Azure Backup 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Azure Backup に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、セキュリティ制御によってグループ化されています。これは、Azure セキュリティ ベンチマークと、Azure Backup に適用できる関連ガイダンスによって定義されています。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ダッシュボードの [規制コンプライアンス] セクションに一覧表示されます。

セクションに関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するために、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Azure Backup に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Azure Backup を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Azure Backup セキュリティ ベースライン マッピング ファイルを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス: Azure Backup では、仮想ネットワークへの直接デプロイはサポートされていません。 Backup は、ネットワーク セキュリティ グループ、ルート テーブル、ネットワーク依存アプライアンス (Azure Firewall など) のようなネットワーク機能を使用できません。

Microsoft Sentinel を使用して、次のような従来の安全でないプロトコルの使用を検出します。

  • トランスポート層セキュリティ (TLS) v1

  • サーバー メッセージ ブロック (SMB) v1

  • LAN Manager (LM) または New Technology LAN Manager (NTLM) v1

  • wDigest

  • 署名されていないライトウェイト ディレクトリ アクセス プロトコル (LDAP) のバインド

  • Kerberos の脆弱な暗号

すべてのオファリングは、Microsoft Azure Recovery Services (MARS) エージェントのバックアップを除いて、TLS 1.2 以降を強制します。 MARS エージェントのバックアップのみに対して、Backup は、2021 年 9 月 1 日まで TLS 1.1 以前をサポートします。 それ以降は、MARS エージェントのバックアップでも TLS 1.2 以降が強制されます。

Azure VM 上で SQL サーバーと SAP HANA インスタンスをバックアップする場合は、特定の完全修飾ドメイン名 (FQDN) にアクセスするためやサービス タグを使用中にポート 443 への発信アクセスを許可する必要があります。

Recovery Services コンテナーにプライベート エンドポイントを使用できます。 コンテナーにアクセスできるのは、コンテナーのプライベート エンドポイントを含むネットワークだけです。

責任: Customer

NS-2: プライベート ネットワークをまとめて接続する

ガイダンス: オンプレミスのサーバーをバックアップするには、ExpressRoute または仮想プライベート ネットワーク (VPN) を使用して Azure に接続できます。

ExpressRoute に Microsoft ピアリングを使用する場合は、Azure Backup コミュニティを使用します。 Backup 用のプライベート エンドポイントを使用する場合は、プライベート ピアリングを使用します。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure のバックボーン ネットワーク上に留まります。

責任: Customer

NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する

ガイダンス: コンテナーは、Azure portal、Azure CLI、PowerShell、SDK、および REST を介してアクセス可能な Azure リソースです。 Backup は、Recovery Services コンテナー用のプライベート エンドポイントもサポートしています。

インターネットを経由しない、仮想ネットワークから Recovery Services コンテナーへのプライベート アクセスに Azure Private Link を使用します。 プライベート アクセスは、Azure 認証とトラフィック セキュリティに多層防御手段を追加します。

Backup には仮想ネットワーク サービス エンドポイントを構成する機能はありません。

責任: Customer

NS-6: ネットワーク セキュリティ規則を簡略化する

ガイダンス: ネットワーク セキュリティ グループ (NSG) または Azure Firewall での Backup リソースに対するネットワーク アクセス制御を定義するには、Azure Virtual Network サービス タグを使用します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 トラフィックを許可または拒否するには、適切なルールのソースまたはターゲットのフィールドでサービス タグ名を指定します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。

Backup と通信するサービスをホストするネットワークの場合は、NSG で 'AzureBackup'、'Azurebackup'、および 'Azurebackup' の各サービス タグを送信することを許可します。

責任: Customer

NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)

ガイダンス: 適用不可。 Backup は、基礎となる DNS 構成を公開しません。 これらの設定は Microsoft により管理されます。

責任: Microsoft

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Backup では、Azure Active Directory (Azure AD) を既定の ID およびアクセス管理のサービスとして使用します。 Azure AD を標準化して、以下での組織の ID およびアクセス管理を統制します。

