Azure で運用可能なセキュリティのチェックリスト

Azure では、アプリケーションをすばやく簡単に、高いコスト効率でデプロイできます。 運用環境にクラウド アプリケーションをデプロイする前に、検討する必須および推奨の運用上のセキュリティ アクションの一覧に照らしてアプリケーションを評価する際に役立つチェックリストがあると便利です。

はじめに

Azure では、アプリケーションのデプロイに使用できるインフラストラクチャ サービスのスイートが提供されます。 Azure で運用可能なセキュリティとは、ユーザーのデータ、アプリケーション、および Microsoft Azure にあるその他の資産を保護するために使用できる、サービス、コントロール、機能を指します。

• クラウド プラットフォームから最大限のメリットを得るには、Azure サービスを活用し、チェックリストに従うことをお勧めします。
• 起動の前に時間とリソースを費やしてアプリケーションの運用の準備状況を評価している組織は、それをしない組織よりも満足度がはるかに高くなっています。 この作業を実行するときに、チェックリストは、アプリケーションが一貫して総合的に評価されることを保証する非常に重要なメカニズムとなります。
• 運用評価のレベルは、組織のクラウドの成熟度レベルと、アプリケーションの開発フェーズ、可用性のニーズ、データの機密要件によって異なります。

チェック リスト

このチェックリストは、Azure に高度なエンタープライズ アプリケーションをデプロイするときにさまざまな運用上のセキュリティについて検討する企業を支援するためのものです。 組織がセキュリティで保護されたクラウド移行と運用の戦略を構築する際にも使用できます。

チェックリストのカテゴリ	説明
セキュリティ ロールとアクセス制御	Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、特定のスコープ内のユーザー、グループ、アプリケーションにアクセス許可を割り当てるために使用するユーザーの仕様を提供します。
データの収集と保存	管理プレーンのセキュリティを使用して、Azure ロールベースのアクセス制御 (Azure RBAC) でストレージ アカウントをセキュリティで保護します。 データ プレーンのセキュリティを使用して、Shared Access Signature (SAS) と Stored Access Policy でデータへのアクセスを保護します。 転送レベルの暗号化の使用 - HTTPS と、Azure ファイル共有用の SMB (サーバー メッセージ ブロック プロトコル) 3.0 で使用される暗号化を使用します。 クライアント側の暗号化を使用して、暗号化キーを単独で制御する必要がある場合にストレージ アカウントに送信するデータを保護します。 Storage Service Encryption (SSE) を使用して Azure Storage 内のデータを自動的に暗号化し、Azure Disk Encryption を使用して OS とデータ ディスクの仮想マシン ディスク ファイルを暗号化します。 Azure Storage Analytics を使用して承認の種類を監視します。Blob Storage の場合と同様に、ユーザーが Shared Access Signature またはストレージ アカウント キーを使用していたかどうかを確認できます。 クロス オリジン リソース共有 (CORS) を使用して、別のドメインからストレージ リソースにアクセスします。
セキュリティ ポリシーと推奨事項	Microsoft Defender For Cloud を使用してエンドポイント ソリューションをデプロイします。 Web アプリケーション ファイアウォール (WAF) を追加して Web アプリケーションを保護します。 Microsoft パートナーのファイアウォールを使用し、セキュリティ保護を強化します。 Azure サブスクリプションのセキュリティ連絡先の詳細を適用します。Microsoft Security Response Center (MSRC) は、顧客データが違法または承認されていないパーティによってアクセスされたことを検出すると、ユーザーに連絡します。
ID およびアクセス管理	Azure AD を使用して、オンプレミスのディレクトリとクラウドのディレクトリを同期します。 シングル サインオンを使用して、ユーザーは、Azure AD 内の組織アカウントに基づいて SaaS アプリケーションにアクセスできます。 パスワード リセット登録アクティビティ レポートを使用して、登録しているユーザーを監視します。 ユーザーの多要素認証 (MFA) を有効にします。 開発者は、Microsoft セキュリティ開発ライフサイクル (Security Development Lifecycle: SDL) などのセキュリティで保護された ID 機能をアプリに使用します。 Azure AD Premium の異常レポートと Azure AD Identity Protection 機能を使用して、不審なアクティビティを能動的に監視します。
継続的なセキュリティの監視	Malware Assessment ソリューションである Azure Monitor ログを使用して、お使いのインフラストラクチャ内のマルウェア対策保護の状態についてレポートします。 更新プログラムのアセスメントを使用して、潜在的なセキュリティの問題に全体でどの程度さらされているか、これらの更新プログラムが環境にとって重要かどうか、その重要度はどの程度かを判断します。 ID とアクセスはユーザーの概要を提供します。 ユーザー ID の状態、 サインイン試行に失敗した回数、 これらの試行中に使用されたユーザーのアカウント、ロックアウトされたアカウント パスワードが変更またはリセットされたアカウント 現在ログインしているアカウントの数。
Microsoft Defender for Cloud の検出機能	検出機能使用して、Microsoft Azure のリソースを対象とするアクティブな脅威を識別します。 グローバルな脅威インテリジェンスを活用して既知の有害アクターを探す統合された脅威インテリジェンスを使用します。情報源としては、Microsoft 製品とサービス、Microsoft Digital Crimes Unit (DCU)、Microsoft Security Response Center (MSRC)、外部フィードがあります。 既知のパターンを適用して悪質なビヘイビアーを検出する行動分析を使用します。 統計プロファイルを使用して過去のベースラインを構築する異常検出を使用します。
開発者の操作 (DevOps)	コードとしてのインフラストラクチャ (IaC) は、ネットワークや仮想マシンの作成と切断の自動化と妥当性確認を有効にして、セキュリティで保護された、安定したアプリケーション ホスティング プラットフォームの提供を支援するプラクティスです。 継続的インテグレーションとデプロイは、実行中のコードのマージとテストを推進します。これにより、障害を早期に検出できるようになります。 Release Management は、パイプラインの各段階で自動化されたデプロイを管理します。 アプリケーションの正常性と顧客の使用状況に関する、運用環境を含む実行中のアプリケーションのアプリケーション パフォーマンス監視は、組織が仮説を形成し、戦略を迅速に検証または誤りを証明するのに役立ちます。 ロード テストと自動スケールを使用してアプリ内のパフォーマンスの問題を検出して、デプロイの品質を改善し、ビジネス ニーズに対応するためにアプリが常に稼働するか使用可能であるようにすることができます。

まとめ

多くの組織は、Azure にクラウド アプリケーションをうまくデプロイし、運用してきました。 提供しているチェックリストでは、デプロイの成功とストレスのない運用の可能性を高めるのに役立ついくつかの基本的なチェックリストを強調しています。 Azure での既存および新規のアプリケーション デプロイでは、これらの運用と戦略を検討することを強くお勧めします。

次のステップ

セキュリティの詳細については、次の記事を参照してください。

• 設計および運用面のセキュリティ。
• Microsoft Defender for Cloud の計画と運用。