Azure Stack HCI バージョン 23H2 のセキュリティ機能
適用対象: Azure Stack HCI バージョン 23H2
Azure Stack HCI は、既定でセキュリティで保護された製品で、最初から 300 を超えるセキュリティ設定が有効になっています。 既定のセキュリティ設定では、デバイスが既知の良好な状態で起動するように、一貫したセキュリティ ベースラインが提供されます。
この記事では、Azure Stack HCI クラスターに関連付けられているさまざまなセキュリティ機能の概要について簡単に説明します。 機能には、セキュリティの既定値、アプリケーション制御 (WDAC) のWindows Defender、BitLocker によるボリューム暗号化、シークレットローテーション、ローカルの組み込みユーザー アカウント、クラウド用のMicrosoft Defenderなどがあります。
セキュリティの既定値群
Azure Stack HCI では、一貫したセキュリティ ベースライン、ベースライン管理システム、ドリフト制御メカニズムを提供するセキュリティ設定が既定で有効になっています。
デプロイと実行時の両方で、セキュリティ ベースラインとセキュリティで保護されたコアの設定を監視できます。 セキュリティ設定を構成するときに、デプロイ中にドリフト制御を無効にすることもできます。
ドリフト制御を適用すると、セキュリティ設定が 90 分ごとに更新されます。 この更新間隔により、必要な状態からの変更が確実に修復されます。 継続的な監視と自動修復により、デバイスのライフサイクル全体にわたって一貫した信頼性の高いセキュリティ体制が可能になります。
Azure Stack HCI のセキュリティで保護されたベースライン:
- レガシ プロトコルと暗号を無効にすることで、セキュリティ体制を改善します。
- Azure Arc ハイブリッド エッジ ベースラインを介して一貫した大規模な監視を可能にする組み込みのドリフト保護メカニズムを使用して OPEX を削減します。
- OS と推奨されるセキュリティ ベースラインに関する Center for Internet Security (CIS) ベンチマークと防御情報システムエージェンシー (DISA) セキュリティ技術実装ガイド (STIG) の要件を満たすことができます。
詳細については、「 Azure Stack HCI でセキュリティの既定値を管理する」を参照してください。
Windows Defender Application Control
WDAC は、実行が許可されているソフトウェアの明示的な一覧を適用することで、攻撃対象領域を減らすソフトウェア ベースのセキュリティ層です。 WDAC は既定で有効になっており、コア プラットフォームで実行できるアプリケーションとコードを制限します。 詳細については、「Azure Stack HCI バージョン 23H2 のアプリケーション制御Windows Defender管理する」を参照してください。
WDAC には、強制モードと監査モードの 2 つのメイン操作モードが用意されています。 強制モードでは、信頼されていないコードがブロックされ、イベントが記録されます。 監査モードでは、信頼されていないコードの実行が許可され、イベントが記録されます。 WDAC 関連のイベントの詳細については、「イベント の一覧」を参照してください。
重要
セキュリティ リスクを最小限に抑えるには、必ず強制モードで WDAC を実行します。
WDAC ポリシーの設計について
Microsoft は、強制モードと監査モードの両方に対して、Azure Stack HCI に基本署名付きポリシーを提供しています。 さらに、ポリシーには、定義済みのプラットフォーム動作ルールのセットと、アプリケーション制御レイヤーに適用するブロック ルールが含まれます。
基本ポリシーの構成
Azure Stack HCI 基本ポリシーには、次のセクションが含まれます。
- メタデータ: メタデータは、ポリシー名、バージョン、GUID など、ポリシーの一意のプロパティを定義します。
- オプションルール: これらのルールはポリシーの動作を定義します。 補足ポリシーは、基本ポリシーに関連付けられているオプション ルールの小さなセットとのみ異なる場合があります。
- 許可規則と拒否規則: これらの規則は、コード信頼の境界を定義します。 ルールは、発行元、署名者、ファイル ハッシュなどを基にできます。
オプション ルール
このセクションでは、基本ポリシーによって有効になるオプション ルールについて説明しました。
適用されたポリシーでは、次のオプション ルールが既定で有効になっています。
| オプション ルール | 値 |
|---|---|
| Enabled | UMCI |
| 必須 | WHQL |
| 有効 | 補足ポリシーを許可する |
| 有効 | 失効期限切れ (署名なし) |
| 無効 | フライト署名 |
| 有効 | 署名されていないシステム整合性ポリシー (既定値) |
| 有効 | 動的コード セキュリティ |
| 有効 | [高度なブート オプション] メニュー |
| 無効 | スクリプトの適用 |
| 有効 | マネージド インストーラー |
| 有効 | 更新ポリシーの再起動なし |
監査ポリシーは、次のオプション ルールを基本ポリシーに追加します。
| オプション ルール | 値 |
|---|---|
| Enabled | 監査モード (既定値) |
詳細については、 オプション ルールの完全な一覧に関するページを参照してください。
許可規則と拒否規則
基本ポリシーのルールを許可すると、OS とクラウドデプロイによって提供されるすべての Microsoft コンポーネントが信頼されます。 拒否ルールは、ソリューションのセキュリティ体制にとって安全でないと見なされるユーザー モード アプリケーションとカーネル コンポーネントをブロックします。
