Azure SQL Database で Row-Level Security を使用してより安全性の高い中間層アプリケーションを構築する

このポストは、3 月 2 日に投稿された Building More Secure Middle-Tier Applications with Azure SQL Database using Row-Level Security の翻訳です。 Azure SQL Database で、プログラミング可能な機能である Row-Level Security (RLS) が新たにプレビューとしてリリースされました。この機能は最新バージョン (英語) の SQL Database (V12) のデータベースすべてで使用できます。Row-Level Security では、データベース テーブルの行単位で細かくアクセスを制御できます。これにより、複数のユーザーで同じテーブルを共有する際の不正アクセスを防止し、またマルチテナント アプリケーションに接続フィルターを実装することができます。この記事では、Azure SQL Database で RLS を使用した安全性の高いマルチテナントの中間層アプリケーションを構築するうえでの基礎を説明します。 ここからは、顧客企業が自社の売上を追跡できる 3 階層の e コマース SaaS ソリューションを例にして考えていきます。顧客は中間層アプリケーションを通じてのみ売上データにアクセス可能であり、この例のソリューションでは効率を考慮しデータ階層にマルチテナント アーキテクチャを採用しています。このため、すべてのテナント (顧客) の売上データは同じデータベース、同じテーブルに格納されます。 dbo.Sales OrderId SKU Price TenantId 1…

2

Microsoft Azure のネットワーク セキュリティに関するホワイトペーパーの第 3 版を公開

このポストは、3 月 2 日に投稿された Microsoft Azure Network Security Whitepaper version 3 is now available の翻訳です。 今回更新されたホワイトペーパーでは、お客様が Azure のネイティブなネットワーク セキュリティ機能を使用して情報資産を保護する方法について説明しています。 Microsoft Azure のネットワーク セキュリティに関するホワイトペーパー (第 3 版) の全文はこちらのリンクからダウンロードできます。今回の更新版では 2015 年 1 月時点で利用可能な機能について扱っています。主な内容は下記のとおりです。 お客様のインフラストラクチャをパブリック クラウドで論理的に分離することは、セキュリティを維持するうえでの原則となっています。このため、Azure では分散型の仮想ファイアウォールを使用しています。お客様は論理的に分離された複数のプライベート ネットワークを複数デプロイすることができます。下位レベルで分割されたこのようなネットワークは、通常、次の 2 種類のいずれかに該当します。 デプロイメント ネットワーク: それぞれのデプロイメントはネットワーク レベルで相互に分離されています。あるデプロイメントの中に存在する複数の VM は、プライベート IP アドレスを使用して相互に通信できます。 仮想ネットワーク: 仮想ネットワークは他の仮想ネットワークから分離されています。同一サブスクリプション内に存在する複数のデプロイメントは、同一の仮想ネットワークに配置することができます。この場合、各デプロイメントはプライベート IP アドレスを使用して相互に通信できます。   図 1: 仮想ネットワーク トポロジの例。Azure でホストされている分離された多層型…

1

Azure のセキュリティ機能の SSL 3.0 に関する最新情報

このポストは、12 月 9 日に投稿された Azure Security SSL 3.0 Update の翻訳です。 10 月末にマイクロソフトは、業界全体にかかわる SSL 3.0 の脆弱性 (通称「POODLE」) に対応して、2014 年 12 月 1 日から SSL 3.0 のサポートを停止すると発表しました。今回は、今後の変更予定に関する最新の追加情報についてお知らせします。   終了したサービス Azure Websites Azure Websites 全体で SSL 3.0 が無効化されました。これに伴ってお客様側で構成を変更する必要はありません。 その他のサービス Azure エンジニアリング チームは下記のサービスで SSL 3.0 のサポートを無効化しました。 Azure ポータル Azure ポータル プレビュー Azure Service Bus   保留中のサービス Azure Cloud Services…

