Azure App Configuration の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Azure App Configuration に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、セキュリティ制御によってグループ化されています。これは、Azure セキュリティ ベンチマークと、Azure App Configuration に適用できる関連ガイダンスによって定義されています。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ダッシュボードの [規制コンプライアンス] セクションに一覧表示されます。

セクションに関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するために、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Azure App Configuration に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Azure App Configuration を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Azure App Configuration セキュリティ ベースライン マッピング ファイルに関するページを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス:Azure App Configuration によって、仮想ネットワークにリソースが直接デプロイされることはありません。 サービスが仮想ネットワークにデプロイされないため、特定のネットワーク機能 (ネットワーク セキュリティ グループ、ルート テーブル、Azure Firewall などの他のネットワーク アプライアンスなど) を活用してサービスの内部トラフィックを保護することはできません。 ただし、App Configuration では、プライベート エンドポイントを使用して、仮想ネットワークから Azure App Configuration に安全に接続できます。

Microsoft Sentinel を使用して、不安がある従来のプロトコルである SSL/TLSv1、SMBv1、LM/NTLMv1、wDigest、署名なしの LDAP バインド、Kerberos の弱い暗号の使用を検出します。

責任: 共有

NS-2: プライベート ネットワークをまとめて接続する

ガイダンス:Azure App Configuration は、プライベート エンドポイントを使用した、プライベート リンク経由の安全なデータ送信をサポートしています。 Azure ExpressRoute または Azure 仮想プライベート ネットワーク (VPN) を使用して、コロケーション環境内で Azure のデータセンターとオンプレミスのインフラストラクチャ間のプライベート接続を作成できます。 ExpressRoute 接続はパブリック インターネットを経由しないので、一般的なインターネット接続と比べて信頼性が高く、より高速で、待ち時間も短くなります。 ポイント対サイト VPN とサイト間 VPN では、これらの VPN オプションと Azure ExpressRoute の任意の組み合わせを使用して、オンプレミスのデバイスやネットワークを仮想ネットワークに接続できます。

Azure で 2 つ以上の仮想ネットワークを接続するには、仮想ネットワーク ピアリングを使用します。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure のバックボーン ネットワーク上に保持されます。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.AppConfiguration:

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Configuration ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 AuditIfNotExists、Disabled 1.0.2

NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する

ガイダンス:Azure Private Link を使用して、インターネットを経由せずに、仮想ネットワークから Azure App Configuration へのプライベート アクセスを有効にします。

プライベート アクセスは、Azure サービスによって提供される認証およびトラフィックのセキュリティに加えて、追加の多層防御手段となります。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.AppConfiguration:

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Configuration ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 AuditIfNotExists、Disabled 1.0.2

NS-4: 外部ネットワーク攻撃からアプリケーションやサービスを保護する

ガイダンス:仮想ネットワーク経由で構成値にアクセスする場合、分散型サービス拒否 (DDoS) 攻撃、アプリケーション固有の攻撃、未承諾で悪意の可能性があるインターネット トラフィックなど、外部ネットワークからの攻撃に対してリソースを保護します。 Azure Firewall を使用して、インターネットや他の外部の場所からの、悪意がある可能性のあるトラフィックから、アプリケーションやサービスを保護します。 Azure 仮想ネットワークで DDoS 標準保護を有効にすることで、DDoS 攻撃から資産を保護します。 Microsoft Defender for Cloud を使用して、ネットワーク関連リソースに関する構成の誤りのリスクを検出します。

Azure App Configuration は、Web アプリケーションを実行するためのものではなく、これらの Web アプリケーションの構成を実現します。 Web アプリケーションを対象とする外部ネットワーク攻撃から保護するために、追加設定の構成や、追加ネットワーク サービスのデプロイを行う必要はありません。

責任: Customer

NS-6: ネットワーク セキュリティ規則を簡略化する

ガイダンス:Azure App Configuration リソース用に構成されたネットワーク セキュリティ グループまたは Azure Firewall でのネットワーク アクセス制御を定義するには、Azure Virtual Network サービス タグを使用します。 アプリケーションのネットワーク内にある送信トラフィックのセキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグ "AppConfiguration" を使用できます。 規則の適切なソースまたはターゲット フィールドにサービス タグ名を指定することで、対応するサービスのトラフィックを許可または拒否できます。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。

