Service Bus 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Service Bus に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、Service Bus に適用される Azure セキュリティ ベンチマークと関連ガイダンスで定義されているセキュリティ コントロールによってグループ化されています。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ダッシュボードの [規制コンプライアンス] セクションに一覧表示されます。

セクションに関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するために、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Service Bus に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Service Bus を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Service Bus セキュリティ ベースライン マッピング ファイルを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス: Microsoft Azure Service Bus では、仮想ネットワークへの直接デプロイはサポートされていません。 次のような提供リソースを使用して、特定のネットワーク機能を適用することはできません。

  • ネットワーク セキュリティ グループ (NSG)。
  • ルート テーブル。
  • Azure Firewall などの、他のネットワーク依存型アプライアンス。

Microsoft Sentinel を使用して、次のような従来の安全でないプロトコルの使用を検出します。

  • Secure Sockets Layer (SSL) およびトランスポート層セキュリティ (TLS) バージョン 1 (TLSv1)。
  • サーバー メッセージ ブロック (SMB) バージョン 1 (SMBv1)。
  • LAN Manager (LM) および NT LAN Manager (NTLM) バージョン 1 (NTLMv1)。
  • wDigest。
  • 署名されていないライトウェイト ディレクトリ アクセス プロトコル (LDAP) のバインド。
  • Kerberos の脆弱な暗号。

詳細については、次の記事を参照してください。

責任: Microsoft

NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する

ガイダンス: Azure Private Link を使用すると、インターネットを経由せずに、仮想ネットワークから Service Bus へのプライベート アクセスを有効にできます。

プライベート アクセスは、Azure サービスが提供する認証およびトラフィックのセキュリティに対する、別の多層防御手段となります。

Azure 仮想ネットワーク サービス エンドポイントを使用すると、Service Bus へのセキュリティで保護されたアクセスがもたらされます。 このアクセスは、インターネットを経由しない、Azure のバックボーン ネットワークを介した最適化されたルートを通ります。

責任: Customer

NS-6: ネットワーク セキュリティ規則を簡略化する

ガイダンス: Azure 仮想ネットワーク サービス タグを使用して、Service Bus リソース用に構成された NSG または Azure Firewall のネットワーク アクセス制御を定義します。 セキュリティ規則を作成するときに、特定の IP アドレスの代わりにサービス タグを使用します。 適切な規則のソースまたはターゲット フィールドにサービス タグ名を指定することで、対応するサービスのトラフィックを許可または拒否できます。 Microsoft が、サービス タグに包含されるアドレス プレフィックスを管理します。 アドレスの変更に応じて、サービス タグが自動的に更新されます。

責任: Customer

NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)

ガイダンス: DNS セキュリティのベスト プラクティスに従って、次のような一般的な攻撃を軽減します。

  • ダングリング DNS
  • DNS アンプ攻撃
  • DNS ポイズニングとスプーフィング

信頼できる DNS サービスとして Azure DNS を使用しますか? その場合、Azure のロールベースのアクセス制御 (Azure RBAC) とリソース ロックを使用することで、DNS ゾーンとレコードを偶発的または悪意のある変更から保護します。

責任: Customer

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Service Bus では、Azure Active Directory (Azure AD) を既定の ID およびアクセス管理サービスとして使用します。 Azure AD を標準化して、以下での組織の ID とアクセス管理を統制します。

  • 次のような Microsoft Cloud リソース:

    • Azure portal
    • Azure Storage
    • Azure 仮想マシン (Linux と Windows)
    • Azure Key Vault
    • サービスとしてのプラットフォーム (PaaS)
    • サービスとしてのソフトウェア (SaaS) アプリケーション
  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD をセキュリティで保護することは、組織のクラウド セキュリティ プラクティスにおいて優先順位を高くしてください。 Microsoft のベスト プラクティスの推奨事項を基準としたお客様の ID セキュリティ体制の評価に役立てるために、Azure AD では ID セキュリティ スコアを提供しています。 このスコアを使用して、構成がベスト プラクティスの推奨事項にどの程度一致しているかを測定します。 続いて、セキュリティ態勢を改善します。

