セキュリティ コントロールセキュリティで保護された構成
注意
最新の Azure セキュリティ ベンチマークはこちらからご利用いただけます。
攻撃者から脆弱なサービスや設定が悪用されないように、Azure リソースのセキュリティ構成を確立、実装、および積極的に管理 (追跡、レポート、修正) します。
7.1:すべての Azure リソースに対してセキュリティで保護された構成を確立する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.1 | 5.1 | Customer |
ご利用の Azure リソースの構成を監査または適用するには、Azure Policy エイリアスを使用してカスタム ポリシーを作成します。 組み込みの Azure Policy 定義を使用することもできます。
また、Azure Resource Manager には、テンプレートを JavaScript Object Notation (JSON) でエクスポートする機能があり、構成が確実に組織のセキュリティ要件を満たすかそれを超えるように確認する必要があります。
また、ご利用の Azure リソース用の安全な構成基準として Azure Security Center からの推奨事項を使用することもできます。
7.2:セキュリティで保護されたオペレーティング システムの構成を確立する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.2 | 5.1 | Customer |
すべてのコンピューティング リソースのセキュリティ構成を維持するには、Azure Security Center の推奨事項を使用します。 さらに、カスタム オペレーティング システム イメージまたは Azure Automation State Configuration を使用して、組織に必要なオペレーティング システムのセキュリティ構成を確立できます。
7.3:セキュリティで保護された Azure リソースの構成を維持する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.3 | 5.2 | Customer |
お使いの Azure リソース全体にセキュリティで保護された設定を適用するには、Azure Policy の [deny] と [deploy if not exist] を使用します。 さらに、Azure Resource Manager テンプレートを使用して、組織に必要な Azure リソースのセキュリティ構成を維持できます。
7.4:セキュリティで保護されたオペレーティング システムの構成を維持する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.4 | 5.2 | 共有 |
Azure コンピューティング リソースに対する脆弱性評価の実行に関する Azure Security Center の推奨事項に従います。 さらに、Azure Resource Manager テンプレート、カスタム オペレーティング システム イメージ、または Azure Automation State Configuration を使用して、組織に必要なオペレーティング システムのセキュリティ構成を維持できます。 Microsoft 仮想マシン テンプレートと Azure Automation Desired State Configuration を組み合わせると、セキュリティ要件を満たし、それを維持するために役立ちます。
また、Microsoft によって公開された Azure Marketplace の仮想マシン イメージが Microsoft によって管理および維持されることにも注意してください。
7.5:Azure リソースの構成を安全に格納する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.5 | 5.3 | Customer |
カスタム Azure ポリシー、Azure Resource Manager テンプレート、Desired State Configuration スクリプトなどのコードを安全に格納して管理するには、Azure DevOps を使用します。 Azure DevOps で管理するリソースにアクセスするには、Azure Active Directory (Azure AD) で定義された (Azure DevOps に統合されている場合)、または Active Directory で定義された (TFS に統合されている場合) 特定のユーザー、組み込みのセキュリティ グループ、またはグループにアクセス許可を付与したり、そのアクセス許可を拒否したりできます。
7.6:カスタム オペレーティング システム イメージを安全に格納する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.6 | 5.3 | Customer |
カスタム イメージを使用している場合は、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、承認されたユーザーのみがイメージにアクセスできるようにします。 共有イメージ ギャラリーを使用すると、組織内のさまざまなユーザー、サービス プリンシパル、AD グループに対してイメージを共有できます。 コンテナー イメージの場合は、Azure Container Registry に保存し、Azure RBAC を利用して、承認されたユーザーのみがイメージにアクセスできるようにします。
7.7:Azure リソース用の構成管理ツールをデプロイする
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.7 | 5.4 | Customer |
Azure Policy を使用して、Azure リソースの標準的なセキュリティ構成を定義して実装します。 ご利用の Azure リソースのネットワーク構成を監査または適用するには、Azure Policy エイリアスを使用してカスタム ポリシーを作成します。 また、特定のリソースに関連する組み込みのポリシー定義を使用することもできます。 さらに、Azure Automation を使用して、構成の変更をデプロイすることもできます。
7.8:オペレーティング システム用の構成管理ツールをデプロイする
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.8 | 5.4 | Customer |
Azure Automation State Configuration は、あらゆるクラウドまたはオンプレミスのデータセンターにある Desired State Configuration (DSC) ノードの管理構成サービスです。 マシンのオンボード、宣言型構成の割り当て、指定した必要な状態に準拠した各マシンを示すレポートの表示を簡単に行うことができます。
7.9:Azure リソースの自動構成監視を実装する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.9 | 5.5 | Customer |
Azure Security Center を使用して、ご利用の Azure リソースのベースライン スキャンを実行します。 さらに、Azure Policy を使用して Azure リソース構成をアラート送信および監査します。
7.10:オペレーティング システムの自動構成監視を実装する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.10 | 5.5 | Customer |
Azure Security Center を使用して、コンテナーの OS と Docker の設定のベースライン スキャンを実行します。
7.11:Azure シークレットを安全に管理する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.11 | 13.1 | Customer |
マネージド サービス ID を Azure Key Vault と組み合わせて使用し、クラウド アプリケーションのシークレット管理を簡素化し、セキュリティで保護します。
7.12:ID を安全かつ自動的に管理する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.12 | 4.1 | Customer |
マネージド ID を使用して、Azure AD で自動的に管理される ID を Azure サービスに提供します。 マネージド ID を使用すると、コードに資格情報を追加しなくても、Azure AD の認証をサポートするさまざまなサービス (Key Vault を含む) に対して認証を行うことができます。
7.13:意図しない資格情報の公開を排除する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 7.13 | 18.1、18.7 | Customer |
コード内で資格情報を特定する資格情報スキャナーを実装します。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。
次のステップ
- 次のセキュリティ コントロールを参照してください。マルウェアからの防御