0

レッド チームの編成: 最先端の脅威シミュレーションでマイクロソフト エンタープライズ クラウドのセキュリティを強化

このポストは、11 月 11 日に投稿された Red Teaming: Using Cutting-Edge Threat Simulation to Harden the Microsoft Enterprise Cloud の翻訳です。 マイクロソフトでは、セキュリティ上の新たな脅威に対応するために、「侵害想定」戦略と呼ばれる革新的な戦略を採用しています。同時に、セキュリティの専門家で構成される「レッド チーム」を編成して、脅威の検出と対応を迅速化し、当社のエンタープライズ クラウド サービスの保護機能を強化しています。このような対策は何年も前から実施されていますが、マイクロソフト エンタープライズ クラウドのセキュリティを強化するしくみについては、一般にはほとんど知られていません。今回リリースしたホワイトペーパーでは、Microsoft Azure と Office 365 のセキュリティを検証および強化するためにレッド チームが実施しているセキュリティ侵害のシミュレーション、24 時間体制でのセキュリティ監視、セキュリティ インシデント対応について詳しく解説しています。 マイクロソフトのレッド チームの編成に関するホワイトペーパーはこちらからダウンロードできます (英語)。 今やレッド チームは、マイクロソフトのクラウド インフラストラクチャ、プラットフォーム、サービスを開発し保護するにあたって絶対不可欠な存在となっています。マイクロソフトは、レッド チームによる高度な攻撃のシミュレーションを通してセキュリティを検証し、保護機能を強化して、クラウド セキュリティ プログラム全体の有効性を向上させることができます。また、レッド チームの協力を得て、セキュリティ侵害の検出機能をテストし、実際の攻撃の影響や攻撃に対する即応性を正確に特定することができます。 レッド チームの編成は、Microsoft Azure で業界最高レベルのセキュリティを実現するために実施される、多くの運用プロセスのうちの 1 つに過ぎません。レッド チームの役割はコンプライアンスの認定に留まりません。マイクロソフトが継続的にセキュリティを監視し、テストや更新を実施していることを、マイクロソフトとそのユーザーに保証する役割も果たしています。これは、マイクロソフトとそのユーザーが日々直面している、絶えず変化する脅威に対処するうえでたいへん効果的です。 セキュリティ、プライバシー、コンプライアンスの詳細については、Microsoft Azure のトラストセンターをご確認ください。

0

クラウドのセキュリティの進化により Microsoft Azure への移行の不安を解消

このポストは、11 月 4 日に投稿された Innovation in Cloud Security Enables Customers to Move to Microsoft Azure with Confidence の翻訳です。 現在、医療や銀行などの規制が厳しい業界でクラウドの導入が加速し、各企業は特にミッション クリティカルなアプリケーションや機密性の高いデータをクラウドに移行しつつあります。このため、クラウドのセキュリティはこれまでにないほど重要性が増しています。こうした中、お客様は「データの保護に関してマイクロソフトのサービスは信頼できるのか」、「Microsoft Azure は我が社のコンプライアンス要件を満たしているのか」、「どのようにすれば仮想ネットワークの安全性を維持できるのか」というような疑問をお持ちです。 Azure では次々と新しいクラウド サービスのリリースを続けていますが、それと同時にデータの保護、脅威からの防御、ネットワーク セキュリティ、ID やアクセスの管理についても技術革新を進めています。Antimalware、Network Security Groups、Roles Based Access Control など、マイクロソフトは今年に入ってから既に数十個の新機能をリリースしており、お客様のセキュリティ要件やコンプライアンス上の課題に対応しています。これらの機能と法務およびコンプライアンスに関する取り組みを併せて、マイクロソフトは、お客様が安心してクラウドへ移行していただけるように、信頼性の高い基盤を提供しています。 データ保護 マイクロソフトはクラス最高レベルの暗号化機能のサポートに取り組んでいます。Azure では、お客様と Azure サービスとの間でインターネットを経由してやり取りされるコンテンツを暗号化する際に、最近強化された TLS/SSL 暗号化スイートや Perfect Forward Secrecy などの業界最先端の機能を既定で使用しています。今年は暗号化機能を拡張し、格納中のデータのセキュリティを保護するためのさまざまなオプションを提供しています。これにより、BitLocker によるデータ ボリュームの暗号化や、Cloud Link (英語) および Trend Micro (英語) が作成したサード パーティ製のソリューションによる高度な暗号化が可能になりました。Azure のデータ保護の詳細については、こちらのホワイトペーパーをご覧ください。…