責任: Customer

NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)

ガイダンス: Azure App Configuration では、基盤となる DNS 構成を公開していません。これらの設定は、Microsoft によって管理されます。

責任: Microsoft

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス:Azure App Configuration は、Azure の既定の ID およびアクセス管理サービスである Azure Active Directory (Azure AD) と統合されています。 Azure AD を標準化して、次のリソースでの組織の ID とアクセス管理を統制する必要があります。

  • Azure portal、Azure Storage、Azure 仮想マシン (Linux と Windows)、Azure Key Vault、PaaS、SaaS アプリケーションなどの Microsoft Cloud リソース。
  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位を持つ必要があります。 Azure AD では、Microsoft のベスト プラクティスの推奨事項を基準にした、お客様の ID セキュリティ体制を評価するために役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

Azure には、Azure AD と OAuth を使用した、App Configuration データへのアクセスを承認するために、次の Azure 組み込みロールが用意されています。

  • App Configuration データ所有者: このロールを使用して、App Configuration データへの読み取り/書き込み/削除アクセス権を付与します。 App Configuration リソースへのアクセスは許可されません。
  • App Configuration データ閲覧者: このロールを使用して、App Configuration データへの読み取りアクセス権を付与します。 App Configuration リソースへのアクセスは許可されません。
  • 共同作成者:このロールを使用して、App Configuration リソースを管理します。 App Configuration データにはアクセス キーを使用してアクセスできますが、このロールでは Azure AD を使用したデータへの直接アクセスは許可されません。
  • 閲覧者:このロールを使用して、App Configuration リソースへの読み取りアクセス権を付与します。 リソースのアクセス キーへのアクセスと、App Configuration に格納されているデータへのアクセスは許可されません。

詳細については、次のリファレンスを参照してください。

責任: Customer

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス:Azure で管理されている ID を使用して、他の Azure サービスなどの人間以外のアカウントから Azure App Configuration にアクセスします。 余計な資格情報を管理しなくて済むように、リソースにアクセスしたり実行したりするためのより強力な人間のアカウントを作成するのではなく、Azure のマネージド ID 機能を使用することをお勧めします。 Azure App Configuration には、Azure Active Directory (Azure AD) をサポートする他の Azure サービスやリソースにネイティブで認証するために、マネージド ID 自体を割り当てることもできます。 これにより、シークレットを取得するときに、App Configuration から Azure Key Vault に簡単にアクセスできます。 マネージド ID を使用する場合、その ID は Azure プラットフォームによって管理され、ユーザーがシークレットをプロビジョニングしたりローテーションしたりする必要はありません。

Azure App Configuration は、次の 2 つの ID が付与されたアプリケーションをサポートします。

  • システム割り当て ID は、構成リソースに関連付けられています。 これは、構成リソースが削除されると削除されます。 構成リソースは 1 つのシステム割り当て ID しか持つことはできません。
  • ユーザー割り当て ID は、構成リソースに割り当てることができるスタンドアロンの Azure リソースです。 構成リソースは、複数のユーザー割り当て ID を持つことができます。

マネージド ID を利用できない場合は、Azure App Configuration リソース レベルでアクセス許可が制限されたサービス プリンシパルを作成します。 証明書の資格情報を使用してこれらのサービス プリンシパルを構成し、クライアント シークレットにのみフォールバックします。 どちらの場合も、Azure Key Vault を Azure マネージド ID と組み合わせて使用し、ランタイム環境 (Azure 関数など) でキー コンテナーから資格情報を取得できるようにすることができます。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス:Azure App Configuration では、Azure Active Directory (Azure AD) を使用して、Azure リソース、クラウド アプリケーション、オンプレミスのアプリケーションに ID とアクセスの管理を提供します。 これには、従業員などの企業 ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID も含まれます。 Azure AD を使用すると、同期された企業 Active Directory ID を使用し、Azure portal 経由のシングルサインオン (SSO) で App Configuration サービスを管理できます。 すべてのユーザー、アプリケーション、デバイスを Azure AD に接続することで、シームレスで安全なアクセスを実現し、可視性と制御性を高めることができます。