注: Azure AD では外部 ID をサポートしています。 Microsoft アカウントのないユーザーは、自分の外部 ID でアプリケーションやリソースにサインインできます。

責任: Customer

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス: Service Bus では、Azure リソースのマネージド ID がサポートされています。 他のリソースにアクセスするためにサービス プリンシパルを作成する代わりに、Service Bus でマネージド ID を使用してください。 Service Bus が、Azure AD 認証をサポートする Azure のサービスとリソースに対してネイティブに認証を行うことができます。 これは、ソースコードや設定ファイルにハードコーディングされた認証情報を使用せずに、定義済みのアクセス許可規則を通じて認証します。

証明書の資格情報を使用してサービス プリンシパルを構成し、クライアント シークレットにフォールバックしますか。 この場合、Azure AD を使用して、リソース レベルでアクセス許可が制限されるサービス プリンシパルを作成します。 どちらの場合も、Azure マネージド ID で Key Vault を使用できます。 ランタイム環境 (Azure 関数など) は、キー コンテナーから資格情報を取得できます。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: Service Bus は Azure AD を使用して、次に対する ID 管理とアクセス管理を提供します。

  • 管理
  • クラウド アプリケーション
  • オンプレミスのアプリケーション

この管理は、エンタープライズ ID (従業員など) に適用されます。 また、次のような外部 ID にも適用されます。

  • パートナー
  • ベンダー
  • Suppliers (仕入先)

ID およびアクセスの管理を使用して、シングル サインオン (SSO) で、組織のデータとリソースへのアクセスを管理し、セキュリティで保護することができます。 SSO 管理は、オンプレミスとクラウドで行われます。 シームレスで安全なアクセスと、より優れた可視性および制御を実現するために、次の対象をすべて、Azure AD に接続してください。

  • ユーザー
  • アプリケーション
  • デバイス

詳細については、次の記事を参照してください。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-1:高い特権を持つユーザーを保護および制限する

ガイダンス: 適用できません。Service Bus では管理者アカウントは使用しません。

責任: Customer

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス: ユーザー アカウントとそのアクセスが有効であることを定期的に確認するために、Service Bus は Azure AD アカウントを使用して次のことを行います。

  • リソースの管理。
  • ユーザー アカウントのレビュー。
  • アクセスの割り当て。

Azure AD とアクセス レビューを使用して、以下をレビューします。

  • グループ メンバーシップ
  • エンタープライズ アプリケーションへのアクセス
  • ロールの割り当て

Azure AD レポートによって、古いアカウントの検出に役立つログが提供されます。 レビュー プロセスを容易にするには、Azure AD Privileged Identity Management (PIM) も使用してアクセス レビュー レポート ワークフローを作成します。

Azure AD PIM を次のように構成することもできます。

  • 過剰な数の管理者アカウントが作成された場合に警告する。
  • 古くなった管理者アカウントや、不適切に構成された管理者アカウントを特定します。

注:一部の Azure サービスでは、Azure AD で管理されていないローカル ユーザーとロールがサポートされています。 これらのユーザーは別個に管理します。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス: セキュリティで保護された分離ワークステーションは、次のような機密性の高いロールのセキュリティにとって非常に重要です。

  • 管理者
  • Developer
  • 重要なサービス オペレーター

高度にセキュリティ保護されたユーザー ワークステーションまたは Azure Bastion を管理タスクに使用します。 セキュリティで保護されたマネージド ユーザー ワークステーションを展開するには、次のうち 1 つ以上を使用します。

  • Azure AD
  • Microsoft Defender Advanced Threat Protection (ATP)
  • Microsoft Intune

セキュリティで保護されたワークステーションを一元的に管理して、次のセキュリティで保護された構成を適用することができます。

  • 強力な認証
  • ソフトウェアとハードウェアのベースライン
  • 制限付きの論理アクセスとネットワーク アクセス

詳細については、次の記事を参照してください。

責任: Customer

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス: Service Bus は、リソースを管理するために Azure RBAC と統合されています。 Azure RBAC を使用すると、ロールの割り当てによって Azure リソースへのアクセスを管理できます。 これらのロールは、次のものに割り当てます。