  • Microsoft Cloud リソース。 リソースには以下が含まれます。

    • Azure ポータル

    • Azure Storage

    • Azure Linux および Windows 仮想マシン

    • Azure Key Vault

    • サービスとしてのプラットフォーム (PaaS)

    • サービスとしてのソフトウェア (SaaS) アプリケーション

  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位に位置付ける必要があります。 Azure AD により、ID セキュリティ態勢を Microsoft のベスト プラクティスの推奨事項と比較するのに役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

注: Azure AD では、外部 ID がサポートされています。これにより、Microsoft アカウントを持たないユーザーが、アプリケーションやリソースにサインインできるようになります。

Backup は、Azure のロールベースのアクセス制御 (RBAC) を使用して、リソースへのきめ細かなアクセスを可能にします。 Backup には、バックアップ共同作成者、バックアップ オペレーター、およびバックアップ閲覧者という 3 つの組み込みロールがあります。

責任: Customer

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス: Backup は、Azure リソースのマネージド ID をサポートしています。 サービス プリンシパルを作成する代わりに、Backup と共にマネージド ID を使用してその他のリソースにアクセスします。

Backup が、Azure AD 認証をサポートする Azure のサービスとリソースに対してネイティブに認証を行うことができます。 Backup は、ソース コードまたは構成ファイルにハードコードされた資格情報の代わりに、定義済みのアクセス許可ルールを使用します。

Backup は、Backup コンテナー内の保護されたデータ ソースに対してバックアップ操作と復元操作を実行するために、マネージド ID を使用します。 また、Backup は、マネージド ID を使用して、カスタマー マネージド キーや Recovery Services コンテナー用のプライベート エンドポイントを使用した暗号化などのセキュリティ機能を管理します。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: すべてのユーザー、アプリケーション、およびデバイスを Azure AD に接続します。 Azure AD は、セキュリティで保護されたシームレスなアクセスと、優れた可視性および制御を提供します。

Backup は、Azure AD を使用して、Azure リソースの ID およびアクセス管理を提供します。 Backup に対する認証に Azure AD を使用可能な ID には、従業員などのエンタープライズ ID と、パートナー、ベンダー、サプライヤーなどの外部 ID が含まれます。 Azure AD は、組織のオンプレミスとクラウドのデータとリソースへのアクセスを管理して保護するためにシングル サインオン (SSO) を提供します。

責任: Customer

IM-7:意図しない資格情報の公開を排除する

ガイダンス: Azure DevOps Credential Scanner を使用して、Backup Azure Resource Manager (ARM) テンプレート内の資格情報を検出します。 資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。

GitHub の場合、ネイティブ シークレット スキャン機能を使用して、コード内で資格情報やその他のシークレットを識別できます。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-1:高い特権を持つユーザーを保護および制限する

ガイダンス: 最も重要な組み込み Azure AD ロールは、グローバル管理者と特権ロール管理者です。 この 2 つのロールを持っているユーザーは、管理者ロールを委任できます。

  • グローバル管理者または会社の管理者は、Azure AD ID を使用するすべての Azure AD 管理機能とサービスにアクセスできます。

  • 特権ロール管理者は、Azure AD と Azure AD Privileged Identity Management (PIM) におけるロールの割り当てを管理できます。 このロールは、PIM と管理単位のすべての側面を管理できます。

高い特権を持つアカウントまたはロールの数を制限し、これらのアカウントを昇格されたレベルで保護します。 高い特権を持つユーザーは、すべての Azure リソースを直接的または間接的に読み取って変更できます。

Azure AD PIM を使用して、Azure リソースと Azure AD への Just-In-Time (JIT) の特権アクセスを有効にすることができます。 ユーザーが必要とする場合にのみ特権タスクを実行するための一時的なアクセス許可は、JIT によって付与されます。 PIM を使用すると、Azure AD 組織内の不審な、または安全でないアクティビティに対して、セキュリティ アラートを生成することもできます。

