Azure Cosmos DB for MongoDB 仮想コアのデータベース セキュリティの概要
適用対象: 
MongoDB 仮想コア
この記事では、データベースのセキュリティに関するベスト プラクティスと、Azure Cosmos DB for MongoDB 仮想コアによって提供される主な機能について説明します。これは、データベース侵害の防止、検出、対応に役立ちます。
Azure Cosmos DB for MongoDB 仮想コア セキュリティの新機能
保存時の暗号化は、ほとんどの Azure リージョンの Azure Cosmos DB for MongoDB 仮想コアに格納されているドキュメントとバックアップで使用できるようになりました。 保存時の暗号化は、これらのリージョンの新規顧客と既存の顧客の両方に自動的に適用されます。 何も構成する必要はありません。 従来通り、保存時の暗号化によってデータが安全にセキュリティで保護されるメリットと同様にすばらしい待機時間、スループット、可用性、および機能を手に入れることができます。 Azure Cosmos DB for MongoDB 仮想コア クラスターに格納されているデータは、サービス マネージド キーを使用して Microsoft によって管理されるキーで自動的かつシームレスに暗号化されます。
データベースをセキュリティ保護する方法
データのセキュリティは、顧客自身とデータベース プロバイダーの共同責任です。 顧客として選択したデータベース プロバイダーによって、引き受ける責任の範囲は変化する可能性があります。 オンプレミス ソリューションを選択した場合、エンドポイントの保護からハードウェアの物理的なセキュリティに至るまでのすべてを顧客自身が提供する必要がありますが、これは簡単な仕事ではありません。 Azure Cosmos DB などの PaaS クラウド データベース プロバイダーを選択した場合、顧客が関与する範囲は大幅に縮小されます。 マイクロソフトの「Shared Responsibilities for Cloud Computing (クラウドコンピューティングの共同責任)」ホワイト ペーパーから借用した次の図は、Azure Cosmos DB のような PaaS プロバイダーを使用すると、顧客の責任がどのように減少するかを示しています。
上の図は高度なクラウドのセキュリティ コンポーネントを示していますが、具体的には、どのような項目をデータベース ソリューションのために考慮する必要があるでしょうか。 また、ソリューションを相互に比較するにはどうすればよいでしょうか。
次の要件のチェックリストを使用して、データベース システムを比較することをお勧めします。
- ネットワークのセキュリティとファイアウォールの設定
- ユーザー認証ときめ細かいユーザー制御
- 局地的な障害に対応するためにデータをグローバルにレプリケートする能力
- あるデータ センターから別のデータ センターにフェールオーバーする能力
- データ センター内でのローカルなデータのレプリケーション
- データの自動バックアップ
- バックアップから削除されたデータの復元
- 機密データの保護と分離
- 攻撃の監視
- 攻撃への対応
- データ ガバナンス制約に対してデータをジオフェンスで準拠させる能力
- 保護されたデータセンター内でのサーバーの物理的な保護
- 認定
さらに、最近発生した大規模なデータベース侵害は、次の単純ではあるが重要な要件を思い出させてくれます。
- 最新の状態に維持されている、修正プログラムが適用されたサーバー
- 既定/TLS 暗号化による HTTPS
- 強力なパスワードを持つ管理者アカウント
Azure Cosmos DB でデータベースがセキュリティ保護される方法
Azure Cosmos DB for MongoDB 仮想コアは、これらすべてのセキュリティ要件のそれぞれをシームレスに満たします。
各要件を掘り下げてみましょう。
| セキュリティ要件 | Azure Cosmos DB のセキュリティ手法 |
|---|---|
| ネットワークのセキュリティ | IP ファイアウォールの使用は、データベースをセキュリティ保護するための第 1 の保護層です。 Azure Cosmos DB for MongoDB 仮想コアでは、受信ファイアウォールをサポートするためのポリシーに基づく IP ベースのアクセス制御がサポートされています。 IP ベースのアクセス制御は、従来のデータベース システムで使用されているファイアウォール規則に似ています。 しかし、Azure Cosmos DB for MongoDB 仮想コア クラスターには、承認された一連のマシンまたはクラウド サービスからのみアクセスできるように拡張されています。 Azure Cosmos DB for MongoDB 仮想コアを使用すると、特定の IP アドレス (168.61.48.0)、IP 範囲 (168.61.48.0/8)、および IP と範囲の組み合わせを有効にすることができます。 この許可リストに含まれていないマシンから送信されたすべての要求は、Azure Cosmos DB for MongoDB 仮想コアによってブロックされます。 承認されたコンピューターとクラウド サービスから送信された要求がリソースへのアクセス権を取得するには、認証プロセスを完了する必要があります。 |
| ローカル レプリケーション | 単一のデータ センター内であっても、Azure Cosmos DB for MongoDB 仮想コアによって、LRS を使用してデータがレプリケートされます。 HA 対応クラスターには、プライマリ ノードとセカンダリ ノードの間に別のレプリケーション レイヤーもあります。そのため、99.995% の可用性 SLA が保証されます。 |
| オンライン バックアップの自動化 | Azure Cosmos DB for MongoDB 仮想コア データベースは定期的にバックアップされ、geo 冗長ストアに格納されます。 |
| 削除されたデータの復元 | 誤って削除した可能性のあるデータは 7 日以内であれば、自動化オンライン バックアップを使用して復元することができます。 |
