Azure Cache for Redis の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 1.0 のガイダンスが Azure Cache for Redis に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、Azure セキュリティ ベンチマークと、Azure Cache for Redis に適用される関連ガイダンスで定義されているセキュリティ コントロールによってグループ化されています。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ダッシュボードの [規制コンプライアンス] セクションに一覧表示されます。

セクションに関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するために、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Azure Cache for Redis に適用されないコントロール、または Microsoft が責任を持つものは、除外されています。 Azure Cache for Redis を Azure セキュリティ ベンチマークに完全にマップしていることを確認するには、Azure Cache for Redis セキュリティ ベースラインのマッピング ファイルをご覧ください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

1.1:仮想ネットワーク内の Azure リソースを保護する

ガイダンス: 仮想ネットワーク (VNet) 内に Azure Cache for Redis インスタンスをデプロイします。 VNet とは、クラウド内のプライベート ネットワークです。 VNet を使用して Azure Cache for Redis インスタンスを構成する場合、パブリックにアドレスを指定することはできないため、VNet 内の仮想マシンとアプリケーションからしかアクセスできません。

IP アドレス範囲の開始アドレスと終了アドレスで、ファイアウォール規則を指定することもできます。 ファイアウォール ルールを構成すると、指定した IP アドレス範囲からのクライアント接続のみがキャッシュに接続できます。

責任: Customer

1.2:仮想ネットワーク、サブネット、ネットワーク インターフェイスの構成とトラフィックを監視してログに記録する

ガイダンス: Azure Cache for Redis インスタンスと同じ仮想ネットワークに Virtual Machines がデプロイされている場合、ネットワーク セキュリティ グループ (NSG) を使用して、データ窃盗のリスクを軽減することができます。 NSG フロー ログを有効にし、トラフィック監査のためにログを Azure Storage アカウントに送信します。 また、NSG フロー ログを Log Analytics ワークスペースに送信し、Traffic Analytics を使用して Azure クラウド内のトラフィック フローに関する分析情報を提供することもできます。 Traffic Analytics のいくつかの利点として、ネットワーク アクティビティを視覚化してホット スポットを特定したり、セキュリティの脅威を識別したり、トラフィック フロー パターンを把握したり、ネットワークの誤った構成の正確な場所を特定したりする機能が挙げられます。

責任: Customer

1.3:重要な Web アプリケーションを保護する

ガイダンス: 適用できません。この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。

責任: Customer

1.4:既知の悪意のある IP アドレスとの通信を拒否する

ガイダンス: Azure Virtual Network (VNet) のデプロイにより、Azure Cache for Redis のセキュリティと分離が強化されると共に、サブネット、アクセス制御ポリシー、アクセスをさらに制限する他の機能も提供されます。 VNet にデプロイされると、Azure Cache for Redis はパブリックにアドレスを指定することはできないため、VNet 内の仮想マシンとアプリケーションからしかアクセスできません。

Azure Cache for Redis インスタンスに関連付けられた VNet 上で DDoS Protection Standard を有効にして、分散型サービス拒否 (DDoS) 攻撃から保護します。 Microsoft Defender for Cloud の統合された脅威インテリジェンスを使用して、既知の悪意のある、または未使用のインターネット IP アドレスとの通信を拒否します。

責任: Customer

1.5:ネットワーク パケットを記録する

ガイダンス:Azure Cache for Redis インスタンスと同じ仮想ネットワークに Virtual Machines がデプロイされている場合、ネットワーク セキュリティ グループ (NSG) を使用して、データ窃盗のリスクを軽減することができます。 NSG フロー ログを有効にし、トラフィック監査のためにログを Azure Storage アカウントに送信します。 また、NSG フロー ログを Log Analytics ワークスペースに送信し、Traffic Analytics を使用して Azure クラウド内のトラフィック フローに関する分析情報を提供することもできます。 Traffic Analytics のいくつかの利点として、ネットワーク アクティビティを視覚化してホット スポットを特定したり、セキュリティの脅威を識別したり、トラフィック フロー パターンを把握したり、ネットワークの誤った構成の正確な場所を特定したりする機能が挙げられます。