バックアップ共同作成者 RBAC ロールは、Recovery Services コンテナーの削除と他者へのアクセス権付与を除き、バックアップの作成と管理のすべてのアクセス許可を持っています。 このロールは、すべてのバックアップ管理操作を実行できる、バックアップ管理の管理者です。 このロールが定期的に割り当てられる ID を確認し、それらを Azure AD PIM で構成します。

注: 特定の特権アクセス許可をカスタム ロールに割り当てる場合は、その他の重要なロールを管理する必要があります。 重要なビジネス資産の管理者アカウントに同様のコントロールを適用することもできます。

責任: Customer

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス: Backup は、Azure AD アカウントと Azure RBAC を使用して、そのリソースにアクセス許可を付与します。 ユーザー アカウントとアクセス割り当てを定期的に見直して、アカウントとそのアクセス権を適切に保ってください。 Azure AD アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーション アクセス、およびロールの割り当てをレビューすることができます。 Azure AD レポートによって、古いアカウントの検出に役立つログが提供されます。 また、Azure Active Directory Privileged Identity Management (PIM) でアクセス レビュー レポート ワークフローを作成し、レビュー プロセスを容易にすることもできます。

管理者アカウントが多すぎる場合には、アラートを出すように Azure AD PIM を構成することもできます。 また、PIM は、古い管理者アカウントや不適切に構成された管理者アカウントを特定することができます。

Backup は、コンテナーのアクセス管理をきめ細かく行うために Azure RBAC をサポートしています。 Azure Backup では、バックアップの管理操作を制御する次の 3 つの組み込み RBAC ロールが提供されます。

  • バックアップ共同作成者 - このロールは、Recovery Services コンテナーの削除と他への権限付与を除き、バックアップの作成と管理のすべてのアクセス許可を持ちます。 このロールは、すべてのバックアップ管理操作を実行できる、バックアップ管理の管理者です。

  • バックアップ オペレーター - このロールは、バックアップの削除とバックアップ ポリシーの管理を除き、バックアップ共同作成者が行うすべての操作に対するアクセス許可を持っています。 このロールは、バックアップ共同作成者と同じですが、データの削除によるバックアップの停止やオンプレミス リソースの登録の解除など、破壊的な操作は実行できません。

  • バックアップ閲覧者 - このロールは、すべてのバックアップ管理操作を表示するアクセス許可を持っています。 このロールは監視用です。

  • Privileged Identity Management (PIM) で Azure リソース ロールのアクセス レビューを作成する

  • Azure AD の ID およびアクセス レビューの使用方法

  • Backup 用の Azure RBAC

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス: セキュリティで保護された分離ワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高い役割のセキュリティには重要です。 Backup リソースに対する管理タスクには、高度なセキュリティで保護されたユーザー ワークステーションや Azure Bastion を使用します。

Azure AD、Microsoft Defender Advanced Threat Protection (ATP)、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションを展開します。 セキュリティで保護されたワークステーションを一元的に管理することで、次のようなセキュリティ構成を強制できます。

責任: Customer

PA-7: 最小限の特権の原則である Just Enough Administration に従う

ガイダンス: Backup は Azure RBAC と統合して、そのリソースを管理します。 RBAC を使用して、ロールの割り当てによって Azure リソースへのアクセスを管理します。 ロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。 特定のリソースには、定義済みの組み込みロールがあります。 Azure CLI、Azure PowerShell、Azure portal などのツールを使用して、これらのロールのインベントリを作成したりクエリを実行したりできます。

必ず、Azure RBAC を使用してリソースに割り当てる特権を、ロールで必要なものに制限します。 この方法は、Azure AD PIM の Just-In-Time (JIT) アプローチを補完します。 ロールと割り当てを定期的に確認します。

Backup は Azure RBAC と統合し、組み込みおよびカスタム ロールを使用してリソースへのアクセスを管理できるようにします。 組み込みロールを使用してアクセス許可を割り当て、必要な場合にのみカスタム ロールを作成します。