| 機密データの保護と分離 | 「新機能」に示されているリージョンのすべてのデータが保存時に暗号化されます。 |
| 攻撃の監視 | 監査ログとアクティビティ ログを使用すると、アカウントの正常なアクティビティと異常なアクティビティを監視できます。 リソースに対して実行された操作を表示できます。 このデータには、操作を開始した人物、操作の発生日時、操作の状態などが含まれます。 |
| 攻撃への対応 | Azure のサポートに連絡して攻撃の可能性を報告すると、5 段階のインシデント対応プロセスが開始されます。 5 段階のプロセスの目標は、通常のサービスのセキュリティと操作を復元することです。 この 5 段階で、問題が検出され、調査が開始された後、サービスを可能な限り早急に復元することです。 詳細については、「Microsoft Azure Security Response in the Cloud (クラウドでの Microsoft Azure のセキュリティへの対応)」を参照してください。 |
| 施設の保護 | Azure Cosmos DB for MongoDB 仮想コアのデータは、Azure の保護されたデータ センターの SSD に格納されます。 詳細については、Microsoft グローバルデータセンターに関するページを参照してください。 |
| HTTPS/SSL/TLS の暗号化 | Azure Cosmos DB for MongoDB 仮想コアでは、1.2 (これを含む) までの TLS レベルがサポートされます。 サーバー側で最低限の TLS レベルを強制できます。 |
| 転送中の暗号化 | 暗号化 (SSL/TLS) は常に適用され、暗号化なしでクラスターに接続しようとすると、その試行は失敗します。 MongoDB クライアント経由の接続のみが受け入れられ、暗号化は常に適用されます。 データが Azure Cosmos DB for MongoDB 仮想コアに書き込まれるたびに、データはトランスポート層セキュリティ 1.2 で転送中に暗号化されます。 |
| 保存時の暗号化 | Azure Cosmos DB for MongoDB 仮想コア サービスでは、保存データのストレージ暗号化に FIPS 140-2 認証済みの暗号モジュールが使用されます。 データ (すべてのバックアップを含む) は、ク一時ファイルも含めて、ディスク上で暗号化されます。 このサービスでは、Azure ストレージ暗号化に含まれる AES 256 ビット暗号が使用され、キーはシステムによって管理されます。 ストレージの暗号化は常にオンになっており、無効にできません。 |
| サーバーへの修正プログラムの適用 | Azure Cosmos DB for MongoDB 仮想コアを使用すると、クラスターを管理してパッチを適用する必要がなくなります。これは自動的に行われます。 |
| 強力なパスワードを持つ管理者アカウント | 今でもこの要件について言及する必要があることは信じ難いことですが、一部の競合他社とは異なり、Azure Cosmos DB for MongoDB 仮想コアでは、パスワードを持たない管理アカウントは存在できません。 TLS のシークレット ベースの認証によるセキュリティは、既定で組み込まれています。 |
| セキュリティとデータ保護の認証 | 認定資格の最新の一覧については、Azure Cosmos DB を含むすべての Azure 認定資格が記載された Azure コンプライアンス に関する最新の ドキュメント をご覧ください。 |
次のスクリーン ショットは、監査ログとアクティビティ ログを使用して自分のアカウントを監視する方法を示しています。
ネットワークのセキュリティ オプション
このセクションでは、クラスターに対して構成できるさまざまなネットワーク セキュリティ オプションについて概説します。
アクセス権なし
No Access は、パブリックまたはプライベート アクセスが有効になっていない場合に、新しく作成されるクラスターの既定のオプションです。 この場合、Azure の内部でも外部でも、データベース ノードに接続できるコンピューターはありません。
ファイアウォールを使用したパブリック IP アクセス
パブリック アクセス オプションでは、パブリック IP アドレスがクラスターに割り当てられ、クラスターへのアクセスはファイアウォールによって保護されます。
ファイアウォールの概要
Azure Cosmos DB for MongoDB 仮想コアでは、サーバーレベルのファイアウォールを使用して、アクセス許可を持つコンピューターを指定するまで、クラスターへのすべてのアクセスを禁止します。 ファイアウォールは、各要求の送信元 IP アドレスに基づいてクラスターへのアクセス権を付与します。 ファイアウォールを構成するには、受け入れ可能な IP アドレスの範囲を指定するファイアウォール規則を作成します。
ファイアウォール規則を使用すると、クライアントはクラスターとその中のすべてのデータベースにアクセスできます。 サーバー レベルのファイアウォール規則は、Azure portal を使用して構成することも、Azure CLI などの Azure ツールを使用してプログラムで構成することもできます。
既定では、ファイアウォールによってクラスターへのすべてのアクセスがブロックされます。 他のコンピューターからクラスターの使用を開始するには、サーバー レベルのファイアウォール規則を 1 つ以上指定して、クラスターへのアクセスを有効にする必要があります。 ファイアウォール規則を使用して、インターネットからのアクセスを許可する IP アドレス範囲を指定します。 ファイアウォール規則は、Azure portal Web サイト自体へのアクセスに影響しません。 インターネットおよび Azure からの接続試行は、まずファイアウォールを通過した後で、データベースに到達する必要があります。 ファイアウォール規則に加え、Azure Cosmos DB for MongoDB 仮想コア クラスターではプライベート IP のみにプライベート リンク アクセスを使用できます。