責任: Customer

IM-7:意図しない資格情報の公開を排除する

ガイダンス:Azure App Configuration を使用すると、ID やシークレットが含まれる可能性のある構成を格納できます。 構成内の資格情報を特定する資格情報スキャナーを実装することをお勧めします。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。

Azure App Configuration サービスは、Azure Key Vault と一緒に使用してください。 資格情報はすべて Key Vault に保存し、App Configuration リソースに Key Vault の参照を作成して、これらの資格情報にリンクします。 App Configuration でこのような参照を作成すると、App Configuration には、その値そのものではなく、Key Vault の値の URI が格納されます。 アプリケーションは App Configuration に接続して、Key Vault から資格情報を取得できます。

GitHub の場合、ネイティブ シークレット スキャン機能を使用して、コード内で資格情報やその他の形式のシークレットを識別できます。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-1:高い特権を持つユーザーを保護および制限する

ガイダンス:高い特権を持つアカウントまたはロールの数は制限し、それらのアカウントを厳格なレベルで保護してください。このような特権を持つユーザーは、Azure 環境内のあらゆるリソースを直接的または間接的に読み取ったり変更したりすることができるためです。

Azure AD Privileged Identity Management (PIM) を使用して、Azure リソースと Azure Active Directory (Azure AD) への Just-In-Time (JIT) の特権アクセスを有効にすることができます。 ユーザーが必要とする場合にのみ特権タスクを実行するための一時的なアクセス許可は、JIT によって付与されます。 PIM を使用すると、Azure AD 組織に不審なアクティビティや安全でないアクティビティがある場合に、セキュリティ アラートを生成することもできます。

アクセス キーは高度な特権を持っているため、セキュリティのベスト プラクティスとして、定期的にローテーションする必要があります。 アクセス キーには、資格情報を含む接続文字列があるため、シークレットと見なされます。 これらのシークレットは Azure Key Vault に格納する必要があり、コードはそれらを取得するために Key Vault に対して認証を行う必要があります。 アクセス キーは、アプリケーションに対して読み取り/書き込みアクセスまたは読み取りアクセスのみを許可できます。 不正アクセスを防ぐため、正しい種類のアクセス キーが発行されていることを確認します。 セキュリティをさらに強化するには、Azure AD のマネージド ID 機能を使用します。 このためにアプリケーションに必要なのは、構成値にアクセスするための構成エンドポイント URL のみです。

責任: Customer

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス:Azure App Configuration は、Azure Active Directory (Azure AD) アカウントを使用してリソースを管理し、ユーザー アカウントとアクセス割り当てを定期的にレビューして、アカウントとそのアクセスが有効であることを確認します。

Azure には、Azure AD と OAuth を使用した、App Configuration データへのアクセスを承認するために、次の Azure 組み込みロールが用意されています。

  • App Configuration データ所有者: このロールを使用して、App Configuration データへの読み取り/書き込み/削除アクセス権を付与します。 App Configuration リソースへのアクセスは許可されません。

  • App Configuration データ閲覧者: このロールを使用して、App Configuration データへの読み取りアクセス権を付与します。 App Configuration リソースへのアクセスは許可されません。

Azure AD アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロール (上記の App Configuration ロールなど) の割り当てをレビューすることができます。 Azure AD レポートによって、古いアカウントの検出に役立つログが提供されます。 また、Azure AD Privileged Identity Management を使用してアクセス レビュー レポート ワークフローを作成し、レビュー プロセスを容易にすることもできます。

注:マネージド ID は、別のサービスまたはアプリケーションから App Configuration への認証が可能な場合に推奨されます。 App Configuration へのアクセスで構成されたサービス プリンシパルまたは接続文字列は、使用するときに個別に管理する必要があります。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス:セキュリティで保護された分離したワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高い役割のセキュリティには非常に重要です。 App Configuration に関連する管理タスクには、高度にセキュリティ保護されたユーザー ワークステーションや Azure Bastion を使用します。 Azure Active Directory (Azure AD)、Microsoft Defender Advanced Threat Protection (ATP)、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションをデプロイします。 セキュリティで保護されたワークステーションを一元管理して、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなどのセキュリティで保護された構成を実施できます。