Azure Backup では、バックアップの管理操作を制御する 3 つの組み込みロールが提供されます。

  • バックアップ共同作成者 - このロールは、Recovery Services コンテナーの削除と他への権限付与を除き、バックアップの作成と管理のすべてのアクセス許可を持ちます。 このロールは、すべてのバックアップ管理操作を実行できる、バックアップ管理の管理者です。

  • バックアップ オペレーター - このロールは、バックアップの削除とバックアップ ポリシーの管理を除き、バックアップ共同作成者が行うすべての操作に対するアクセス許可を持っています。 このロールは、バックアップ共同作成者と同じですが、データの削除によるバックアップの停止やオンプレミス リソースの登録の解除など、破壊的な操作は実行できません。

  • バックアップ閲覧者 - このロールは、すべてのバックアップ管理操作を表示するアクセス許可を持っています。 このロールは監視用です。

詳細については、次のリファレンスを参照してください。

責任: Customer

PA-8: Microsoft サポートの承認プロセスを選択する

ガイダンス: Backup は、カスタマー ロックボックスをサポートしていません。 Microsoft は、お客様と協力して、他の方法で顧客データへのアクセスを承認します。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-1:機密データを検出、分類、ラベル付けする

ガイダンス: Azure Backup は、バックアップされたデータを分類する機能を備えていません。 さまざまなコンテナーを使用し、それらのコンテナーの内容に従ってタグを付加することで、データを自分で整理できます。

責任: Customer

DP-2:機密データを保護する

ガイダンス: 機密データを保護するには、次の機能を使用して Backup リソースへのアクセスを制限します。

  • Azure RBAC

  • ネットワーク ベースのアクセスの制御

  • Azure サービスの暗号化のような特定のコントロール

Azure IaaS VM をバックアップする場合、Azure Backup では、元のデータが誤って破壊されることを防ぐために、独立して分離されたバックアップを提供します。 バックアップは、復旧ポイント管理が組み込まれた Recovery Services コンテナーに格納されます。

一貫性を確保するために、すべての種類のアクセス制御を自社のセグメント化戦略に合わせて調整します。 機密性の高いまたはビジネスに不可欠なデータやシステムの場所による会社のセグメント化戦略を通知します。

Microsoft は、基礎となる Microsoft が管理するプラットフォーム内のすべてのお客様のコンテンツを機密として扱います。 Microsoft は、お客様のデータを損失や漏洩から保護します。 Microsoft は、Azure のお客様のデータを安全に保つための既定のデータ保護制御および機能を備えています。

責任: Customer

DP-3:機密データの不正転送を監視する

ガイダンス: Backup は、顧客データの転送をサポートしますが、機密データの認可されていない転送の監視はネイティブではサポートしていません。 ただし、コンテナーから実行される復元操作のアクティビティ ログとリソース ログに関するアラート ルールを記述できます。

責任: Customer

DP-4:転送中の機密情報を暗号化する

ガイダンス: サーバーから Recovery Services コンテナーへのバックアップ トラフィックは、セキュリティで保護された HTTPS リンク経由で転送されます。 データは、コンテナーに格納されるときに、Advanced Encryption Standard (AES) 256 を使用して暗号化されます。

Backup では、TLS v1.2 以降で転送中のデータの暗号化がサポートされます。 この要件は、プライベート ネットワーク上のトラフィックでは省略できますが、外部ネットワークとパブリック ネットワーク上のトラフィックには不可欠です。 HTTP トラフィックの場合は、Azure リソースに接続するクライアントが確実に TLS v1.2 以降を使用できるようにしてください。

脆弱な暗号と古い SSL、TLS、および SSH のバージョンとプロトコルを無効にします。

Azure は、Azure データ センター間で転送中のデータを既定で暗号化します。

責任: Customer

DP-5:保存データを暗号化する

ガイダンス: Backup は、保存データの暗号化をサポートしています。 オンプレミスのバックアップでは、Azure にバックアップする際に指定されたパスフレーズを使用して保存時の暗号化が行われます。 クラウド ワークロードの場合は、データが、Storage Service Encryption (SSE) と Microsoft マネージド キーを使用して既定で保存時に暗号化されます。 Backup は、規制要件を満たすカスタマー マネージド キー用のオプションも提供しています。

