Azure DevTest Labs 用の Azure のセキュリティ ベースライン
このセキュリティ ベースラインは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスをAzure DevTest Labsに適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと、Azure DevTest Labsに適用できる関連ガイダンスによって定義されたセキュリティ コントロールによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。
注意
Azure DevTest Labsに適用されない機能は除外されています。 microsoft クラウド セキュリティ ベンチマークに完全にマップAzure DevTest Labs方法については、完全なAzure DevTest Labsセキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Azure DevTest Labsの影響の大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 値 |
|---|---|
| 製品カテゴリ | コンピューティング、開発者ツール、統合 |
| お客様は HOST/OS にアクセスできます | フル アクセス |
| サービスは顧客の仮想ネットワークにデプロイできます | ○ |
| 保存中の顧客コンテンツを格納します | False |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
機能
Virtual Network 統合
説明: サービスは、顧客のプライベート Virtual Network (VNet) へのデプロイをサポートしています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: DevTest Labs 用の仮想ネットワークを構成する
ネットワーク セキュリティ グループのサポート
説明: サービス ネットワーク トラフィックは、そのサブネットでのネットワーク セキュリティ グループルールの割り当てを尊重します。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: ネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスによってトラフィックを制限または監視します。 NSG 規則を作成して、サービスのオープン ポートを制限します (信頼されていないネットワークから管理ポートにアクセスできないようにするなど)。 既定では、NSG はすべての受信トラフィックを拒否しますが、仮想ネットワークと Azure Load Balancer からのトラフィックを許可することに注意してください。
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
機能
パブリック ネットワーク アクセスの無効化
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG やAzure Firewallではなく) または "パブリック ネットワーク アクセスを無効にする" トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: サービス レベルの IP ACL フィルター規則またはパブリック ネットワーク アクセス用の切り替えスイッチを使用して、パブリック ネットワーク アクセスを無効にします。
リファレンス: ネットワーク分離 DevTest Labs を作成する
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元的な ID および認証システムを使用する
機能
データ プレーン アクセスに必要な Azure AD Authentication
説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure DevTest Labsでは、Azure リソースのマネージド ID と、キー コンテナーを使用したシークレット管理がサポートされています。 DevTest Labs では、それをサポートする Azure サービスとリソースに対して Azure AD 認証をネイティブに使用できます。 これは、ユーザーが DevTest Lab またはラボ内でサポートされているリソースを操作または作成するときに、SDK または REST API を使用して Azure Portal からサポートされます。
Azure DevTest Labs のラボ仮想マシン上でユーザー割り当てのマネージド ID を有効にする
構成ガイダンス: 既定の認証方法として Azure Active Directory (Azure AD) を使用して、データ プレーンへのアクセスを制御します。
リファレンス: REST API Azure DevTest Labs
データ プレーン アクセスのローカル認証方法
説明: ローカルユーザー名やパスワードなど、データ プレーンアクセスでサポートされるローカル認証方法。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: VM に対する既定の認証はローカル認証 (RDP/SSH) です。 ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、Azure AD を使用して、可能な限り認証を行います。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
IM-3: アプリケーション ID を安全かつ自動的に管理する
機能
マネージド ID
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: サービス用のデータ プレーンは提供していませんが、リソースではマネージド ID がサポートされています。
構成ガイダンス: 可能な場合は、サービス プリンシパルではなく Azure マネージド ID を使用します。これは、Azure Active Directory (Azure AD) 認証をサポートする Azure サービスとリソースに対して認証できます。 マネージド ID の資格情報は、プラットフォームによって完全に管理、ローテーション、保護されており、ソース コードまたは構成ファイル内でハードコーディングされた資格情報を使用せずに済みます。