責任: Customer

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス:Azure App Configuration は、リソースを管理するため、Azure のロールベースのアクセス制御 (RBAC) と統合されています。 Azure RBAC を使用すると、ロールの割り当てによって Azure リソースへのアクセスを管理できます。 これらのロールを、ユーザー、グループ サービス プリンシパル、およびマネージド ID に割り当てることができます。 Azure App Configuration には、特定のリソースに対して定義済みの組み込みロールがあります。これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたは照会できます。 Azure RBAC を使用してリソースに割り当てる特権は、常に、ロールで必要なものに制限する必要があります。 これは、Azure Active Directory (Azure AD) Privileged Identity Management (PIM) の Just-in-Time (JIT) アプローチを補完するものであり、定期的に見直す必要があります。

Azure には、Azure AD と OAuth を使用した、App Configuration データへのアクセスを承認するために、次の Azure 組み込みロールが用意されています。

  • App Configuration データ所有者: このロールを使用して、App Configuration データへの読み取り/書き込み/削除アクセス権を付与します。 App Configuration リソースへのアクセスは許可されません。
  • App Configuration データ閲覧者: このロールを使用して、App Configuration データへの読み取りアクセス権を付与します。 App Configuration リソースへのアクセスは許可されません。

組み込みロールを使用してアクセス許可を割り当て、必要な場合にのみカスタム ロールを作成します。

App Configuration では、1 つの App Configuration リソースに複数のアプリケーション構成を格納できます。 アプリケーション間の情報アクセスを制限するため、アプリケーションにつき 1 つの App Configuration リソースを作成し、それに合わせて Azure RBAC を設定してください。

責任: Customer

PA-8: Microsoft サポートの承認プロセスを選択する

ガイダンス:Microsoft による App Configuration データへのアクセスが必要となる場合に備え、サポート シナリオ用の組織の承認プロセスを確立してください。 カスタマー ロックボックスは現在、App Configuration のサポート シナリオには使用できません。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-1:機密データを検出、分類、ラベル付けする

ガイダンス:お使いの機密データを検出、分類、ラベル付けすると、組織の技術システムで機密情報が安全に保存、処理、および転送されるコントロールを適切に設計できます。 タグ付けを使用した機密情報のラベル付けは、App Configuration リソースではサポートされていますが、それに含まれる構成値はサポートしていません。 構成ストアに対する読み取りアクセス権または読み取り/書き込みアクセス権があるアプリケーションには、ストア内のすべての構成に対するフル アクセス権があります。

責任: Customer

DP-2:機密データを保護する

ガイダンス:Microsoft によって管理される基になるプラットフォームの場合、Microsoft では顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護します。 Microsoft では、Azure 内の顧客データが確実にセキュリティで保護されるように、データ保護コントロールおよび機能をいくつか実装しています。 App Configuration リソースに対してアクセス キーを定期的にローテーションするようにします。 接続文字列の資格情報は Azure Key Vault に格納する必要があり、コードはそれらを取得するために Key Vault に対して認証を行う必要があります。 アクセス キーは、アプリケーションに対して読み取り/書き込みアクセスまたは読み取りアクセスのみを許可できます。 不正アクセスを防ぐため、正しい種類のアクセス キーが発行されていることを確認します。 セキュリティを強化するには、Azure Active Directory (Azure AD) のマネージド ID 機能を使用します。 このためにアプリケーションに必要なのは、構成値にアクセスするための構成エンドポイント URL のみです。

Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、次のようにアクセスを制限します。

  • 機密データを独自の App Configuration リソースに分離し、それに合わせて RBAC ポリシーを割り当てて、許可されたアクセスのみが有効になるようにします。
  • ネットワークベースのアクセス制御を使用します。
  • Azure サービスでの特定の制御 (SQL データベースやその他のデータベースでの暗号化など) や、一貫したアクセス制御を実現するため、すべての種類のアクセス制御を企業のセグメント化戦略に合わせる必要があります。
  • 企業のセグメント化戦略では、機密またはビジネスに重要なデータやシステムの場所からも通知される必要があります。