MARS エージェントでバックアップする場合、またはカスタマー マネージド キーで暗号化された Recovery Services コンテナーを使用してバックアップする場合、暗号化キーにアクセスできるのはお客様だけです。 Microsoft が、コピーを保持したり、キーにアクセスしたりすることはありません。 キーを紛失した場合、Microsoft はバックアップ データを復旧できません。

責任: 共有

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1: セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプション内のバックアップ閲覧者と閲覧者のアクセス許可を付与して、彼らがセキュリティ リスクに関する Backup の構成とデータを確認できるようにします。

キュリティ チームの責任がどのように構造化されているかによって、セキュリティ リスクの監視は中央のセキュリティ チームまたはローカル チームの責任になります。 組織内では、常にセキュリティ分析情報とリスクを一元的に集約します。

責任: Customer

AM-2: セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス: セキュリティ チームが、Backup のような、Azure 上の継続的に更新される資産インベントリに確実にアクセスできるようにします。 セキュリティ チームは、組織が新たなリスクにさらされる可能性を評価するため、および継続的なセキュリティ改善への入力として、このインベントリを必要とすることがよくあります。 組織の認可済みセキュリティ チームを含めるための Azure AD グループを作成します。 また、そのグループに、すべての Backup リソースへの読み取りアクセス権を割り当てます。 サブスクリプションで 1 つの高レベルのロールの割り当てを使用して、プロセスを簡略化できます。

Azure リソース、リソース グループ、サブスクリプションにタグを適用して、それらを論理的に分類できます。 各タグは名前と値で構成されます。 たとえば、運用環境のすべてのリソースには名前 "環境" と値 "運用" を適用できます。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス: Backup は、Azure Policy を使用した構成の監視と適用をサポートしています。 Azure Policy 組み込み定義を割り当てて、環境内でユーザーがプロビジョニング可能なサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-1:Azure リソースの脅威検出を有効にする

ガイダンス: Microsoft Defender for Cloud の組み込みの脅威検出機能を使用します。 DDoS Protection Standard リソースに対して Microsoft Defender を有効にします。 Microsoft Defender は、追加のセキュリティ インテリジェンスのレイヤーを提供します。 Microsoft Defender によって、通常とは異なる、害を及ぼす可能性のある DDoS Protection リソースへのアクセスや悪用の試みが検出されます。

Azure Backup は、アクティビティ ログとリソース ログを生成します。このログを使用して、Backup リソースに対するアクションを監査し、脅威を検出することができます。 Backup ログをセキュリティ情報イベント管理 (SIEM) システムに転送します。 SIEM を使用して、カスタム脅威検出を設定することができます。

潜在的な脅威や異常を検出するために、さまざまな種類の Azure 資産を監視していることを確認してください。 アナリストが選別しやすいように、質の高いアラートを取得して誤検知を減らすことに専念します。 ログ データ、エージェント、またはその他のデータからアラートを送信できます。

責任: Customer

LT-4:Azure リソースのログ記録を有効にする

ガイダンス: アクティビティ ログは自動的に使用可能になります。 ログには、Backup リソースに対するすべての PUT、POST、DELETE の操作は含まれますが、GET 操作は含まれません。 アクティビティ ログを使用して、トラブルシューティング時にエラーを見つけたり、ユーザーがリソースを変更した方法を監視したりできます。

Backup に対して Azure リソース ログを有効にします。 リソース ログとログ データの収集は、Microsoft Defender for Cloud と Azure Policy を使用して有効にすることができます。 これらのログは、セキュリティ インシデントの調査やフォレンジックの演習を行うためにきわめて重要となる可能性があります。

責任: 共有

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス: ログ ストレージと分析を一元化して、Backup ログ データの相関関係を有効にします。 ログ ソースごとに、次の項目が記録されていることを確認します。