0

Azure Websites アプリケーションでの証明書の使用

このポストは、10 月 27 日に投稿された Using Certificates in Azure Websites Applications の翻訳です。 Azure Websites 上のアプリケーションで証明書を使用する必要がある場合、Azure Websites の証明書コレクションに証明書をアップロードし、サイトの個人用証明書ストアを通じて Web アプリケーションで利用することができます。この機能は専用サイト (Basic レベル、Standard レベル) のみに提供されています。ここではこの処理を実行する方法の詳細な手順をご紹介しますが、その前に、この機能の必要性と変更点について簡単にご説明したいと思います。 証明書に含まれる暗号化キーは、Web アプリケーションが認証や署名などの処理を行うために利用します。一般的に暗号化キーの機密性は保護する必要があります。以前は、Azure Websites アプリケーションで証明書のキーを利用する場合、証明書とその秘密キーを (通常は .pfx 形式で) アプリケーションの App_Data ディレクトリに格納し、そこから利用する必要がありました。この解決法は有効ではありますが、いくつかの難点があります。まず、証明書に含まれる秘密キーをアプリケーション コードや開発者から隠すことができません。また、オープン ソースのアプリケーションで使用する証明書を非公開にする必要がある場合や、開発者による証明書の秘密キーへのアクセスを回避したい場合にも、App_Data を使用する方法は不都合です。 Azure Websites アプリケーションで使用される証明書の設定 Azure Websites アプリケーションで使用される証明書を設定するには、Azure 管理ポータルを使用する方法と Azure Websites REST API を使用する方法の 2 種類があります。ここでは両方の手順をご紹介します。 1. 証明書をアップロードする a. Azure 管理ポータルを使用する場合 Azure…

0

SSL 3.0 の脆弱性への対策

このポストは、10 月 29 日に投稿された Protecting against the SSL 3.0 vulnerability の翻訳です。 マイクロソフトは、情報漏えいが発生するおそれのある Secure Sockets Layer (SSL) 3.0 の脆弱性に関して、セキュリティ アドバイザリ 3009008 を公開し、ガイダンスを提供しています。これは、業界全体にかかわる脆弱性であり、プロトコルそのものに影響を及ぼすおそれがあります。マイクロソフトの製品実装に固有のものではありません。今回、セキュリティ アドバイザリを改訂し、1 クリックで簡単に実行できる Fix it を追加しました。このツールを実行すると、サポートされているすべてのバージョンの Internet Explorer (IE) で SSL 3.0 を無効にします。 マイクロソフトではお客様へのさらなる保護対策として、今後数か月以内に、IE における SSL 3.0 へのフォールバックを無効化すると共に、IE およびマイクロソフトのオンライン サービス全般において既定で SSL 3.0 を無効化する予定です。 2014 年 12 月 1 日より、Azure と Office 365 では SSL 3.0…