詳細については、次のリファレンスを参照してください。

責任: 共有

DP-3:機密データの不正転送を監視する

ガイダンス:企業が可視および制御できる範囲外の場所にデータが不正に転送されるのを監視することができます。 これには通常、不正なデータ流出を示す可能性のある異常な活動 (大規模または異常な転送) の監視が含まれます。

Azure アプリ構成自体は機密データの不正な転送を監視しませんが、これらの機能のために Microsoft によって管理される基になるプラットフォームに依存します。 App Configurationは、Key Vault アラートの Defender をサポートする Azure Key Vaultと組み合わせて使用できます。

Azure Information Protection (AIP) には、分類およびラベル付けされた情報を監視する機能があります。

データ損失対策 (DLP) に準拠する必要がある場合、ホスト ベースの DLP ソリューションを使用して、検出および予防コントロールを適用してデータ流出を回避できます。

責任: Microsoft

DP-4:転送中の機密情報を暗号化する

ガイダンス:アクセス制御を補完するため、暗号化を使用して、転送中のデータを "帯域外" 攻撃 から保護する必要があります。 これにより、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。

Azure App Configuration は、すべての HTTP 要求に TLS 暗号化を使用します。 Azure インフラストラクチャは、ネットワーク レベルの暗号化レイヤーを提供することで、Azure データセンター間のすべての要求を守ります。 HTTP トラフィックの場合、App Configuration リソースに接続するすべてのクライアントのネゴシエートには、必ず TLS v1.2 以上を使用します。

責任: 共有

DP-5:保存データを暗号化する

ガイダンス:保存データを "帯域外" 攻撃 (基になっているストレージへのアクセスなど) から保護するには、アクセス制御を補完する暗号化を使用する必要があります。 これにより、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。

Azure では、既定で保存データが暗号化されます。 機密性の高いデータには、保存されている利用可能なすべての Azure リソースに、オプションで暗号化を追加できます。 既定では Azure によってお使いの暗号化キーが管理されますが、Azure App Configuration に対して、お使いの独自のキー (カスタマー マネージド キー) を管理するオプションが Azure により提供されています。

責任: Customer

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ リスクの監視は、セキュリティ チームの責任の構造に応じて、中央のセキュリティ チームまたはローカル チームの責任になります。 ただし、セキュリティ分析情報とリスクは、常に組織内で一元的に集計する必要があります。

セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に幅広く適用することも、管理グループまたは特定のサブスクリプションにスコープ指定することもできます。

注:ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。

責任: Customer

AM-2:セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス:セキュリティ チームが、Azure App Configuration などの Azure 上の資産の継続的に更新されるインベントリに確実にアクセスできるようにします。 セキュリティ チームは、組織が新たなリスクにさらされる可能性を評価するため、および継続的なセキュリティ改善への入力として、このインベントリを必要とすることがよくあります。 Azure Active Directory (Azure AD) グループを作成して、社内の承認されたセキュリティ チームをそのグループに含め、すべての Azure App Configuration リソースに対する読み取りアクセス権を割り当てます。これは、サブスクリプション内の 1 つに高レベルのロールを割り当てることで簡略化できます。

Microsoft Defender for Cloud インベントリ機能と Azure Resource Graph を使用すると、クエリを実行してサブスクリプション内のすべてのリソース (Azure サービス、アプリケーション、ネットワーク リソースなど) を検出できます。

Azure リソース、リソース グループ、サブスクリプションにタグを適用して、それらを論理的に分類できます。 各タグは、名前と値のペアで構成されます。 たとえば、運用環境のすべてのリソースには名前 "環境" と値 "運用" を適用できます。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス:Azure App Configuration は、Azure Policy を使用した、Azure Resource Manager ベースの展開と構成の適用をサポートしています。 Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-2:Azure ID とアクセスの管理のために脅威検出を有効にする

ガイダンス:App Configuration は、Azure Active Directory (Azure AD) と統合されています。 App Configuration では、次のユーザー ログが記録され、これは Azure AD レポートで確認できます。また、より高度な監視と分析のユース ケースの場合は、Azure Monitor、Microsoft Sentinel、またはその他の SIEM/監視ツールと統合できます。