責任: Customer

1.6:ネットワーク ベースの侵入検出/侵入防止システム (IDS/IPS) をデプロイする

ガイダンス: Azure App Service またはコンピューティング インスタンスで実行されている Web アプリケーションで Azure Cache for Redis を使用する場合は、Azure Virtual Network (VNet) 内にすべてのリソースをデプロイし、Web Application Gateway で Azure Web アプリケーション ファイアウォール (WAF) を使用してセキュリティ保護します。 "防止モード" で実行されるように WAF を構成します。 防止モードにより、規則で検出された侵入や攻撃がブロックされます。 攻撃者に "403 不正アクセス" の例外が送信され、接続が終了します。 防止モードでは、このような攻撃を WAF ログに記録します。

または、Azure Marketplace から、ペイロード検査や異常検出能力を備えた IDS または IPS 機能をサポートするプランを選択することもできます。

責任: Customer

1.7:Web アプリケーションへのトラフィックを管理する

ガイダンス: 適用できません。この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。

責任: Customer

1.8:ネットワーク セキュリティ規則の複雑さと管理オーバーヘッドを最小限に抑える

ガイダンス: ネットワーク セキュリティ グループ (NSG) または Azure Firewall でのネットワーク アクセス制御を定義するには、仮想ネットワーク サービス タグを使用します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 規則の適切なソースまたは宛先フィールドにサービス タグ名 (ApiManagement など) を指定することにより、対応するサービスのトラフィックを許可または拒否できます。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。

また、アプリケーション セキュリティグループ (ASG) を使用して、複雑なセキュリティ構成を簡略化することもできます。 ASG を使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、仮想マシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。

責任: Customer

1.9:ネットワーク デバイスの標準的なセキュリティ構成を維持する

ガイダンス: Azure Policy を使用して、Azure Cache for Redis インスタンスに関連するネットワーク リソースの標準的なセキュリティ構成を定義して実装します。 Azure Cache for Redis インスタンスのネットワーク構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft.Cache" と "Microsoft.Network" の名前空間で Azure Policy エイリアスを使用します。 次のように、組み込みのポリシー定義を使用することもできます。

  • Redis Cache に対してセキュリティで保護された接続のみを有効にする必要がある

  • DDoS Protection Standard を有効にする必要がある

また、Azure Blueprints を使用して、Azure Resource Manager (ARM) テンプレート、Azure ロールベースのアクセス制御 (Azure RBAC)、ポリシーなどの主要な環境成果物を単一のブループリント定義にパッケージ化することによって大規模な Azure デプロイを簡略化することもできます。 ブループリントを新しいサブスクリプションと環境に簡単に適用し、バージョン管理によって制御と管理を微調整します。

責任: Customer

1.10:トラフィック構成規則を文書化する

ガイダンス: Azure Cache for Redis デプロイに関連付けられているネットワーク リソースを各分類に論理的に編成するために、それらのリソースにタグを使用します。

責任: Customer

1.11:自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する

ガイダンス: Azure アクティビティ ログを使用して、ネットワーク リソース構成を監視し、Azure Cache for Redis インスタンスに関連するネットワーク リソースの変更を検出します。 重要なネットワーク リソースへの変更が発生するとトリガーされる Azure Monitor 内のアラートを作成します。

責任: Customer

ログ記録と監視

詳細については、Azure セキュリティ ベンチマークの「ログ記録と監視」を参照してください。

2.2:セキュリティ ログの一元管理を構成する

ガイダンス: Azure アクティビティ ログの診断設定を有効にして、Log Analytics ワークスペース、Azure イベント ハブ、または Azure ストレージア カウントにログを送信してアーカイブします。 アクティビティ ログは、コントロール プレーン レベルで Azure Cache for Redis インスタンスで実行された操作に関する分析情報を提供します。 Azure アクティビティ ログのデータを使用すると、Azure Cache for Redis インスタンスのコントロール プレーン レベルで実行された書き込み操作 (PUT、POST、DELETE) について、"いつだれが何を" 行ったのかを確認できます。