  • ユーザー
  • グループ
  • サービス プリンシパル
  • マネージド ID

特定のリソースには、定義済みの組み込みロールがあります。 次のようなツールを使用して、これらのロールのインベントリ作成またはクエリを実行します。

  • Azure CLI
  • Azure PowerShell
  • Azure portal

Azure RBAC を使用してリソースに割り当てる特権を、ロールで必要なものに常に制限します。 この方法は、Azure AD PIM の Just-In-Time (JIT) アプローチを補完するもので、定期的にレビューする必要があります。

組み込みロールを使用してアクセス許可を付与します。 必要な場合にのみ、カスタム役割を作成します。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-3:機密データの不正転送を監視する

ガイダンス: 企業が可視および制御できる範囲外の場所にデータが不正に転送されるのを監視することができます。 この方法には、通常、不正なデータ流出を示す可能性のある異常な活動 (大規模または異常な転送) の監視が含まれます。

Microsoft Defender for Storage および Microsoft Defender for SQL では、異常な情報転送に関するアラートを生成できます。これは、機密情報の未認可の転送を示す可能性があります。

Azure Information Protection には、分類およびラベル付けされた情報を監視する機能があります。

データ損失防止 (DLP) の対応に必要な場合は、ホストベースの DLP ソリューションを使用します。 このソリューションでは、データの検出を防止するために、検出または予防コントロールを適用します。

責任: Customer

DP-5:保存データを暗号化する

ガイダンス: アクセス制御を補完するために、Service Bus は保存データを暗号化します。 この方法では、基になるストレージへのアクセスなど、暗号化を使用する "帯域外" 攻撃から保護されます。 すると、攻撃者はデータの読み取りや変更を簡単に行うことができなくなります。

既定では Azure によって保存データが暗号化されます。 機密性の高いデータの場合は、使用可能なすべての Azure リソースで保存時の追加の暗号化を実装することもできます。 特定の Azure サービスで規制要件を満たすために、Azure では既定で暗号化キーを管理します。 ただし、Azure では、独自のキー (カスタマー マネージド キー) を管理するためのオプションも提供されています。

責任: Customer

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに、Azure テナントおよびサブスクリプションのセキュリティ閲覧者アクセス許可を付与します。 その後、チームは Microsoft Defender for Cloud を使用してセキュリティ リスクを監視できます。

セキュリティ チームの責任がどのように構成されているかに応じて、中央のセキュリティ チームまたはローカル チームがセキュリティ リスクの監視を担当することができます。 組織内では、常にセキュリティ分析情報とリスクを一元的に集約します。

セキュリティ閲覧者アクセス許可を、テナント全体 (ルート管理グループ) に幅広く適用できます。 あるいは、これらのアクセス許可を、管理グループまたは特定のサブスクリプションの範囲に限定します。

注: ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。

責任: Customer

AM-2:セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス: セキュリティ チームに、Service Bus など、Azure 上の資産の継続的に更新されるインベントリへのアクセス権を付与します。 セキュリティ チームは、組織が新たなリスクにさらされる可能性を評価するため、このインベントリを必要とすることがよくあります。 インベントリは、継続的なセキュリティ向上のためのインプットにもなります。 組織の認可済みセキュリティ チームを含めるための Azure AD グループを作成します。 すべての Service Bus リソースの読み取りアクセス権をチームに割り当てます。 このプロセスを簡略化するために、サブスクリプション内で 1 つの高レベルのロールの割り当てを使用することができます。

論理的に編成して分類するために、Azure の次のものにタグを適用します。

  • リソース
  • リソース グループ
  • サブスクリプション

各タグは、名前と値のペアで構成されます。 たとえば、運用環境のすべてのリソースには名前 "環境" と値 "運用" を適用できます。

Azure 仮想マシンのインベントリを使用して、Virtual Machines 上のソフトウェアに関する情報の収集を自動化します。 Azure portal から利用できる項目は次のとおりです。

