[Azure]ストレージセキュリティ

-

Azureのストレージサービスにおいて、セキュリティ機能を使用して安全にデータを保存・転送・アクセスする方法について

Azureストレージサービス

Azureのストレージサービスには以下の種類がある。

  • コンテナー (Blobストレージ)
  • ファイル共有 (Azure Files)
  • キューストレージ (Queue)
  • テーブルストレージ (Table)

これらは全てセキュリティで保護され、アクセス要求に対して承認が行われた際に、ユーザーまたはアプリケーションで利用することができる。

アクセス要求と認可の方法

匿名アクセス

コンテナーに保存されたBlobデータに対して匿名のパブリック読み取りアクセスを行う。

Blobコンテナーのパブリックアクセスレベルを「匿名読み取りアクセス」に変更することで可能になる。

共有アクセスキー

アカウントのアクセスキーとほかのパラメータを使用して生成された接続文字列を用いてアクセスする。

一定期間でキーを再生成しローテーションする運用が推奨される。そのため交換時のダウンタイムを防ぐため、キーは2種類用意されている。

SAS (Shared Access Signatures)

ストレージへの制限付きアクセスを提供するSASトークンと呼ばれるURIパラメータを付与してアクセスすることができる。

SASを利用することで制限された必要最低限の権限を付与することができるうえ、SASの情報が漏れたとしてもセキュリティリスクを軽減することができる。

アカウントSAS、サービスSAS、ユーザー委任SASの3種類がある。

アカウントSAS

ストレージアカウントに対する操作を提供する。以下の項目を設定できる。

  • 使用できるサービス
    BLOB、ファイル、キュー、テーブル
  • 使用できるリソース
    サービス、コンテナー、オブジェクト
  • アクセス許可
    読み取り、書き込み、削除、リスト、追加、作成、更新、プロセス、不変ストレージ
  • 開始日時と有効期限
  • 使用許可するIPアドレス
  • 署名キー
サービスSAS

ストレージアカウントの特定のリソースに対する操作を提供する。以下の項目を設定できる。

  • 署名キー
  • 保存済みのアクセスポリシー
  • アクセス許可
    読み取り、書き込み、削除、リスト、追加、作成、更新、プロセス、不変ストレージ
  • 開始日時と有効期限
  • 使用許可するIPアドレス

一度生成したSASトークンは内容を変更することはできない。したがって有効期限内にトークンを無効にするには、共有アクセスキーを変更する必要がある。

ユーザー委任SAS

サービスSASと同等の機能を提供する。違いは署名キーの生成にアカウントキーではなく、Azure ADの資格情報を使用する。

なお、侵害されやすいアカウントキーを使用するサービスSASではなく、可能な限りAzure ADの資格情報を使用するユーザー委任SASの使用が推奨される。

Azure AD認証

Azure ADを使用したBLOBデータへの認証がサポートされている。Azure ADではRBACを使用して、サービスプリンシパル(ユーザー、グループ、アプリケーション、マネージドID)にアクセスを許可することができる。この時アクセス許可を付与された状態を、セキュリティプリンシパルという。

セキュリティプリンシパルは、Azure ADによって認証され、OAuth2.0トークンをが返される。このトークンを使用してBLOBデータに対する操作が可能になる。

BLOBアクセス用組み込みロール

Azureストレージのデータへのアクセス許可を付与するBLOB用組み込みロールとしては以下のものがある。

  • BLOBデータ所有者
    BLOBコンテナーとデータに対するフルアクセスを許可
  • BLOBデータ共同作成者
    BLOBコンテナーとデータに対する読み取り、書き込み、削除を許可
  • BLOBデータ閲覧者
    BLOBコンテナーとデータに対する読み取りを許可