責任: Customer

2.3:Azure リソースの監査ログ記録を有効にする

ガイダンス: Azure アクティビティ ログの診断設定を有効にして、Log Analytics ワークスペース、Azure イベント ハブ、または Azure ストレージア カウントにログを送信してアーカイブします。 アクティビティ ログは、コントロール プレーン レベルで Azure Cache for Redis インスタンスで実行された操作に関する分析情報を提供します。 Azure アクティビティ ログのデータを使用すると、Azure Cache for Redis インスタンスのコントロール プレーン レベルで実行された書き込み操作 (PUT、POST、DELETE) について、"いつだれが何を" 行ったのかを確認できます。

診断設定を有効にすることによってメトリックは使用可能になりますが、データ プレーンでの監査ログは Azure Cache for Redis ではまだ利用できません。

責任: Customer

2.5:セキュリティ ログのストレージ保持を構成する

ガイダンス: Azure Monitor で、組織のコンプライアンス規則に従って、Azure Cache for Redis インスタンスに関連付けられている Log Analytics ワークスペースのログの保有期間を設定します。

データ プレーンでの監査ログは、Azure Cache for Redis ではまだ使用できないことに注意してください。

責任: Customer

2.6:ログを監視して確認する

ガイダンス: Azure アクティビティ ログの診断設定を有効にし、Log Analytics ワークスペースにログを送信します。 Log Analytics でクエリを実行して、用語の検索、傾向の特定、パターンの分析を行い、Azure Cache for Redis 用に収集された可能性があるアクティビティ ログ データに基づいて、多くの他の分析情報を提供します。

データ プレーンでの監査ログは、Azure Cache for Redis ではまだ使用できないことに注意してください。

責任: Customer

2.7:異常なアクティビティについてのアラートを有効にする

ガイダンス: Azure Cache for Redis インスタンスに関連するメトリックとアクティビティ ログに基づいてアラートを受信するように構成できます。 Azure Monitor を使用すると、電子メール通知の送信、Webhook の呼び出し、または Azure Logic App の呼び出しを行うようにアラートを構成できます。

診断設定を有効にすることによってメトリックは使用可能になりますが、データ プレーンでの監査ログは Azure Cache for Redis ではまだ利用できません。

責任: Customer

ID およびアクセス制御

詳細については、Azure セキュリティ ベンチマークの「ID およびアクセス制御」を参照してください。

3.1: 管理アカウントのインベントリを維持する

ガイダンス: Azure Active Directory (Azure AD) には、明示的に割り当てる必要があるためにクエリ可能である組み込みロールがあります。 Azure AD PowerShell モジュールを使用してアドホック クエリを実行し、管理グループのメンバーであるアカウントを検出します。

責任: Customer

3.2: 既定のパスワードを変更する (該当する場合)

ガイダンス: Azure Cache for Redis へのコントロール プレーン アクセスは、Azure Active Directory (Azure AD) を介して制御されます。 Azure AD には既定のパスワードという概念がありません。

Azure Cache for Redis へのデータ プレーンアクセスは、アクセス キーを使用して制御されます。 これらのキーは、キャッシュに接続するクライアントによって使用され、いつでも再生成できます。

アプリケーションに既定のパスワードを組み込むことは推奨されません。 代わりに、パスワードを Azure Key Vault に格納し、Azure AD を使用して取得できます。

責任: 共有

3.3: 専用管理者アカウントを使用する

ガイダンス: 専用管理者アカウントの使用に関する標準的な操作手順を作成します。 Microsoft Defender for Cloud の ID およびアクセス管理を使用して、管理アカウントの数を監視します。

さらに、専用管理者アカウントを追跡できるように、Microsoft Defender for Cloud または組み込みの Azure ポリシーの次のような推奨事項を使用することもできます。