  • ソフトウェア名
  • バージョン
  • Publisher
  • 更新時刻

インストール日などの情報にアクセスするには、ゲスト レベルの診断を有効にします。 続いて、Windows イベント ログを Log Analytics ワークスペースに取り込みます。

Service Bus では、そのリソースでアプリケーションを実行したり、ソフトウェアをインストールしたりすることはできません。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス: Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 承認されていないサービスが検出されたときに、Monitor を使用して、アラートをトリガーするルールを作成します。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-1:Azure リソースの脅威検出を有効にする

ガイダンス: Microsoft Defender for Cloud の組み込みの脅威検出機能を使用して、Service Bus リソースに対して Microsoft Defender を有効にします。 Microsoft Defender for Service Bus は、別のレイヤーのセキュリティ インテリジェンスを提供します。 Service Bus リソースにアクセスしたり悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を検出します。

Service Bus から SIEM に、カスタム脅威検出を設定するために使用できるログを転送します。 潜在的な脅威や異常を検出するために、さまざまな種類の Azure 資産を監視します。 アナリストが選別しやすいように、質の高いアラートを取得して誤検知の数を減らすことに専念します。 ログデータ、エージェント、またはその他のデータからアラートを送信できます。

責任: Customer

LT-2:Azure ID とアクセスの管理のために脅威検出を有効にする

ガイダンス: Azure AD には、以下のユーザー ログがあります。

  • サインイン。サインイン レポートでは、マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報が得られます。

  • 監査ログ。 監査ログでは、Azure AD 内のさまざまな機能によって行われたすべての変更を追跡できます。 例として、以下のような追加と削除など、Azure AD 内のあらゆるリソースに加えられた変更があります。

    • ユーザー
    • アプリ
    • グループ
    • ロール
    • ポリシー
  • 危険なサインイン。危険なサインインとは、ユーザー アカウントの正当な所有者ではないユーザーによって行われたサインイン試行を示します。

  • リスクのフラグ付きユーザー。 危険なユーザーとは、侵害された可能性があるユーザー アカウントを示します。

ログは Azure AD レポートで確認できます。 より高度な監視および分析のユース ケースに対応するには、ログを以下のものと統合します。

  • Monitor
  • Microsoft Sentinel
  • その他の SIEM または監視ツール

Microsoft Defender for Cloud では、特定の不審なアクティビティに関するアラートをトリガーすることもできます。 これらのアクティビティには、過剰な数の認証試行の失敗や、サブスクリプションでの非推奨アカウントなどがあります。 基本的なセキュリティ検疫監視に加えて、Microsoft Defender for Cloud の脅威保護モジュールは、より詳細なセキュリティ アラートを次の対象から収集することもできます。

  • 個別の Azure コンピューティング リソース (仮想マシン、コンテナー、または App Service)
  • データ リソース (SQL DB とストレージ)
  • Azure サービス レイヤー

この機能を使用すると、個々のリソース内でアカウントの異常を確認できます。

責任: Customer

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス: Service Bus では、仮想ネットワークへのデプロイを想定していません。 次のことはできません。

  • NSG フロー ログの有効化。
  • ファイアウォールを経由するトラフィックのルーティング。
  • パケット キャプチャの実行。

セキュリティ分析のために、以下を有効にして収集します。

  • NSG リソース ログ
  • NSG フロー ログ
  • Azure Firewall ログ
  • Web アプリケーション ファイアウォール (WAF) ログ

セキュリティ分析では、以下をサポートしています。

  • インシデント調査
  • 脅威の捜索
  • セキュリティ アラートの生成

Monitor の Log Analytics ワークスペースにフロー ログを送信します。 次に、Traffic Analytics を使用して分析情報を提供します。

Service Bus は、お客様のアクセスのために処理するすべてのネットワーク トラフィックをログに記録します。 デプロイされているオファリング リソース内でネットワーク フロー機能を有効にします。

