Cloud Shell 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインによって、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Cloud Shell に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、Cloud Shell に適用される Azure セキュリティ ベンチマークと関連ガイダンスで定義されているセキュリティ コントロールによってグループ化されています。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Cloud Shell に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Cloud Shell を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Cloud Shell セキュリティ ベースライン マッピング ファイルを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス: Cloud Shell リソースをデプロイする場合は、既存の仮想ネットワークを作成するか使用します。 すべての Azure 仮想ネットワークが、ビジネス リスクに合わせたエンタープライズ セグメント化の原則に従っていることを確認します。 独自の仮想ネットワーク内で組織のリスクを高める可能性のあるシステムを分離します。 ネットワーク セキュリティ グループ (NSG) や Azure Firewall を使用して、仮想ネットワークを十分にセキュリティで保護します。

Microsoft Defender for Cloud のアダプティブ ネットワーク強化を使用して、外部ネットワーク トラフィック ルールに基づいてポートとソース IP を制限する NSG 構成を推奨します。

責任: Customer

NS-4: 外部ネットワーク攻撃からアプリケーションやサービスを保護する

ガイダンス: 外部ネットワークからの攻撃に関して Cloud Shell リソースを保護します。 外部からの攻撃には、分散型サービス拒否 (DDoS) 攻撃、アプリケーション固有の攻撃、未承諾で悪意のある可能性のあるインターネット トラフィックなどが含まれます。

Azure Firewall を使用して、インターネットや他の外部の場所からの、悪意がある可能性のあるトラフィックから、アプリケーションやサービスを保護します。

Azure 仮想ネットワークで DDoS Protection Standard を有効にすることで、DDoS 攻撃から資産を保護します。 Microsoft Defender for Cloud を使用して、ネットワーク関連リソースに対する誤った構成のリスクを検出します。

Azure 仮想ネットワーク内の Cloud Shell はオプションのエクスペリエンスであり、既定では設定されていません。 詳細については、Cloud Shell のドキュメントを参照してください。

Cloud Shell は Web アプリケーションを実行しません。 Web アプリケーションを対象とする外部ネットワーク攻撃から保護するために、設定を構成したり、ネットワーク サービスを展開したりする必要はありません。

責任: Customer

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Cloud Shell では、Azure Active Directory (Azure AD) を既定の ID 管理とアクセス管理のサービスとして使用します。 Azure AD を標準化して、以下での組織の ID およびアクセス管理を統制します。

  • Microsoft Cloud リソース。 リソースには以下が含まれます。

    • Azure ポータル

    • Azure Storage

    • Azure Linux および Windows 仮想マシン

    • Azure Key Vault

    • サービスとしてのプラットフォーム (PaaS)

    • サービスとしてのソフトウェア (SaaS) アプリケーション

  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位に位置付ける必要があります。 Azure AD により、ID セキュリティ態勢を Microsoft のベスト プラクティスの推奨事項と比較するのに役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

注: Azure AD では、外部 ID がサポートされています。これにより、Microsoft アカウントを持たないユーザーが、アプリケーションやリソースにサインインできるようになります。

責任: Customer

IM-7:意図しない資格情報の公開を排除する

ガイダンス: Cloud Shell は、ユーザーがコードを実行したり、構成を展開したり、ID またはシークレットを含む可能性のあるデータを保持したりすることができます。 Credential Scanner を使用して、これらの資格情報を識別します。 また、Credential Scanner を使うと、検出された資格情報を、Azure Key Vault などの安全な場所に移動しやすくなります。

GitHub の場合、ネイティブ シークレット スキャン機能を使用して、コード内で資格情報やその他のシークレットを識別できます。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-6:特権アクセス ワークステーションを使用する

ガイダンス: セキュリティで保護された分離ワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高い役割のセキュリティには重要です。 管理タスクには、高度なセキュリティで保護されたユーザー ワークステーションや Azure Bastion を使用します。