  • 複数の所有者がサブスクリプションに割り当てられている必要がある

  • 所有者としてのアクセス許可を持つ非推奨のアカウントをサブスクリプションから削除する必要がある

  • 所有者アクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある

詳細については、次のリファレンスを参照してください。

責任: Customer

3.4: Azure Active Directory シングル サインオン (SSO) を使用する

ガイダンス: Azure Cache for Redis では、アクセス キーを使用してユーザーを認証します。データプ レーン レベルでのシングル サインオン (SSO) はサポートしていません。 Azure Cache for Redis のコントロール プレーンへのアクセスは、REST API 経由で行うことができ、SSO がサポートされています。 認証を行うには、要求の Authorization ヘッダーを、Azure Active Directory (Azure AD) から取得した JSON Web トークンに設定します。

責任: Customer

3.5: すべての Azure Active Directory ベースのアクセスに多要素認証を使用する

ガイダンス: Azure Active Directory (Azure AD) 多要素認証を有効にし、Microsoft Defender for Cloud の ID およびアクセス管理の推奨事項に従います。

責任: Customer

3.6: すべての管理タスクに専用マシン (特権アクセス ワークステーション) を使用する

ガイダンス:多要素認証が構成された特権アクセス ワークステーション (PAW) を使用して Azure リソースにログインし、そのリソースを構成します。

責任: Customer

3.7: 管理者アカウントからの疑わしいアクティビティに関するログとアラート

ガイダンス: Azure Active Directory (Azure AD) Privileged Identity Management (PIM) を使用して、環境内で疑わしいアクティビティまたは安全ではないアクティビティが発生したときにログとアラートを生成します。

また、Azure AD のリスク検出を使用して、危険なユーザーの行動に関するアラートとレポートを表示します。

責任: Customer

3.8:承認された場所からのみ Azure リソースを管理する

ガイダンス: Azure Active Directory (Azure AD) 条件付きアクセスのネームド ロケーションを、IP アドレス範囲または国や地域の特定の論理グループからのアクセスのみ許可するように構成します。

責任: Customer

3.9: Azure Active Directory を使用する

ガイダンス: Azure Active Directory (Azure AD) を中央認証と承認システムとして使用します。 Azure AD でデータを保護するには、保存データと転送中のデータに強力な暗号化を使用します。 また、Azure AD では、ユーザーの資格情報がソルト化およびハッシュされ、安全に格納されます。

Azure Cache for Redis のデータ プレーンに直接アクセスするために Azure AD 認証を使用することはできません。ただし、Azure AD の資格情報は、Azure Cache for Redis アクセス キーを制御するためにコントロール プレーン レベル (つまり、Azure portal) での管理に使用される場合があります。

責任: Customer

3.10: ユーザー アクセスを定期的に確認して調整する

ガイダンス: Azure Active Directory (Azure AD) では、古いアカウントの検出に役立つログが提供されます。 また、Azure ID アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理します。 ユーザー アクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。

責任: Customer

3.11: 非アクティブ化された資格情報へのアクセスの試行を監視する

ガイダンス:Azure Active Directory (Azure AD) サインイン アクティビティ、監査、リスク イベント ログのソースにアクセスできるため、Microsoft Sentinel またはサード パーティの SIEM と統合できます。

このプロセスを効率化するには、Azure AD ユーザー アカウントの診断設定を作成し、監査ログとサインイン ログを Log Analytics ワークスペースに送信します。 Log Analytics 内で必要なログ アラートを構成できます。

責任: Customer

3.12: アカウント サインイン動作の偏差に関するアラートを生成する

ガイダンス: コントロール プレーンでのアカウント ログイン動作の偏差について、Azure Active Directory (Azure AD) Identity Protection とリスク検出機能を使用して、ユーザー ID に関連して検出された疑わしいアクションへの自動応答を構成します。 Microsoft Sentinel にデータを取り込んで、さらに詳しく調査することもできます。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