  • 割り当てられたデータ所有者
  • アクセス ガイダンス
  • 保存先
  • データを処理してアクセスするツール
  • データ保持の要件

Azure アクティビティ ログを一元的なログ記録に統合してください。 Azure Monitor を介してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されたセキュリティ データを集計します。 Azure Monitor で、Log Analytics ワークスペースを使用し、クエリを実行して分析を行います。 長期およびアーカイブ ストレージには Azure Storage アカウントを使用します。

Microsoft Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードします。 使用頻度の高い "ホット" データには Microsoft Sentinel を使用し、使用頻度の低い "コールド" データには Azure Storage を使用できます。

責任: 共有

LT-6:ログの保持期間を構成する

ガイダンス: 長期ストレージとアーカイブ ストレージには、Azure Storage または Log Analytics のワークスペース アカウントを使用します。 Backup ログを格納するストレージ アカウントまたは Log Analytics ワークスペースの場合は、組織のコンプライアンス規制を満たすログ保持期間を設定します。

責任: 共有

LT-7:承認された時刻同期ソースを使用する

Guidance: Backup は、独自の時刻同期ソースの構成をサポートしていません。 Backup は、お客様による構成用に公開されていない Microsoft の時刻同期ソースに依存しています。

責任: Microsoft

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: 組み込みおよびカスタム Azure Policy 定義を割り当てることによって、Recovery Services コンテナーのセキュリティで保護された構成を監視して強制します。 組み込みポリシーが要件を満たしていない場合は、"Microsoft の RecoveryServices" 名前空間で Azure Policy エイリアスを使用して、カスタム ポリシーを作成します。

責任: Customer

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: Azure Policy を使用して、次のような Backup 構成を監視して強制します。

  • コンテナーの設定

  • カスタマー マネージド キーを使用した暗号化

  • コンテナーへのプライベート エンドポイントの使用

  • 診断設定のデプロイ

Azure Backup リソース間でセキュリティで保護された構成を強制するには、Azure Policy の [deny] と [deploy if not exist] を使用します。

責任: Customer

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Backup は、脆弱性評価ツールをサポートする顧客向けコンピューティング リソースをデプロイしません。 Microsoft が、Backup をサポートする基礎となるプラットフォームの脆弱性と評価を処理します。

責任: Microsoft

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: Backup は、脆弱性評価ツールをサポートする顧客向けコンピューティング リソースをデプロイしません。 Microsoft が、Backup をサポートする基礎となるプラットフォームの脆弱性と評価を処理します。

責任: Microsoft

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス: 必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。

お客様の侵入テストが Microsoft のポリシーに違反しないようにするには、Microsoft Cloud 侵入テストの実施ルールに従ってください。 Microsoft の Red Teaming の戦略と実行を使用します。 Microsoft が管理するクラウド インフラストラクチャ、サービス、およびアプリケーションに対して、ライブ サイト侵入テストを実行します。

責任: Customer

バックアップと回復

詳細については、Azure セキュリティ ベンチマークの「バックアップと回復」を参照してください。

BR-2:バックアップ データを暗号化する

ガイダンス: Backup は、管理する保存時のバックアップ データの暗号化をサポートしています。 クラウド ワークロードは、Storage Service Encryption (SSE) と Microsoft マネージド キーを使用して既定で保存データを暗号化します。 Azure Backup は、規制要件を満たすカスタマー マネージド キー用のオプションを提供しています。

責任: 共有

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.RecoveryServices:

名前
(Azure portal)
説明 効果 Version
(GitHub)
仮想マシンに対して Azure Backup を有効にする必要がある Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 AuditIfNotExists、Disabled 2.0.0

BR-4:キー紛失のリスクを軽減する

ガイダンス: Backup 暗号化キーの紛失を回避および回復する手段が適用されていることを確認してください。 キーが偶発的または悪意から削除されないように保護するには、Azure Key Vault で論理的な削除と消去保護を有効にします。

責任: 共有

次のステップ