  • サインイン - サインイン レポートは、マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報を提供します。
  • 監査ログ - Azure AD 内のさまざまな機能によって行われたすべての変更についてログによる追跡可能性を提供します。 監査ログの例として、ユーザー、アプリ、グループ、ロール、ポリシーの追加や削除など、Azure AD 内のあらゆるリソースに加えられた変更があります。
  • リスクの高いサインイン - リスクの高いサインインは、ユーザー アカウントの正当な所有者ではない人によって行われた可能性があるサインイン試行の指標です。
  • リスクのフラグ付きユーザー - リスクの高いユーザーは、侵害された可能性があるユーザー アカウントの指標です。

Microsoft Defender for Cloud では、認証試行の失敗回数が多すぎるなどの特定の不審なアクティビティや、サブスクリプションでの非推奨アカウントに対して警告することもできます。 基本のセキュリティ検疫監視に加え、Microsoft Defender for Cloud の Threat Protection モジュールは、Azure サービス レイヤーのより詳しいセキュリティ アラートを収集します。 この機能により、個々のリソース内でアカウントの異常を確認できます。

App Configuration 構成リソースにアクセスするための別の方法は、アクセス キーを使用することです。 許可されていないエージェントによる構成リソースへのアクセスを防止するため、これらは、定期的にローテーションする必要があります。 ローテーションは、ポータルでアクセス キーに対して直接行えます。

責任: Customer

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス:Azure App Configuration によって、仮想ネットワークにリソースが直接デプロイされることはありません。 ただし、App Configuration では、プライベート エンドポイントを使用して、仮想ネットワークから Azure App Configuration に安全に接続できます。 また、Azure App Configuration では、有効にする必要がある DNS クエリ ログの生成や処理も行われません。

構成済みの App Configuration のプライベート エンドポイントでログ記録を有効にし、次を取得します。

  • プライベート エンドポイントによって処理されるデータ (入力/出力)
  • Private Link サービスによって処理されるデータ (入力/出力)
  • NAT ポートの使用可能性

詳細については、次のリファレンスを参照してください。

責任: Customer

LT-4:Azure リソースのログ記録を有効にする

ガイダンス:自動的に利用できるアクティビティ ログには、読み取り操作 (GET) を除く、App Configuration リソースに対するすべての書き込み操作 (PUT、POST、DELETE) が含まれています。 アクティビティ ログを使用すると、トラブルシューティング時にエラーを見つけたり、組織内のユーザーがリソースをどのように変更したかを監視したりできます。 App Configuration の場合、アクティビティ ログはコントロール プレーンでのみ利用でき、Azure Resource Manager (ARM) に表示されます。 App Configuration の顧客向けデータ プレーンのログ記録は、現在サポートされていません。 Azure リソースのログも構成できません。

責任: Customer

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス:ログ記録のストレージと分析を一元化して、相関関係を有効にします。 ログ ソースごとに、データ所有者、アクセス ガイダンス、ストレージの場所、データの処理とアクセスに使用するツール、データ保持の要件を割り当てたことを確認します。

Azure アクティビティ ログを一元的なログ記録に統合していることを確認します。 Azure Monitor を介してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されたセキュリティ データを集計します。 Azure Monitor で Log Analytics ワークスペースを使用してクエリを発行し、分析を実行して、長期のアーカイブ ストレージには Azure Storage アカウントを使用します。

さらに、Microsoft Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードします。 多くの組織では、頻繁に使用される "ホット" データに対しては Microsoft Sentinel を、使用頻度の低い "コールド" データに対しては Azure Storage を使用することを選択しています。

責任: Customer

LT-6:ログの保持期間を構成する

ガイダンス:App Configuration ログを格納するために使用されるすべてのストレージ アカウントまたは Log Analytics ワークスペースに、組織のコンプライアンス規則に従ったログの保有期間が設定されていることを確認します。 長期ストレージおよびアーカイブ ストレージには、Azure Storage、Data Lake、または Log Analytics ワークスペースのアカウントを使用します。