4.1: 機密情報のインベントリを維持する

ガイダンス: 機密情報を格納または処理する Azure リソースを追跡しやすくするには、タグを使用します。

責任: Customer

4.2:機密情報を格納または処理するシステムを分離する

ガイダンス:開発、テスト、および運用で別々のサブスクリプションまたは管理グループ、あるいはその両方を実装します。 Azure Cache for Redis インスタンスは、仮想ネットワーク/サブネットで分離し、適切にタグ付けする必要があります。 必要に応じて、Azure Cache for Redis ファイアウォールを使用して規則を定義し、指定した IP アドレス範囲からのクライアント接続のみがキャッシュに接続できるようにします。

責任: Customer

4.3:機密情報の承認されていない転送を監視してブロックする

ガイダンス: まだ使用できません。Azure Cache for Redis では、データの識別、分類、損失防止機能はまだ使用できません。

Microsoft では、Azure Cache for Redis 用の基になるインフラストラクチャを管理し、顧客データの損失や漏洩を防ぐための厳格な管理を実施してきました。

責任: 共有

4.4:転送中のすべての機密情報を暗号化する

ガイダンス:Azure Cache for Redis では、TLS で暗号化された通信が既定で必要です。 現在、TLS バージョン 1.0、1.1、および 1.2 がサポートされています。 ただし、TLS 1.0 と 1.1 は業界全体で非推奨になる予定であるため、可能であれば TLS 1.2 を使用してください。 お使いのクライアント ライブラリまたはツールで TLS がサポートされていない場合は、Azure portal または管理 API を使用して、暗号化されていない接続を有効にすることができます。 暗号化された接続ができない場合は、キャッシュとクライアント アプリケーションを仮想ネットワークに配置することをお勧めします。

責任: 共有

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Cache:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します Audit、Deny、Disabled 1.0.0

4.5:アクティブ検出ツールを使用して機密データを特定する

ガイダンス: Azure Cache for Redis では、データの識別、分類、損失防止機能はまだ使用できません。 機密情報が含まれているインスタンスにタグを付け、コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。

Microsoft によって管理される基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護するためにあらゆる手段を尽くします。 Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。

責任: Customer

4.6:ロールベースのアクセス制御を使用してリソースへのアクセスを制御する

ガイダンス: Azure のロールベースのアクセス制御 (Azure RBAC) を使用して、Azure Cache for Redis コントロール プレーン (つまり、 Azure portal) へのアクセスを制御します。

責任: Customer

4.8:機密情報を保存時に暗号化する

ガイダンス:Azure Cache for Redis は顧客データをメモリに格納します。メモリは、Microsoft によって実装される多くのコントロールで強固に保護されていますが、既定では暗号化されません。 組織で必要な場合は、Azure Cache for Redis に格納する前にコンテンツを暗号化してください。

Azure Cache for Redis の "Redis データの永続化" 機能を使用している場合は、所有して管理している Azure Storage アカウントにデータが送信されます。 永続化の構成は、キャッシュの作成中に [New Azure Cache for Redis](新規 Azure Cache for Redis) ブレードから、および既存の Premium キャッシュ用の [リソース] メニューで行うことができます。

Azure Storage 内のデータは、利用可能な最強のブロック暗号の 1 つである 256 ビット AES 暗号化を使って透過的に暗号化および暗号化解除され、FIPS 140-2 に準拠しています。 Azure Storage 暗号化を無効にすることはできません。 Microsoft のマネージド キーを利用してストレージ アカウントを暗号化することも、独自のキーで暗号化を管理することもできます。

責任: 共有

4.9:重要な Azure リソースへの変更に関するログとアラート

ガイダンス: Azure Cache for Redis の運用インスタンスやその他の重要なリソースまたは関連リソースへの変更がいつ発生したかに関するアラートを作成するには、Azure Monitor と Azure アクティビティ ログを使用します。

責任: Customer

脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「脆弱性の管理」を参照してください。

5.1:自動化された脆弱性スキャン ツールを実行する

ガイダンス: Azure Cache for Redis インスタンスおよび関連リソースの保護に関する Microsoft Defender for Cloud の推奨事項に従ってください。

