複合シナリオ応用
ある企業がAzure Key Vaultにシークレット(APIキー、データベース接続文字列)を保管し、複数のアプリケーションから参照しています。あるアプリケーション開発者が誤ってKey Vaultのアクセスキーを公開リポジトリにコミットしました。このシークレット露出のリスクから保護するために、以下のうち最も効果的な対策はどれですか?
A.公開リポジトリからコミットを削除すれば、露出したアクセスキーは自動的に無効化される
✗ リポジトリからコミットを削除してもGitの履歴に残るため、既に露出したキーは無効化されません。シークレット自体の変更が必須です。
B.Key Vaultのシークレットを即座にローテーション(新しい値に変更)し、露出したキーを無効化する← 正解
✓ 正解です。露出したシークレットは即座にKey Vault内で新しい値にローテーション(変更)し、露出したキーを無効化することが最優先です。
C.アプリケーションのログにアクセスキー使用記録が残るため、何もしなくても監査可能である
✗ ログの監査可能性は事後対応であり、既に露出したキーを第三者が使用されるリスク軽減には直結しません。
D.Key Vaultをプライベートエンドポイント経由でのみアクセス可能に変更すれば十分である
✗ ネットワークアクセス制御は重要ですが、既に露出したシークレット自体の変更がなければ、その価値が低下します。
この問題のポイント
露出したシークレットは即座にKey Vault内で新しい値にローテーション(変更)し、露出したキーを無効化することが最優先です。
「複合シナリオ」の他の問題
ある企業がグローバルにWebアプリを公開している。「世界中のユーザーが最も近いAzureリージョンのエンドポイントに自動…ある企業がAzureのVNet内で「内部のVM同士の東西通信(East-West)でも、特定ポートのみ許可し不要なポート…ある企業がAzureでシステムを設計している。「データを最低3か所の分離した場所に複製し、リージョン全体が障害になっても…ある企業がAzureでコンテナ化されたマイクロサービスを本番運用したい。「コンテナのオーケストレーション(自動スケーリン…ある企業がオンプレミスのActive Directoryユーザーを使ってAzureリソースにアクセスさせたい。「オンプレ…ある大企業がAzureのコスト管理を強化している。「先月の請求額が予算の3倍になっていた。原因を特定するために、どのサー…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。