リファレンス: DevTest Labs のラボ仮想マシンでユーザー割り当てマネージド ID を有効にする
サービス プリンシパル
説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: ユーザーは、ラボ リソースにアクセスするためにサービス プリンシパルを独自に構成できます。
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 organizationがこのセキュリティ機能を構成する必要があるかどうかを確認して判断してください。
IM-7: 条件に基づいてリソースへのアクセスを制限する
機能
データ プレーンへの条件付きアクセス
説明: データ プレーンアクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure DevTest Labsを使用すると、ユーザーは Azure 仮想マシンを自分のサブスクリプションで管理およびデプロイできます。これらの仮想マシンは、顧客のシナリオに応じて、必要に応じて条件付きアクセスをサポートできます。
構成ガイダンス: ワークロード内の Azure Active Directory (Azure AD) 条件付きアクセスに適用できる条件と条件を定義します。 特定の場所からのアクセスのブロックや許可、危険なサインイン動作のブロック、特定のアプリケーションに対するorganizationマネージド デバイスの要求など、一般的なユース ケースを検討してください。
IM-8: 資格情報とシークレットの公開を制限する
機能
Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vaultのネイティブな使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: DevTest Lab シークレットは、顧客サブスクリプションの Azure Key Vaultに安全に格納されます。 これは、ラボ内のすべての Azure リソースを操作するためにサービスによって使用されます。
ラボ仮想マシンでマネージド ID を有効にしたり、ラボのコンテキストでリソースに対して認証したりできます。
構成ガイダンス: シークレットと資格情報は、コードファイルや構成ファイルに埋め込むのではなく、Azure Key Vault などのセキュリティで保護された場所に格納されていることを確認します。
リファレンス: Azure DevTest Labsのラボ仮想マシンでユーザー割り当てマネージド ID を有効にする
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する
機能
ローカル 管理 アカウント
説明: サービスには、ローカル管理アカウントの概念があります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
機能ノート: ラボ マシン ユーザーは、VM のローカル 管理にすることができます。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
PA-7: Just Enough Administration (最小限の特権の原則) に従う
機能
データ プレーン用の Azure RBAC
説明: Azure Role-Based Access Control (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure DevTest Labsには、組み込みのロールを通じて、すべてのリソースに対する Azure RBAC サポートが統合されています。
構成ガイダンス: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、組み込みのロールの割り当てを通じて Azure リソース へのアクセスを管理します。 Azure RBAC ロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。
リファレンス: DevTest Labs ユーザー
PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する
機能
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
データの保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-1:機密データを検出、分類、ラベル付けする
特徴
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-2: 機密データをターゲットにした異常と脅威を監視する
機能
データ漏えい/損失防止
説明: サービスでは、(顧客のコンテンツ内の) 機密データの移動を監視するための DLP ソリューションがサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-3: 転送中の機密データの暗号化
機能
転送中データの暗号化
説明: サービスでは、データ プレーンの転送中のデータ暗号化がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: DevTest Labs の転送中の暗号化シナリオについて
DP-4: 保存データ暗号化を既定で有効にする
機能
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされており、保存中のすべての顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: DevTest Labs 内では、ラボの一部として作成されたすべての OS ディスクとデータ ディスクは、プラットフォームマネージド キーを使用して暗号化されます。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
DP-6: セキュア キー管理プロセスの使用
機能
Azure Key Vault でのキー管理