Azure Monitor で、組織のコンプライアンス規則に従って Log Analytics ワークスペースの保持期間を設定できます。

責任: Customer

LT-7:承認された時刻同期ソースを使用する

ガイダンス: Azure App Configuration では、独自の時刻同期ソースの構成はサポートされていません。 Azure App Configuration サービスは Microsoft の時刻同期ソースに依存しており、構成のために顧客に公開されてはいません。

責任: Microsoft

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: Azure App Configuration は、Azure リソースの構成の監査と適用のために Azure Microsoft Defender for Cloud に用意されている次のサービス固有のポリシーをサポートしています。 これは、Microsoft Defender for Cloud または Azure Policy のイニシアティブで構成できます。

  • App Configuration では、カスタマー マネージド キーを使用する必要がある: カスタマー マネージド キーは、暗号化キーを管理できるようにすることで、データ保護を強化します。 これは、多くの場合、コンプライアンス要件を満たすために必要となります。
  • App Configuration はプライベート リンクを使用する必要があります。プライベート エンドポイント接続を使用すると、仮想ネットワーク上のクライアントは、プライベート リンク経由で Azure App Configuration に安全にアクセスできます。

Azure Blueprints を使用すると、1 つのブループリント定義で、Azure Resource Manager テンプレート、Azure RBAC コントロール、ポリシーなど、サービスとアプリケーション環境のデプロイと構成を自動化することができます。

責任: 共有

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: Microsoft Defender for Cloud を使用して、構成基準を監視し、Azure Policy の使用を強制します。 App Configuration の Azure Policy には次が含まれます。

  • App Configuration では、カスタマー マネージド キーを使用する必要がある: カスタマー マネージド キーは、暗号化キーを管理できるようにすることで、データ保護を強化します。 これは、多くの場合、コンプライアンス要件を満たすために必要となります。
  • App Configuration はプライベート リンクを使用する必要があります。プライベート エンドポイント接続を使用すると、仮想ネットワーク上のクライアントは、プライベート リンク経由で Azure App Configuration に安全にアクセスできます。

詳細については、次のリファレンスを参照してください。

責任: 共有

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Azure App Configuration はPaaSオファリングであり、脆弱性評価ツールをサポートする顧客向けコンピューティング リソースはデプロイしません。 Microsoft が、App Configuration をサポートする基礎となるプラットフォームの脆弱性と評価を処理します。

責任: Microsoft

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: Azure App Configuration は PaaS オファリングです。 脆弱性評価ツールをサポートする顧客向けコンピューティング リソースはデプロイできません。 Microsoft が、App Configuration をサポートする基礎となるプラットフォームの脆弱性と評価を処理します。

責任: Microsoft

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス:必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。 お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-1:エンドポイントでの検出と対応 (EDR) を使用する

ガイダンス: Azure App Configuration は、エンドポイントでの検出と対応 (EDR) の保護を顧客が構成する必要がある顧客向けコンピューティング リソースをデプロイしません。 App Configuration の基盤となるインフラストラクチャは Microsoft によって処理されます。これには、マルウェア対策と EDR の処理が含まれます。

責任: Microsoft

ES-2:一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス: Azure App Configuration は、マルウェア対策保護を構成する必要があるお客様向けコンピューティング リソースをデプロイしません。 App Configuration の基盤となるインフラストラクチャは Microsoft によって処理されます。これには、マルウェア対策の処理が含まれます。

責任: Microsoft

ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

ガイダンス: Azure App Configuration は、マルウェア対策の署名の着実な更新を顧客が行う必要がある顧客向けコンピューティング リソースをデプロイしません。 App Configuration の基盤となるインフラストラクチャは Microsoft によって処理されます。これには、マルウェア対策の処理が含まれます。

責任: Microsoft

バックアップと回復

詳細については、Azure セキュリティ ベンチマークの「バックアップと回復」を参照してください。

BR-4:キー紛失のリスクを軽減する

ガイダンス:キーの紛失を回避および回復する手段を確保します。 Azure Key Vault で論理的な削除と消去保護を有効にして、キーが偶発的または悪意から削除されないようにします。

責任: Customer

次のステップ