Microsoft では、Azure Cache for Redis をサポートしている基になるシステムで脆弱性の管理を行います。

責任: 共有

インベントリと資産の管理

詳細については、Azure セキュリティ ベンチマークの「インベントリと資産の管理」を参照してください。

6.1:自動化された資産検出ソリューションを使用する

ガイダンス:Azure Resource Graph を使用して、サブスクリプション内のすべてのリソース (コンピューティング、ストレージ、ネットワーク、ポート、プロトコルなど) のクエリまたは検出を行います。 テナントで適切な (読み取り) アクセス許可を確認し、サブスクリプション内のリソースだけでなく、すべての Azure サブスクリプションを列挙します。

従来の Azure リソースは Resource Graph で検出できますが、今後は Azure Resource Manager リソースを作成して使用することを強くお勧めします。

責任: Customer

6.2:資産メタデータを保持する

ガイダンス:メタデータを提供する Azure リソースにタグを適用すると、それらのリソースが各分類に論理的に整理されます。

責任: Customer

6.3:承認されていない Azure リソースを削除する

ガイダンス: 必要に応じて、タグ付け、管理グループ、および個別のサブスクリプションを使用して、Azure Cache for Redis インスタンスと関連リソースの整理と追跡を行います。 定期的にインベントリを調整し、承認されていないリソースがサブスクリプションから適切なタイミングで削除されるようにします。

さらに、Azure Policy を使用し、次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類を制限します。

  • 許可されないリソースの種類

  • 許可されるリソースの種類

詳細については、次のリファレンスを参照してください。

責任: Customer

6.5:承認されていない Azure リソースを監視する

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。

  • 許可されないリソースの種類
  • 許可されるリソースの種類

また、Azure Resource Graph を使用すると、サブスクリプション内のリソースのクエリまたは検出を行えます。

責任: Customer

6.9:承認された Azure サービスのみを使用する

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。

  • 許可されないリソースの種類

  • 許可されるリソースの種類

詳細については、次のリファレンスを参照してください。

責任: Customer

6.11:Azure Resource Manager を操作するユーザーの機能を制限する

ガイダンス:Azure Resource Manager (ARM) を操作するユーザーの権限を制限するように Azure Conditional Access を構成するには、"Microsoft Azure 管理" アプリに対して [アクセスのブロック] を構成します。

責任: Customer

セキュリティで保護された構成

詳細については、Azure セキュリティ ベンチマークの「セキュリティで保護された構成」を参照してください。

7.1:すべての Azure リソースに対してセキュリティで保護された構成を確立する

ガイダンス: Azure Policy を使用して、Azure Cache for Redis インスタンスの標準的なセキュリティ構成を定義して実装します。 Azure Cache for Redis インスタンスの構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft.Cache" 名前空間で Azure Policy エイリアスを使用します。 次のように、Azure Cache for Redis インスタンスに関連する組み込みのポリシー定義を使用することもできます。

  • Redis Cache に対してセキュリティで保護された接続のみを有効にする必要がある

詳細については、次のリファレンスを参照してください。

責任: Customer

7.3:セキュリティで保護された Azure リソースの構成を維持する

ガイダンス: Azure リソース全体にセキュリティで保護された設定を適用するには、Azure Policy の [deny] と [deploy if not exist] を使用します。

責任: Customer

7.5:Azure リソースの構成を安全に格納する

ガイダンス: Azure Cache for Redis インスタンスおよび関連リソースにカスタムの Azure Policy 定義または Azure Resource Manager テンプレートを使用している場合は、Azure Repos を使用してコードを安全に格納して管理します。

責任: Customer

7.7:Azure リソース用の構成管理ツールをデプロイする

ガイダンス: "Microsoft.Cache" 名前空間で Azure Policy エイリアスを使用して、システム構成のアラート通知、監査、適用を行うためのカスタム ポリシーを作成します。 さらに、ポリシー例外を管理するためのプロセスとパイプラインを作成します。