説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Key Vaultを使用して、キーの生成、配布、ストレージなど、暗号化キーのライフ サイクルを作成および制御します。 定義されたスケジュールに基づいて、またはキーの廃止や侵害が発生した場合に、Azure Key Vault とサービスのキーをローテーションして取り消します。 ワークロード、サービス、またはアプリケーション レベルでカスタマー マネージド キー (CMK) を使用する必要がある場合は、キー管理のベスト プラクティスに従ってください。キー階層を使用して、キー コンテナーにキー暗号化キー (KEK) を使用して個別のデータ暗号化キー (DEK) を生成します。 キーが Azure Key Vaultに登録され、サービスまたはアプリケーションのキー ID を介して参照されていることを確認します。 独自のキー (BYOK) をサービスに持ち込む必要がある場合 (オンプレミスの HSM から Azure Key Vaultに HSM で保護されたキーをインポートする場合など)、最初のキー生成とキー転送を実行するための推奨ガイドラインに従ってください。
リファレンス: Azure DevTest Labsのキー コンテナーにシークレットを格納する
DP-7: セキュリティで保護された証明書管理プロセスを使用する
機能
Azure Key Vault での証明書管理
説明: このサービスでは、顧客証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: Azure DevTest Labsを使用すると、ユーザーは Azure 仮想マシンを自分のサブスクリプションで管理およびデプロイできます。これらの仮想マシンは、顧客のシナリオに応じて、必要に応じて Azure Key Vaultでの証明書管理をサポートできます。
構成ガイダンス: Azure Key Vaultを使用して、証明書の作成、インポート、ローテーション、失効、ストレージ、消去など、証明書のライフサイクルを作成および制御します。 キー サイズが不十分、有効期間が過度に長い、安全でない暗号化など、セキュリティで保護されていないプロパティを使用せずに、証明書の生成が定義された標準に従っていることを確認します。 定義されたスケジュールまたは証明書の有効期限に基づいて、Azure Key Vaultと Azure サービス (サポートされている場合) で証明書の自動ローテーションを設定します。 アプリケーションで自動ローテーションがサポートされていない場合は、Azure Key Vault とアプリケーションで手動の方法を使用してローテーションされていることを確認します。
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
機能
Azure Policy のサポート
説明: サービス構成は、Azure Policyを使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure ポリシーはサポートされており、サービスによって作成されるリソースに対して構成できますが、サービスからの明示的なセキュリティ ポリシーの構成はありません。
構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するためのAzure Policyを構成します。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。 Azure Policy [deny] と [deploy if not exists] 効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
AM-5: 承認されたアプリケーションのみを仮想マシンで使用する
機能
クラウドのMicrosoft Defender - 適応型アプリケーション制御
説明: サービスでは、Microsoft Defender for Cloud でアダプティブ アプリケーション制御を使用して、仮想マシン上で実行される顧客アプリケーションを制限できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: クラウド適応型アプリケーション制御のMicrosoft Defenderを使用して、仮想マシン (VM) で実行されているアプリケーションを検出し、承認されたアプリケーションを VM 環境で実行できるようにするアプリケーション許可リストを生成します。
体制と脆弱性の管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 体制と脆弱性管理」を参照してください。
PV-3: コンピューティング リソースのセキュリティで保護された構成を定義して確立する
機能
Azure Automation State Configuration
説明: Azure Automation State Configurationを使用して、オペレーティング システムのセキュリティ構成を維持できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: ユーザーは DevTest Labs サービス ホスト VM にアクセスできませんが、このサービスを使用すると、ユーザーは Azure Virtual Machinesを自分のサブスクリプションで管理およびデプロイでき、それらのマシンには DSC (Desired State Configuration) が適用されます。
構成ガイダンス: オペレーティング システムのセキュリティ構成を維持するには、Azure Automation State Configurationを使用します。
ゲスト構成エージェントのAzure Policy
説明: ゲスト構成エージェントAzure Policy、コンピューティング リソースの拡張機能としてインストールまたはデプロイできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: ユーザーは DevTest Labs サービス ホスト VM にアクセスできませんが、このサービスを使用すると、ユーザーは Azure Virtual Machinesを自分のサブスクリプションで管理およびデプロイでき、それらのマシンにはゲスト構成エージェントAzure Policy適用されます。
構成ガイダンス: クラウド用Microsoft Defenderとゲスト構成エージェントAzure Policy使用して、VM、コンテナーなどの Azure コンピューティング リソースの構成偏差を定期的に評価して修復します。
カスタム VM イメージ
