケーションデータ ユーザー
監査
監査
監査
透過的データ暗号化
Always Encrypted
Windows ファイアウォール
サーバー認証
動的データマスク行レベル
セキュリティ
Always Encrypted
透過的データマスク インメモリ OLTP オブジェクトを格納したデータベースも暗号化の設定が可能
に アプリケーション コードを変更することなく、データベース全体のデータを暗号化 master システム データベースに配置された証明書を使用してデータベース全体を暗号化
暗号化されたデータベース
master データベース
データベース暗号化キー(DEK)
データベース マスター キー(DMK)
証明書オブジェクト
暗号化暗号化 暗号化暗号化
ログ ファイルデータ ファイル
データベース ブート レコードに格納
動的データマスク 指定されたマスク フィールド条件で、機微なデータをマスキングする機能
マスク関数 default() → 対象列が完全にマスクされる email() → メール アドレス用のマスク partial(1,“XXXXXXX”,0) → 最初の文字以外はマスクされる random(1,5) → ランダムな数値に置き換えられる
適用シナリオ 機微なデータの情報漏えいからの保護 特権ユーザーからのアクセス保護
CustName CreditCard#User1 4012888888881881User2 5105105105105100User3 3566002020360505User4 371449635398431
マスク関数が設定された CreditCard テーブル
Admin CustomerName
CreditCard#
User1 XXXXXXXXXXXX881
SELECT * FROM CreditCardWHERE CustName = 'User1'
SQL Server 2016
動的データ マスク
行レベルセキュリティユーザーの ID 、ロール、実行コンテキストを基にした行レベルの
アクセス制限
適用シナリオ 社員の地域やロールに基づく、財務データへのアクセス制限 データ分析者の職位やロールに基づく、データ サブセットの抽出とレポート作成
CustName EmailAddress SalesPersonUser1 [email protected] SalesPerson1User2 [email protected] SalesPerson3User3 [email protected] SalesPerson1User8 [email protected] SalesPerson3User9 [email protected] SalesPerson2
Customer テーブル
SalesPerson1CustName EmailAddressUser1 [email protected] [email protected]
SELECT CustName, mailAddress FROM Customer RLS
SQL Server 2016
行レベル セキュリティ結果セット
まとめ マイクロソフトのクラウド = Azure は
セキュアで堅牢性の高いクラウド SQL Server もセキュアで可用性の高い
データープラットフォーム