0

Azure Websites で ModSecurity を使用して問題を診断する

このポストは、10 月 1 日に投稿された Diagnosing Issues with ModSecurity in Azure Websites の翻訳です。 Azure Websites で ModSecurity を使用する方法については、以前こちらの記事でもご紹介しました。ModSecurity のルールと構成は、特に外部ソースから特定のデータをコピーする場合などに、非常に複雑になることがあります。通常、ModSecurity を使用するときは、変更履歴を把握して障害を診断しやすいように、簡単な構成から始めてテストを繰り返し、徐々に構成を複雑にしていきます。この記事では、問題の原因を特定するためのヒントについて説明します。 ModSecurity が HTTP の要求および応答に対して実行している処理を把握する方法 SecRuleEngine を DetectionOnly に設定すると、受け取ったすべての要求をブロックすることなく、各ルールが実行する処理をテストできます。DetectionOnly に設定した場合は通常、イベント ログに出力が送信されます。この出力は Azure Websites からお客様のサイトの D:\home\LogFiles ディレクトリに転送されます。このログは FTP 経由でダウンロードすることが可能で、どのルールがトリガーされたかを確認することができます。 より詳細なログが必要な場合は、.conf file に次の構成オプションを追加します。 SecDebugLog d:\home\site\wwwroot\modsecurity\logs SecDebugLogLevel 9 これはグローバル設定で、トラフィックがそれほど混雑していない場合であっても、お客様の Web サイトのパフォーマンスが大幅に低下する原因となる可能性があります。このため、サイトにトラフィックがまったくない場合を除いて、下記のような条件付きのデバッグ設定を使用することをお勧めします。 次のコードは、デバッグ ログを特定のクライアントの IP アドレスのみに限定する場合の例です。 SecRule REMOTE_ADDR “@ipMatch 192.168.1.1″ “phase:1,id:1234,t:none,nolog,pass,ctl:debugLogLevel=9″…

0

Azure WebSites で Web アプリケーション ファイアウォールの ModSecurity をサポート

このポストは、9 月 29 日に投稿された ModSecurity Web Application Firewall on Azure Websites の翻訳です。 Microsoft Azure WebSites で、お客様の Web サイト向けに Web アプリケーション ファイアウォールの ModSecurity をご利用いただけるようになりました。これにより、カスタムのアプリケーション ファイアウォール ルールを作成するか、商用のルールを利用して、Web アプリケーションを Web の脆弱性や悪用から保護できます。 ModSecurity とは ModSecurity はオープン ソースのクロスプラットフォーム Web アプリケーション ファイアウォール (WAF) モジュールです。このアプリケーションは WAF の「アーミー ナイフ」としても知られていて、Web アプリケーションの防御機構が HTTP(S) のトラフィックの内容を把握することができ、また強力なルール言語と API で高度な保護機能を実装可能です。ModSecurity は、IIS や ASP.NET 要求のフィルタリングまたは UrlScan と同様の、受信する HTTP 要求や送信する HTTP…

0

Azure Site Recovery: お客様のデータの安全性を確保するための取り組み

このポストは、9 月 2 日に投稿した Azure Site Recovery: Our Commitment to Keeping Your Data Secure の翻訳です。 Azure Site Recovery は障害発生時にアプリケーションを保護するための機能で、復旧処理を安全に調整して、お客様が 24 時間 365 日いつでも Azure のサービスをご利用いただけるようにします。昨年、マイクロソフトの法務本部ゼネラル カウンセル兼エグゼクティブ バイス プレジデントの Brad Smith が自身のブログでお客様のデータのプライバシー保護に対する取り組みについて報告しました。Azure Site Recovery はマイクロソフトのプライバシーに対する取り組みの一環としてゼロから構築された、クラウドとオンプレミスの両方のコンポーネントで構成されたハイブリッド IT サービスであり、次のような特長があります。 通信中のデータおよび格納されているデータを暗号化 Perfect Forward Secrecy や 2048 ビット長の暗号キーなど、業界最高クラスの暗号化技術を使用してあらゆるチャネルを保護 Azure Site Recovery はサービス指向型アーキテクチャで、次の 3 つの主要コンポーネントで構成されています。 Azure Site Recovery の保護および復旧エクスペリエンスは Azure 管理ポータルから使用可能なため、場所を選ばず…

0