説明: サービスでは、特定のベースライン構成が事前に適用された、ユーザー指定の VM イメージまたはマーケットプレースからの事前構築済みイメージの使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure DevTest LabsでAzure Marketplaceイメージ設定を構成する
PV-5: 脆弱性評価を実行する
機能
Microsoft Defenderを使用した脆弱性評価
説明: サービスは、クラウドまたは他のMicrosoft Defender サービスの埋め込み脆弱性評価機能 (サーバー、コンテナー レジストリ、App Service、SQL、DNS のMicrosoft Defenderを含む) のMicrosoft Defenderを使用して脆弱性スキャンをスキャンできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: DevTest Labs を作成するときに、ラボの一部として基になるコンピューティング リソースが存在する可能性があります。 これらのリソースで使用できる、サービスの外部にある脆弱性評価用のツールがあります。
構成ガイダンス: Azure 仮想マシン、コンテナー イメージ、および SQL サーバーで脆弱性評価を実行するために、Microsoft Defender for Cloud の推奨事項に従います。
PV-6: 脆弱性を迅速かつ自動的に修復する
機能
Azure Automation の Update Management
説明: サービスでは、Azure Automation Update Management を使用して、パッチと更新プログラムを自動的にデプロイできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: ユーザーは DevTest Labs サービス ホスト VM にアクセスできませんが、このサービスを使用すると、ユーザーは Azure Virtual Machinesを自分のサブスクリプションで管理およびデプロイでき、Automation Update Management はそれらのマシンに対して個別に管理できます。
構成ガイダンス: Azure Automation Update Management またはサードパーティソリューションを使用して、最新のセキュリティ更新プログラムが Windows および Linux VM に確実にインストールされるようにします。 Windows VM については、Windows Update が有効になっていて、自動的に更新するよう設定されていることを確認します。
エンドポイントのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: エンドポイント セキュリティ」を参照してください。
ES-2: 最新のマルウェア対策ソフトウェアを使用する
機能
マルウェア対策ソリューション
説明: Microsoft Defender ウイルス対策、Microsoft Defender for Endpointなどのマルウェア対策機能をエンドポイントにデプロイできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: ユーザーは DevTest Labs サービス ホスト VM にアクセスできませんが、このサービスを使用すると、ユーザーは Azure Virtual Machinesを自分のサブスクリプションで管理およびデプロイでき、それらのマシンでマルウェア対策ソリューションを使用することを強くお勧めします。
構成ガイダンス: Windows Server 2016以降の場合、ウイルス対策のMicrosoft Defenderは既定でインストールされます。 Windows Server 2012 R2 以降では、SCEP (System Center Endpoint Protection) をインストールできます。 Linux の場合、お客様は Linux 用のMicrosoft Defenderをインストールすることができます。 または、サードパーティのマルウェア対策製品をインストールすることもできます。
ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする
機能
マルウェア対策ソリューションの正常性の監視
説明: マルウェア対策ソリューションは、プラットフォーム、エンジン、および自動署名更新プログラムの正常性状態の監視を提供します。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: ユーザーは DevTest Labs Service ホスト VM にアクセスできませんが、このサービスを使用すると、ユーザーは自分のサブスクリプションで Azure Virtual Machinesを管理およびデプロイできます。これらのマシンにはマルウェア対策ソリューション正常性監視を使用することを強くお勧めします。
構成ガイダンス: マルウェア対策ソリューションを構成して、プラットフォーム、エンジン、署名が迅速かつ一貫して更新され、その状態を監視できるようにします。
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。
BR-1:定期的な自動バックアップを保証する
機能
Azure Backup
説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: Azure DevTest Labs Azure Backupのサポートを明示的に提供していませんが、サービスによってデプロイされたコンピューティング VM 用に顧客が構成できます。
構成ガイダンス: Azure Backupを有効にし、必要な保持期間でバックアップ ソース (Azure Virtual Machines、SQL Server、HANA データベース、ファイル共有など) を構成します。 Azure Virtual Machinesでは、Azure Policyを使用して自動バックアップを有効にすることができます。
サービス ネイティブ バックアップ機能
説明: サービスでは、独自のネイティブ バックアップ機能がサポートされます (Azure Backupを使用していない場合)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
次のステップ
- Microsoft クラウド セキュリティ ベンチマークの概要を参照してください
- Azure セキュリティ ベースラインの詳細について学習する