責任: Customer

7.9:Azure リソースの自動構成監視を実装する

ガイダンス: "Microsoft.Cache" 名前空間で Azure Policy エイリアスを使用して、システム構成のアラート通知、監査、適用を行うためのカスタム ポリシーを作成します。 Azure Policy の [audit]、[deny]、[deploy if not exist] を使用して、ご自分の Azure Cache for Redis インスタンスおよび関連リソースの構成を自動的に適用します。

責任: Customer

7.11:Azure シークレットを安全に管理する

ガイダンス: Azure Cache for Redis インスタンスへのアクセスに使用されている Azure App Service で実行中の Azure 仮想マシンまたは Web アプリでは、マネージド サービス ID を Azure Key Vault と組み合わせて使用して、Azure Cache for Redis のシークレット管理を簡素化および保護します。 Key Vault の論理的な削除が有効になっていることを確認します。

責任: Customer

7.12:ID を安全かつ自動的に管理する

ガイダンス: Azure Cache for Redis インスタンスへのアクセスに使用されている Azure App Service で実行中の Azure 仮想マシンまたは Web アプリでは、マネージド サービス ID を Azure Key Vault と組み合わせて使用して、Azure Cache for Redis のシークレット管理を簡素化および保護します。 Key Vault の論理的な削除が有効になっていることを確認します。

マネージド ID を使用して、Azure Active Directory (Azure AD) で自動的に管理される ID を Azure サービスに提供します。 マネージド ID を使用すると、コード内に資格情報を記述することなく、Azure AD 認証をサポートする任意のサービス (Azure Key Vault を含む) に対して認証できます。

責任: Customer

7.13:意図しない資格情報の公開を排除する

ガイダンス: コード内で資格情報を特定する資格情報スキャナーを実装します。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。

責任: Customer

マルウェアからの防御

詳細については、Azure セキュリティ ベンチマークの「マルウェアからの防御」を参照してください。

8.2:非コンピューティング Azure リソースにアップロードするファイルを事前にスキャンする

ガイダンス: Microsoft のマルウェア対策は、Azure サービス (Azure Cache for Redis など) をサポートしている基になるホストで有効になっていますが、顧客のコンテンツに対しては実行されません。

App Service、Data Lake Storage、Blob Storage、Azure Database for PostgreSQL などの非コンピューティング Azure リソースにアップロードされるコンテンツはすべて、事前にスキャンしてください。Microsoft は、これらのインスタンス内のデータにアクセスできません。

責任: Customer

データの復旧

詳細については、Azure セキュリティ ベンチマークの「データの復旧」を参照してください。

9.1:定期的な自動バックアップを保証する

ガイダンス: Redis 永続化を有効にします。 Redis の永続化を使用すると、Redis に格納されたデータを保持できます。 また、スナップショットを取得したりデータをバックアップしたりして、ハードウェア障害のときに読み込むことができます。 これは、Basic レベルや Standard レベルにはない大きな利点です。Basic/Standard レベルでは、すべてのデータはメモリに格納され、Cache ノードがダウンするような障害時にはデータが失われる可能性があります。

Azure Cache for Redis Export を使用することもできます。 Export では、Azure Cache for Redis に格納されたデータを、Redis と互換性のある RDB ファイルにエクスポートできます。 この機能を使えば、ある Azure Cache for Redis インスタンスから、別のインスタンスまたは別の Redis サーバーにデータを移動できます。 エクスポート処理中に、Azure Cache for Redis サーバー インスタンスをホストしている仮想マシンに一時ファイルが作成され、そのファイルが、指定されているストレージ アカウントにアップロードされます。 エクスポート処理が完了したら、処理の成否にかかわらず、この一時ファイルは削除されます。

責任: Customer

9.2: システムの完全バックアップを実行し、すべてのカスタマー マネージド キーをバックアップする

ガイダンス: Redis 永続化を有効にします。 Redis の永続化を使用すると、Redis に格納されたデータを保持できます。 また、スナップショットを取得したりデータをバックアップしたりして、ハードウェア障害のときに読み込むことができます。 これは、Basic レベルや Standard レベルにはない大きな利点です。Basic/Standard レベルでは、すべてのデータはメモリに格納され、Cache ノードがダウンするような障害時にはデータが失われる可能性があります。

