Chapter 4 / Security

セキュリティ
方式設計

セキュリティは、守る対象を分け、権限を絞り、記録を残すことで整理しやすくなります。後付けではなく、最初から設計に組み込みます。

3 Guidelines

この章で扱う3項目

1クラウドセキュリティ守る対象と対策を分けます。
2監査/ガバナンスルールと記録で後から追える状態にします。
3ID/アクセス権必要な権限だけを必要な期間だけ渡します。
セキュリティの基本概念図
機密性、完全性、可用性を意識して守る対象を分けます。
Cloud Security

守る対象を分ける

データ、ID、権限、秘密情報、ログを別々の観点で整理します。何を守るかが明確になると、必要な対策を選びやすくなります。

機密性、完全性、可用性を確認する。秘密情報は安全な保管先に置く。脅威検知と継続診断を有効にする。
Identity / Audit

権限を絞り、記録を残す

IDと権限は、セキュリティの入口です。最小権限で渡し、重要操作は一時的に昇格させ、操作記録を残します。

RBACとPIMを使い分ける。Key Vaultで秘密情報を管理する。監査ログとルールを継続的に確認する。
セキュリティとIDの図解
誰が何をできるかを最小権限で守ります。
監査とガバナンスの図解

監査とガバナンス

Policy、RBAC、監査ログで、危ない構成を減らし、後から追える状態にします。

ネットワーク防御の図解

ネットワーク防御

入口を絞り、通り道を制御し、内部を分けて守ります。