Azure AD、Microsoft Defender Advanced Threat Protection (ATP)、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションをデプロイします。 セキュリティで保護されたワークステーションを一元的に管理することで、次のようなセキュリティ構成を適用できます。

  • 強力な認証

  • ソフトウェアとハードウェアのベースライン

  • 制限付きの論理アクセスとネットワーク アクセス

詳細については、次のリファレンスを参照してください。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-3:機密データの不正転送を監視する

ガイダンス: 適用不可。 Cloud Shell は顧客データの転送をサポートしますが、機密データの不正な転送の監視はネイティブではサポートしていません。

責任: Customer

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1: セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ チームの責任がどのように構造化されているかによって、セキュリティ リスクの監視は中央のセキュリティ チームまたはローカル チームの責任になります。 組織内では、常にセキュリティ分析情報とリスクを一元的に集約します。

セキュリティ閲覧者アクセス許可をテナントのルート管理グループ全体に広範に適用するか、アクセス許可を特定の管理グループまたはサブスクリプションに範囲設定できます。

注: ワークロードとサービスを可視化するには、より多くのアクセス許可が必要になります。

責任: Customer

AM-2: セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス: メタデータ タグは、分類のリソースを論理的に整理します。 Cloud Shell がタグを使用したり、タグを適用したり、使用したりすることはありません。

Cloud Shell は、Azure Resource Graph を使用した Azure Resource Manager ベースのリソースのデプロイまたは検出はサポートしていません。

Microsoft Defender for Cloud 適応型アプリケーション制御を使用して、ルールを適用するファイルの種類を指定できます。

責任: Customer

AM-6:コンピューティング リソースで承認済みのアプリケーションのみを使用する

ガイダンス: Azure 仮想マシンのインベントリを使用して、仮想マシン (VM) 上のソフトウェアに関する情報の収集を自動化します。 ソフトウェアの名前、バージョン、発行元、および更新時刻は、Azure portal から取得できます。 インストール日やその他の情報にアクセスするには、ゲストレベルの診断を有効にし、Windows イベント ログを Log Analytics ワークスペースにインポートします。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス: Cloud Shell リソースを仮想ネットワークにデプロイすることはできますが、ネットワーク セキュリティ グループを使用してネットワーク トラフィックを強制したり、トラフィックを通過させることはできません。 Cloud Shell が正しく機能するためには、サブネットのネットワーク ポリシーを無効にする必要があります。 このため、Cloud Shell のネットワーク セキュリティ グループ フローのログ記録を構成することはできません。

Cloud Shell では、ドメイン ネーム サービス (DNS) のクエリ ログは生成または処理されません。

責任: Customer

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Cloud Shell はサードパーティ ソリューションを使用して、ネットワーク デバイスと Web アプリケーションで脆弱性評価を実行できます。 リモート スキャンを実施する場合は、1 つの永続的な管理者アカウントを使用しないでください。 スキャン アカウントには、Just-In-Time (JIT) プロビジョニングの方法論を実装することを検討してください。 スキャン アカウントの資格情報を保護および監視し、脆弱性のスキャンにのみ使用します。

必要に応じて、スキャン結果を一定の間隔でエクスポートします。 以前のスキャンと結果を比較し、脆弱性が修復されていることを確認します。

責任: Customer

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: サードパーティ製ソフトウェアの場合は、サードパーティの修正プログラム管理ソリューションまたは Configuration Manager 用の System Center Updates Publisher を使用します。

機能とツールの完全な一覧については、「Cloud Shell の機能:/azure/cloud-shell/機能」を参照してください。

責任: Customer

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス: 必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。

お客様の侵入テストが Microsoft のポリシーに違反しないようにするには、Microsoft Cloud 侵入テストの実施ルールに従ってください。 Microsoft の Red Teaming の戦略と実行を使用します。 Microsoft が管理するクラウド インフラストラクチャ、サービス、およびアプリケーションに対して、ライブ サイト侵入テストを実行します。

責任: Customer

次のステップ