Azure Cache for Redis Export を使用することもできます。 Export では、Azure Cache for Redis に格納されたデータを、Redis と互換性のある RDB ファイルにエクスポートできます。 この機能を使えば、ある Azure Cache for Redis インスタンスから、別のインスタンスまたは別の Redis サーバーにデータを移動できます。 エクスポート処理中に、Azure Cache for Redis サーバー インスタンスをホストしている仮想マシンに一時ファイルが作成され、そのファイルが、指定されているストレージ アカウントにアップロードされます。 エクスポート処理が完了したら、処理の成否にかかわらず、この一時ファイルは削除されます。

Azure Cache for Redis インスタンスの資格情報を格納するために Azure Key Vault を使用する場合は、キーの定期的な自動バックアップを必ず実行してください。

責任: Customer

9.3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス: Azure Cache for Redis Importを使用します。 Import は、任意のクラウドまたは環境で稼働している任意の Redis サーバー (Linux や Windows のほか、アマゾン ウェブ サービスをはじめとする各種クラウド プロバイダーで稼働している Redis など) から Redis と互換性のある RDB ファイルを取り込むときに使用できます。 データをインポートすると、あらかじめデータが入力されたキャッシュを簡単に作成できます。 インポート処理中に、Azure Cache for Redis では RDB ファイルが Azure Storage からメモリに読み込まれて、キーがキャッシュに挿入されます。

Azure Key Vault シークレットのデータ復元を定期的にテストします。

責任: Customer

インシデント対応

詳細については、Azure セキュリティ ベンチマークの「インシデント対応」を参照してください。

10.1:インシデント対応ガイドを作成する

ガイダンス: 組織のインシデント対応ガイドを作成します。 要員のすべてのロールを定義するインシデント対応計画が記述されていることと、検出からインシデント後のレビューまでのインシデント対応/管理のフェーズがあることを確認します。

責任: Customer

10.2:インシデントのスコアリングと優先順位付けの手順を作成する

ガイダンス: Microsoft Defender for Cloud によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。 重要度は、アラートの発行に使用された検出内容または分析に対する Microsoft Defender for Cloud の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。

さらに、サブスクリプション (運用、非運用など) を明確にマークし、Azure リソースを明確に識別および分類するための命名システムを作成します。

責任: Customer

10.3:セキュリティ対応手順のテスト

ガイダンス:定期的にシステムのインシデント対応機能をテストする演習を実施します。 弱点やギャップを特定し、必要に応じて計画を見直します。

責任: Customer

10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します

ガイダンス:セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) で、不正なユーザーまたは権限のないユーザーによるお客様のデータへのアクセスが検出された場合に、Microsoft からの連絡先として使用されます。 事後にインシデントをレビューして、問題が解決されていることを確認します。

責任: Customer

10.5:インシデント対応システムにセキュリティ アラートを組み込む

ガイダンス: 連続エクスポート機能を使用して Microsoft Defender for Cloud のアラートと推奨事項をエクスポートします。 連続エクスポートを使用すると、アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートできます。 Microsoft Defender for Cloud データ コネクタを使用してアラートを Microsoft Sentinel にストリーミングできます。

責任: Customer

10.6:セキュリティ アラートへの対応を自動化する

ガイダンス: セキュリティ アラートや推奨事項に対して「Logic Apps」経由で応答を自動的にトリガーするには、Microsoft Defender for Cloud のワークフローの自動化機能を使用します。

責任: Customer

侵入テストとレッド チーム演習

詳細については、Azure セキュリティ ベンチマークの「侵入テストとレッド チーム演習」を参照してください。

11.1:Azure リソースの通常の侵入テストを実施し、セキュリティに関する重大な調査結果がすべて、確実に修復されるようにする

ガイダンス: お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

次のステップ