クラウド/クラウドネイティブのログをセキュリティの観点でモニタリングするベストプラクティスを紹介する本連載。第3回はMicrosoft Azureプラットフォームログのセキュリティモニタリングについて解説する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
*本連載では、Datadogのホワイトペーパーよりベンダー中立的な部分を抜粋し、@ITの表記ルールに合わせるために改変を加えています。(編集部)
Microsoft Azureは、あらゆる業界の企業がフルスケールのWebアプリケーションをデプロイ、管理、モニタリングするためのクラウドコンピューティングサービスを提供している。Azureベースのアプリケーションを拡張するときには、クラウドリソースのあらゆる領域でセキュリティを確保することが複雑な課題となる。Azureプラットフォームログは、自社環境におけるユーザーのアクティビティとサービスアカウントのアクティビティを誰が、どこで、いつ実行したかを記録する。システム全体に拡散して深刻な問題を引き起こす前に、悪意のあるアクティビティを特定するには、Azureプラットフォームログを収集および分析し、Azureアセットのセキュリティをモニタリングすることが不可欠である。
本稿では、以下のトピックについて解説する。
Azureログの詳細を説明する前に、Azureリソースディレクトリの階層構造を理解しておくことが重要である。階層構造を理解しておくと、これらのログを正しく解釈して適切に対応できる。
Azureは、「Azure Active Directory(Azure AD)」を使用して、「テナント」と呼ばれる組織内のリソースについて、IDとアクセスの管理(IAM)を行う。Azure ADは、リソースへのアクセス許可が設定されているユーザーやサービスを構造化するために、テナントのクラウドリソースを「管理グループ」「サブスクリプション」「リソースグループ」「リソース」の4つのレベルのディレクトリ構造に整理している。これらのレベルは階層構造になっており、高位のレベルのエンティティに設定されたアクセス権は、そのエンティティの全てのサブリソースに継承される。各テナントの Azure AD 階層の最上位には、「ルート管理グループ」がある。このグループは、ディレクトリの残りの部分に適用されるグローバルポリシーを制御する。
Azure ADは、ディレクトリの全てのリソースにマネージドIDを作成する。このIDは、そのリソースのリソースグループとサブスクリプションに基づいてアクセス認証情報を提供する。ユーザーやリソースがアクション(ストレージバケットからの読み込みやVMの作成など)を実行するときには、Azure ADからアクセストークンを要求する。このトークンはリクエスト認証時に使用され、リクエストはログに記録される。これには、自社環境で実行されたアクションに関する詳細な情報が含まれる。
Microsoft Azureは、次の3つのカテゴリのプラットフォームログを生成して、異なるタイプのアクションを記録する。
次のセクションでは、各ログのタイプと、Azureが全てのログに追加するcategoryフィールドを確認して、ログタイプを区別する方法を説明する。
Azure Active Directoryログには、ADユーザーとそのリソースへのアクセスに関連する全ての認証アクティビティの詳細が記録されるため、リソースを使用しているユーザー、ユーザーに権限を委譲している管理者、セキュリティ上の懸念のあるユーザーなど、重要な情報を追跡するのに役立つ。Azure ADログは、ADポータルで直接確認できる。
Azure ADログには、「アクティビティログ」と「セキュリティレポート」の2つのサブタイプがある。アクティビティログには、サインインのような組織のユーザーによるアクションや全てのユーザーの認証情報の変更が記録される。ユーザーのサインインを記録するアクティビティログのCategoryフィールドにはSign-Inが含まれる。認証情報が変更された場合にはログにPolicyが含まれる。
セキュリティレポートには、サインインに何度も失敗したり、これまでとは異なる国からアクセスしたりするなどの異常な(潜在的に悪意のある)ユーザーアクティビティが記録される。この場合、アクティビティログと同じように、これらのログの categoryタイプにはそれぞれ、 Sign-InまたはAudit logsが追加される。
Copyright © ITmedia, Inc. All Rights Reserved.