Microsoft Azure Peering Service の Azure セキュリティ ベースライン

このセキュリティ ベースラインは、 Azure セキュリティ ベンチマーク バージョン 3.0 のガイダンスを Microsoft Azure Peering Service に適用します。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、Microsoft Azure Peering Service に適用される Azure セキュリティ ベンチマークと関連ガイダンスで定義されているセキュリティ コントロールによってグループ化されています。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ダッシュボードの [規制コンプライアンス] セクションに一覧表示されます。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するために、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

注意

Microsoft Azure Peering Service に適用されない機能は除外されています。 Microsoft Azure Peering Service が Azure セキュリティ ベンチマークにどれほど徹底して対応しているかについては、 Microsoft Azure Peering Service セキュリティ ベースラインのマッピング ファイル を参照してください。

セキュリティ プロファイル

セキュリティ プロファイルは、Microsoft Azure Peering Service の影響の大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。

サービス動作属性
製品カテゴリ ネットワーク
お客様は HOST/OS にアクセスできます アクセス権なし
サービスは顧客の仮想ネットワークにデプロイできます False
保存時に顧客のコンテンツを保存する False

ID 管理

詳細については、「 Azure セキュリティ ベンチマーク: ID 管理」を参照してください。

IM-7: 条件に基づいてリソースへのアクセスを制限する

機能

データ プレーンの条件付きアクセス

説明: データ プレーン アクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

特権アクセス

詳細については、「 Azure セキュリティ ベンチマーク: 特権アクセス」を参照してください。

PA-7: Just Enough Administration (最小限の特権の原則) に従う

機能

Azure RBAC for Data Plane

説明: Azure Role-Based Access Control (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-3: 転送中の機密データの暗号化

機能

転送中のデータの暗号化

説明: サービスは、データ プレーンの転送中のデータ暗号化をサポートします。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True True Microsoft

構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。

リファレンス: 転送中の Azure Data Encryption

DP-7: セキュリティで保護された証明書管理プロセスを使用する

機能

Azure Key Vaultでの証明書管理

説明: このサービスでは、お客様の証明書に対する Azure Key Vault統合がサポートされます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

アセット管理

詳細については、「 Azure セキュリティ ベンチマーク: 資産管理」を参照してください。

AM-2: 承認済みのサービスのみを使用する

機能

Azure Policy のサポート

説明: サービス構成は、Azure Policyを使用して監視および適用できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: この機能構成に関する現在の Microsoft ガイダンスはありません。 組織でこのセキュリティ機能を構成するかどうかを確認し、確認してください。

ログと脅威検出

詳細については、「 Azure セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。

LT-1: 脅威検出機能を有効にする

機能

Microsoft Defender for Service /製品オファリング

説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

LT-4: セキュリティ調査のためにログ記録を有効にする

機能

Azure リソース ログ

説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントや Log Analytics ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

次のステップ