Azure Load Balancer の Azure セキュリティ ベースライン
このセキュリティ ベースラインは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスをAzure Load Balancerに適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと、Azure Load Balancerに適用できる関連ガイダンスによって定義されたセキュリティ コントロールによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。
注意
Azure Load Balancerに適用されない機能は除外されています。 microsoft クラウド セキュリティ ベンチマークに完全にマップAzure Load Balancer方法については、完全なAzure Load Balancerセキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Azure Load Balancerの影響の大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 値 |
|---|---|
| 製品カテゴリ | ネットワーク |
| お客様は HOST/OS にアクセスできます | アクセス権なし |
| サービスは顧客の仮想ネットワークにデプロイできます | False |
| 保存中の顧客コンテンツを格納します | False |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
機能
Virtual Network 統合
説明: サービスは、顧客のプライベート Virtual Network (VNet) へのデプロイをサポートしています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: Azure Load Balancer リソースはVirtual Networkに直接デプロイされませんが、内部 SKU では、ターゲットの Azure Virtual Networkを使用して 1 つ以上のフロントエンド IP 構成を作成できます。
構成ガイダンス: Azure には、Standard と Basic の 2 種類のLoad Balancerオファリングが用意されています。 内部 Azure Load Balancer を使用して、インターネットに公開することなく、特定の仮想ネットワークまたはピアリングされた仮想ネットワーク内からバックエンド リソースへのトラフィックのみを許可します。 送信元ネットワークアドレス変換 (SNAT) を使用して外部ロード バランサーを実装し、インターネットに直接公開されていない保護のためにバックエンド リソースの IP アドレスをマスカレードします。
リファレンス: 内部Load Balancer フロントエンド IP 構成
ネットワーク セキュリティ グループのサポート
説明: サービス ネットワーク トラフィックは、そのサブネットでのネットワーク セキュリティ グループルールの割り当てを尊重します。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: ユーザーは仮想ネットワーク上で NSG を構成できますが、Load Balancerで直接構成することはできません。
構成ガイダンス: ネットワーク セキュリティ グループを実装し、アプリケーションの信頼されたポートと IP アドレス範囲へのアクセスのみを許可します。 バックエンド仮想マシンのバックエンド サブネットまたは NIC にネットワーク セキュリティ グループが割り当てられていない場合、トラフィックはロード バランサーからこれらのリソースにアクセスできません。 Standard Load Balancer は、ネットワーク セキュリティ グループを使用して送信 NAT を定義するための送信規則を提供します。 送信接続の動作を調整するには、これらのアウトバウンド規則を確認します。
Standard Load Balancer は、既定でセキュリティで保護され、プライベートであり分離された仮想ネットワークの一部として設計されています。 許可されたトラフィックを明示的に許可し、既知の悪意のある IP アドレスを許可しないように、ネットワーク セキュリティ グループによって開かれている場合を除き、受信フローに閉じられます。 サブネットまたは仮想マシン リソースの NIC のネットワーク セキュリティ グループがロード バランサーの背後に存在しない場合、トラフィックはこのリソースに接続できません。
注: 運用環境のワークロードにはStandard Load Balancerを使用することをお勧めします。通常、Basic Load Balancerはテストにのみ使用されます。基本の種類は既定でインターネットからの接続に対して開かれているため、操作にネットワーク セキュリティ グループは必要ありません。
リファレンス: フロントエンド IP 構成Azure Load Balancer
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.Network:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
機能
Azure Policy のサポート
説明: サービス構成は、Azure Policyを使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Policyを使用して、Azure リソースの標準セキュリティ構成を定義して実装します。 特定のAzure Load Balancer リソースに関連する組み込みのポリシー定義を割り当てます。 使用可能な組み込みのポリシー定義がない場合は、Azure Policyエイリアスを使用して、'Microsoft.Network' 名前空間内のAzure Load Balancer リソースの構成を監査または適用するカスタム ポリシーを作成できます。
次のステップ
- Microsoft クラウド セキュリティ ベンチマークの概要を参照してください
- Azure セキュリティ ベースラインの詳細について学習する