注意
基本ポリシーの許可ルールと拒否ルールは、製品の機能を向上させ、ソリューションの保護を最大化するために定期的に更新されます。
拒否ルールの詳細については、次を参照してください。
BitLocker 暗号化
保存データの暗号化は、デプロイ中に作成されたデータ ボリュームで有効になります。 これらのデータ ボリュームには、インフラストラクチャ ボリュームとワークロード ボリュームの両方が含まれます。 クラスターをデプロイするときに、セキュリティ設定を変更できます。
既定では、デプロイ中に保存データの暗号化が有効になります。 既定の設定をそのまま使用することをお勧めします。
Azure Stack HCI が正常にデプロイされたら、BitLocker 回復キーを取得できます。 BitLocker 回復キーは、システム外の安全な場所に格納する必要があります。
BitLocker 暗号化の詳細については、次を参照してください。
ローカルの組み込みユーザー アカウント
このリリースでは、 と に関連付けられているRID 500RID 501次のローカル組み込みユーザーを Azure Stack HCI システムで使用できます。
| 初期 OS イメージの名前 | デプロイ後の名前 | 既定で有効 | 説明 |
|---|---|---|---|
| Administrator | ASBuiltInAdmin | True | コンピューター/ドメインを管理するための組み込みアカウント。 |
| ゲスト | ASBuiltInGuest | False | セキュリティ ベースラインドリフト制御メカニズムによって保護された、コンピューター/ドメインへのゲスト アクセス用の組み込みアカウント。 |
重要
独自のローカル管理者アカウントを作成し、既知 RID 500 のユーザー アカウントを無効にすることをお勧めします。
シークレットの作成とローテーション
Azure Stack HCI のオーケストレーターでは、他のインフラストラクチャ リソースやサービスとのセキュリティで保護された通信を維持するために、複数のコンポーネントが必要です。 クラスターで実行されているすべてのサービスには、認証証明書と暗号化証明書が関連付けられています。
セキュリティを確保するために、内部シークレットの作成とローテーション機能を実装します。 クラスター ノードを確認すると、LocalMachine/Personal 証明書ストア (Cert:\LocalMachine\My) のパスの下に作成された証明書がいくつか表示されます。
このリリースでは、次の機能が有効になっています。
- デプロイ中とクラスタースケール操作後に証明書を作成する機能。
- 証明書の有効期限が切れる前の自動ローテーションと、クラスターの有効期間中に証明書をローテーションするオプション。
- 証明書がまだ有効であるかどうかを監視してアラートを生成する機能。
注意
シークレットの作成とローテーションの操作は、クラスターのサイズに応じて、完了までに約 10 分かかります。
詳細については、「 シークレットのローテーションを管理する」を参照してください。
セキュリティ イベントの Syslog 転送
独自のローカル セキュリティ情報イベント管理 (SIEM) システムを必要とするお客様や組織向けに、Azure Stack HCI バージョン 23H2 には、セキュリティ関連のイベントを SIEM に転送できる統合メカニズムが含まれています。
Azure Stack HCI には、構成後、共通イベント形式 (CEF) のペイロードを使用して、RFC3164で定義された syslog メッセージを生成する統合 syslog フォワーダーがあります。
次の図は、Azure Stack HCI と SIEM の統合を示しています。 すべての監査、セキュリティ ログ、アラートは各ホストで収集され、CEF ペイロードを使用して syslog を介して公開されます。
Syslog 転送エージェントは、顧客が構成した syslog サーバーに syslog メッセージを転送するために、すべての Azure Stack HCI ホストにデプロイされます。 Syslog 転送エージェントは相互に独立して動作しますが、任意のホストで一緒に管理できます。
Azure Stack HCI の syslog フォワーダーは、Syslog 転送が TCP または UDP のいずれであるか、暗号化が有効かどうか、および一方向認証と双方向認証のどちらであるかに基づいて、さまざまな構成をサポートしています。
詳細については、「 Syslog 転送の管理」を参照してください。
Microsoft Defender for Cloud (プレビュー)
Microsoft Defender for Cloud は、高度な脅威保護機能を備えたセキュリティ体制管理ソリューションです。 インフラストラクチャのセキュリティ状態を評価し、ワークロードを保護し、セキュリティ アラートを生成し、特定の推奨事項に従って攻撃を修復し、将来の脅威に対処するためのツールが提供されます。 これらのサービスはすべて、Azure サービスを使用した自動プロビジョニングと保護によってクラウド内で高速に実行され、デプロイのオーバーヘッドは発生しません。
基本的な Defender for Cloud プランを使用すると、追加コストなしで Azure Stack HCI システムのセキュリティ体制を改善する方法に関する推奨事項が得られます。 有料の Defender for Servers プランを使用すると、個々のサーバーと Arc VM のセキュリティ アラートを含む強化されたセキュリティ機能を利用できます。
詳細については、「Microsoft Defender for Cloud を使用したシステム セキュリティの管理 (プレビュー)」を参照してください。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示