みんな気になるクラウドセキュリティ。Security Best Practices for Developing Windows Azure Applicationsできました。
AzureのロードバランサーはDoS/DDoS攻撃を部分的に緩和できる…
とか、Azureを本格的なサービスに利用する上で皆さんが知りたがりそうな内容を盛り込んだ、
待望のAzureセキュリティホワイトペーパーが公開された。現在は英語版のみの提供であるが
速攻で翻訳をかけているので、日本語で読みたいという方は、数週間お待ちいただきたい。
この文書、思いの外公開が速かったので慌ただしい翻訳手配となってしまった。
(セキュポロでの講演に内容反映できず申し訳なかったです)
ホワイトペーパーのDOCXファイルダウンロードはコチラ↓
Security Best Practices For Developing Windows Azure Applications
表紙にある著者の項目を見ていただければわかるとおり、このホワイトペーパーは
Azureチームの人間がAzure目線で書いているわけではなく、マイクロソフト内のセキュリティ
チームの面々がAzureでサービスを運用する上での注意点として客観的に記載している。
日夜世界中でマイクロソフトの全製品、全サービスを脅かされている悪と戦う
正義の味方集団、セキュリティーのプロフェッショナルチームである。
現場で戦っている彼らの視点は大いに参考になると思われる。
また、本文内でマイクロソフトの基盤運用チームGlobal Foundation Services(GFS)の
コンテンツも興味深いものが多い。マイクロソフトが全方位で展開するあらゆる基盤を
管理・運用する立場にある彼らにとって、Azureは他のサービスと並ぶ1つのサービス
という見え方になっている。したがって、GFSのコンテンツでは、Azureがどうのとか、
Exchange Onlineがどうの、という個別サービス粒度での言及はあまりしていないのだが、
物理面を含むデータセンター自体のセキュリティや運用効率については、いくつかの
ホワイトペーパーが公開されている。コンテンツは英語のみの提供となっているが、
気になる方はざっと目を通してみると良いだろう。
某国と国際問題を巻き起こしたGoogleほどではないにしろ、マイクロソフトが管理運営する基盤も
日々世界中からのよからぬアクセスに悩まされている。我々が業務で使っているExchange
サーバーもインターネット越しにアクセスできるようになっているのだが、自分にハッキング
スキルと時間があってちょっと魔が差せば、攻撃対象のリストに入れてしまうかもしれない。
それらをすべてはね除けて安定運用を保っているGFSやセキュリティ担当チームの底力は
実は結構スゴかったりする。彼らのノウハウで得られる安心感もAzureなら1時間12円に
含まれているのである。Azureは単にVMを時間売りしているだけではなく、運用を安心して
任せるという新しいエクスペリエンスを提供していることを示す一例といえよう。
ただ、このホワイトペーパーでも触れられているとおり、特にオンプレミスとの対称性を
意識したベースアーキテクチャに基づくAzureの場合、Azureだからどうの…という話は
それほど多くない。強いて言えば同じハイパーバイザーや物理CPU、キャッシュを共有する
おとなりさんのVMから受けるかもしれない side-channel attacks くらいかもしれないが、
Azureならここまで安心、という記載をホワイトペーパーで述べている。
まだ英語のままで恐縮だが、まずはこのホワイトペーパーに目を通していただきたい。
といっってリンクをたどっていただけないこともあると思うので、文末に掲載されている
Appendixの表 Windows Azure Deployment Security Threat Matrix を原文そのまま
はりつけておく(今後変更が入る可能性もあるので注意)。ASP.NETやWindows上の
Win32ネイティブアプリなど、Azureで動くサービスをつくる開発者目線で注意しておくべき
ポイントがまとまっているので、ちょっと文字がみにくいかもしれないがご参考まで。
(追記)
興味のある方は、こちらのライブミーティングにもご参加いただきたいところなのだが…
日本時間を無視した設定で、明日6/4(金)朝5:00-6:00となっている。一応お知らせまで。