Azure Data Explorer のセキュリティ

この記事では、クラウド内のデータとリソースを保護し、ビジネスのセキュリティ ニーズを満たすのに役立つ、Azure Data Explorer のセキュリティの概要を示します。 クラスターをセキュリティで保護することが重要です。 クラスターのセキュリティ保護には、セキュリティで保護されたアクセスとストレージを含む 1 つまたは複数の Azure 機能があります。 この記事では、クラスターをセキュリティで保護するために役立つ情報を提供します。

ビジネスまたはorganizationのコンプライアンスに関するその他のリソースについては、Azure コンプライアンスに関するドキュメントを参照してください。

ネットワークのセキュリティ

ネットワーク セキュリティは、セキュリティに関心を持つ多くの企業ユーザーによって共有される要件です。 目的は、ネットワーク トラフィックを分離し、Azure Data Explorer とそれに対応する通信の攻撃対象領域を制限することです。 その結果、Azure Data Explorer 以外のネットワーク セグメントから発信されるトラフィックをブロックし、既知のソースからのトラフィックのみが Azure Data Explorer エンド ポイントに到達するようにすることができます。 これには、Azure が宛先である (またその逆の) オンプレミスまたは Azure の外部から送信されるトラフィックが含まれます。 Azure Data Explorer では、この目標を達成するために、次の機能がサポートされています。

• プライベート エンドポイント (推奨)
• 仮想ネットワーク (VNet) インジェクション

プライベート エンドポイントを使用して、ご利用のクラスターへのネットワーク アクセスをセキュリティで保護することを強くお勧めします。 このオプションには、"仮想ネットワーク インジェクション" よりも多くの利点があります。これにより、デプロイ プロセスが簡単になり、仮想ネットワークの変更に対する堅牢性が向上するなど、メンテナンスのオーバーヘッドが削減されます。

ID とアクセスの制御

ロールベースのアクセス制御

ロールベースのアクセス制御 (RBAC) を使用して職務を分離し、必要なアクセス許可のみをクラスターのユーザーに付与してください。 すべてのユーザーにクラスターでの無制限のアクセス許可を付与するのではなく、特定のロールに割り当てられたユーザーのみが特定の操作を実行できるようにすることができます。 データベースに対するアクセス制御は、Azure portal で構成できるほか、Azure CLI または Azure PowerShell を使って構成することもできます。

Azure リソースのマネージド ID

クラウド アプリケーションのビルド時における一般的な課題は、コードでのクラウド サービスに対する認証用の資格情報の管理です。 資格情報を安全に保つことは重要な課題です。 資格情報は、開発者のワークステーションに格納したり、ソース管理にチェックインしたりすべきではありません。 資格情報やシークレットなど、各種キーを安全に保管する手段としては Azure Key Vault がありますが、それらを取得するためには、コードから Key Vault に対して認証を行わなければなりません。

Azure リソースのマネージド ID Microsoft Entra機能によって、この問題が解決されます。 この機能により、Azure サービスには、Microsoft Entra ID で自動的にマネージド ID が提供されます。 ID を使用して、コード内の資格情報を使用せずに、Microsoft Entra認証をサポートするサービス (Key Vaultを含む) に対して認証できます。 このサービスの詳細については、Azure リソースのマネージド ID の概要ページを確認してください。

データ保護

Azure Disk Encryption

Azure Disk Encryption は、データを保護して、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。 クラスターの仮想マシンの OS とデータ ディスクのボリューム暗号化が提供されます。 Azure Disk Encryption は Azure Key Vault とも統合されます。これにより、ディスク暗号化キーとシークレットの制御と管理を行って、VM ディスク上の全データを確実に暗号化することができます。

Azure Key Vault でのカスタマー マネージド キー

規定では、データは Microsoft のマネージド キーで暗号化されます。 暗号化キーをさらに制御するために、データの暗号化に使用する目的で、カスタマー マネージド キーを提供できます。 独自のキーを使用して、ストレージ レベルでデータの暗号化を管理できます。 カスタマー マネージド キーは、すべてのデータの暗号化と暗号化解除に使用されるルート暗号化キーの保護とアクセス制御を行うために使用されます。 カスタマー マネージド キーを使用すると、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟に行うことができます。 また、データを保護するために使われる暗号化キーを監査することもできます。

カスタマー マネージド キーを格納するには、Azure Key Vault を使用します。 独自のキーを作成してキー コンテナーに格納することも、Azure Key Vault API を使ってキーを生成することもできます。 Azure Data Explorer クラスターと Azure キー コンテナーは同じリージョンに存在している必要があります。ただし、サブスクリプションは異なっていてもかまいません。 Azure Key Vault の詳細については、「Azure Key Vault とは」をご覧ください。 カスタマー マネージド キーの詳細については、カスタマー マネージド キーと Azure Key Vault に関するページを参照してください。 ポータル、C#、Azure Resource Manager テンプレート、CLI、または PowerShell を使用して、Azure Data Explorer クラスターでカスタマー マネージド キーを構成します。

Azure Key Vault にカスタマー マネージド キーを格納する

クラスターのカスタマー マネージド キーを有効にするには、Azure キー コンテナーを使用してキーを格納する必要があります。 Key Vault で [論理的な削除] と [Do Not Purge](消去しない) の両方のプロパティを有効にする必要があります。 キー コンテナーはクラスターと同じリージョンに配置する必要があります。 Azure Data Explorer では、暗号化操作と暗号化解除操作のために、Azure リソースのマネージド ID を使用してキー コンテナーに対する認証を行います。 マネージド ID では、クロスディレクトリ シナリオはサポートされていません。

カスタマー マネージド キーをローテーションする

Azure Key Vault のカスタマー マネージド キーは、お使いのコンプライアンス ポリシーに従ってローテーションすることができます。 キーをローテーションするには、Azure Key Vault でキーのバージョンを更新するか、新しいキーを作成してから、その新しいキーの URI を使用してデータを暗号化するようにクラスターを更新します。 これらの手順は、Azure CLI またはポータルを使用して実行できます。 キーをローテーションしても、クラスター内の既存データの再暗号化はトリガーされません。

キーをローテーションする場合、通常はクラスターの作成時に使用したものと同じ ID を指定します。 必要に応じて、キー アクセス用に新しいユーザー割り当て ID を構成するか、クラスターのシステム割り当て ID を有効にして指定します。

キーのバージョンを更新する

一般的なシナリオでは、カスタマー マネージド キーとして使用されるキーのバージョンを更新します。 クラスターの暗号化の構成方法に応じて、クラスターのカスタマー マネージド キーは、自動的に更新されるか、または手動で更新する必要があります。

カスタマー マネージド キーへのアクセス権を取り消す

カスタマー マネージド キーへのアクセス権を取り消すには、PowerShell または Azure CLI を使用します。 詳細については、Azure Key Vault PowerShell に関する記事、または Azure Key Vault CLI に関する記事を参照してください。 アクセスを取り消すと、すべてのデータへのアクセスがクラスターのストレージ レベルでブロックされます。これは、Azure Data Explorer による暗号化キーのアクセスが不可能になるためです。

関連コンテンツ

• Azure Data Explorer 用の Azure セキュリティ ベースライン
• 保存時の暗号化を有効にすることで、ディスク暗号化を使用してをクラスターをセキュリティで保護する。
• クラスターのマネージド ID の構成
• 顧客管理キーの構成
• Azure コンプライアンス ドキュメント