コメント

コメントを投稿

このブログの人気の投稿

docker-compose up で proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host

-
いつものように docker-compose コマンドでコンテナを起動し作業しようとしたところ、件名のエラーが発生するようになりました。 特に何も構成等を変更した覚えはないのですが、調査・復旧したので対応した内容をまとめておきます。 環境、バージョン等 $ cat /etc/issue Ubuntu 20.04.3 LTS \n \l $ docker --version Docker version 20.10.8, build 3967b7d $ docker-compose --version docker-compose version 1.26.0, build d4451659 発生事象 コンテナを起動する docker-compose up -d でコンテナを起動します。 $ docker-compose up -d Pulling mysql (mysql:5.7)... ERROR: Get "https://registry-1.docker.io/v2/": proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host 「プロキシーサーバーが見つからない」と言われているようですが、全く見に覚えがありませんでした。 テスト用Dockerプロジェクトで試す 以前の記事 で紹介したテスト用プロジェクトでも一応試したましたが同様のエラーでした。 $ docker-compose up -d Pulling web (nginx:alpine)... ERROR: Get "https://registry-1.docker.io/v2/": proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host Docker ログイン Dockerへのログインを試したところ、こちらも同様のエラーが出ました。 $ docker login Authenticating with existing credentials... Login did not succeed, error: Error response from daemon: G
Read more »

docker-compose で起動したweb、MySQLに接続できない事象

-
イメージ
概要 以前作成したPHP + MySQL + LaravelのDockerプロジェクトがコンテナを立ち上げても画面にアクセスできなくなってしまったときの解決方法です。 以前の記事は以下です。 【Laravel + MySQL】Dockerで開発環境を作る https://www.s-watanabe.work/2020/12/laravel-mysqldocker.html 発生事象 コンテナを起動 $ docker-compose up -d Starting laravel-project_mysql_1 ... done Starting laravel-project_app_1 ... done Starting laravel-project_web_1 ... done ブラウザでアクセス いつものようにブラウザでアクセスしますが接続できません。 http://localhost:8000 ※この時Docker側のログには何も出力されません。 MySQLへ接続 MySQLも確認してみましたが同じく接続できなくなりました。 $ mysql -h 127.0.0.1 -u user -ppassword -D test mysql: [Warning] Using a password on the command line interface can be insecure. ERROR 2013 (HY000): Lost connection to MySQL server at 'reading initial communication packet', system error: 2 調査・確認 まず以下の記事を参考に新規のDockerプロジェクトが起動・接続できるかを確認しました。 https://www.digitalocean.com/community/tutorials/how-to-install-and-use-docker-compose-on-ubuntu-20-04-ja # docker-compose はインストール済み $ docker-compose --version docker-compose version 1.26.0, build d
Read more »

【PHP】PHP_CodeSnifferを使う(コーディングルールのカスタマイズ)

-
phpcsを社内独自のコーディン規約などにあわせてカスタマイズする方法をまとめます。 インストールディレクトリ 以下のディレクトリにインストールされてます。 ~/.composer/vendor/squizlabs/php_codesniffer/ -rw-r--r-- 1 638 10 28 13:36 CONTRIBUTING.md -rw-r--r-- 1 187 11 26 12:08 CodeSniffer.conf.dist -rw-r--r-- 1 6399 10 28 13:36 README.md -rw-r--r-- 1 10085 10 28 13:36 autoload.php drwxr-xr-x 6 192 10 28 13:36 bin -rw-r--r-- 1 1083 10 28 13:36 composer.json -rw-r--r-- 1 1533 10 28 13:36 licence.txt -rw-r--r-- 1 6280 10 28 13:36 phpcs.xml.dist -rw-r--r-- 1 7054 10 28 13:36 phpcs.xsd -rw-r--r-- 1 340 10 28 13:36 phpstan.neon drwxr-xr-x 5 160 10 28 13:36 scripts drwxr-xr-x 16 512 10 28 13:36 src drwxr-xr-x 9 288 10 28 13:36 tests 設定ファイルを用意する CodeSniffer.conf.dist が雛形なのでこれをcpしてやればOKです。 cd ~/.composer/vendor/squizlabs/php_codesniffer/ cp CodeSniffer.conf.dist CodeSniffer.conf コーディングルールのカスタマイズ CodeSniffer.conf <?php $phpCodeSnifferConfig = array ( 'default_standard' => 'PSR2', 'repo
Read more »