Service Bus では、DNS クエリ ログの生成または処理は行われません。

責任: Customer

LT-4:Azure リソースのログ記録を有効にする

ガイダンス: アクティビティ ログには、Service Bus リソースに対するすべての書き込み操作 (PUT、POST、DELETE) が含まれています。 アクティビティ ログは自動的に使用可能になりますが、読み取り操作 (GET) は含まれません。 トラブルシューティング時に、アクティビティ ログを使用してエラーを見つけます。 または、このログを使用して、組織内のユーザーがリソースを変更した方法を監視します。

Service Bus 用に Azure リソース ログを有効にします。 リソース ログとログ データの収集を有効にするには、Microsoft Defender for Cloud および Azure Policy を使用します。 これらのログは、セキュリティ インシデントを調査し、法的措置を講じる場合に重要になることがあります。

Service Bus で、ローカル管理者アカウントに関するセキュリティ監査ログも生成されます。 これらのローカル管理者監査ログを有効にします。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.ServiceBus:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Service Bus のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス:ログ記録のストレージと分析を一元化して、相関関係を有効にします。 ログ ソースごとに、以下を割り当てていることを確認してください。

  • データ所有者
  • アクセス ガイダンス
  • 保存先
  • データの処理とアクセスに使用されるツール
  • データ保持の要件

Azure アクティビティ ログを一元的なログ記録に統合します。 Monitor を介してログを取り込み、次のものによって生成されたセキュリティ データを集約します。

  • エンドポイント デバイス
  • ネットワーク リソース
  • その他のセキュリティ システム

Monitor で Log Analytics ワークスペースを使用してクエリを実行し、分析を行います。 長期およびアーカイブ ストレージにはストレージ アカウントを使用します。

さらに、Microsoft Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードします。

多くの組織では、頻繁に使用される "ホット" データに Microsoft Sentinel を使用することを選択しています。 これらの組織ではさらに、使用頻度の低い "コールド" データに Storage を選択します。

Service Bus で実行される可能性があるアプリケーションの場合、すべてのセキュリティ関連ログが SIEM に転送され、一元的に管理されます。

責任: Customer

LT-6:ログの保持期間を構成する

ガイダンス: Service Bus ログの保存に使用するストレージ アカウントまたは Log Analytics ワークスペースはありますか? 該当する場合は、組織のコンプライアンス規則を使用するログの保持期間を設定します。

責任: Customer

LT-7:承認された時刻同期ソースを使用する

ガイダンス: 適用できません。Service Bus では、独自の時刻同期ソースの構成はサポートされていません。

Service Bus サービスは、Microsoft の時刻同期ソースに依存しています。 構成のために顧客に公開されてはいません。

責任: Microsoft

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: Azure Blueprints を使用して、1 つのブループリント定義で、次のものを含む、サービスのデプロイおよび構成とアプリケーション環境を自動化します。

  • Azure Resource Manager テンプレート (ARM テンプレート)
  • Azure RBAC コントロール
  • ポリシー

詳細については、次の記事を参照してください。

責任: Customer

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: Microsoft Defender for Cloud を使用して構成基準を監視します。 Azure Policy "拒否" および "DeployIfNotExists" ポリシー定義を使用して、以下を含む、Azure コンピューティング リソース全体にセキュリティで保護された構成を適用します。

  • 仮想マシン
  • コンテナー
  • その他のコンピューティング リソース

詳細については、次の記事を参照してください。

責任: Customer

PV-3: コンピューティング リソースにセキュリティで保護された構成を確立する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Microsoft では、Service Bus をサポートしている基礎となるシステムで脆弱性の管理を行います。

責任: Microsoft

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス: 必要に応じて、Azure リソースに対して侵入テストまたは Red Team アクティビティを実施します。 すべての重大なセキュリティの検出結果を必ず修復してください。

侵入テストが Microsoft のポリシーに違反しないようにするには、Microsoft Cloud 侵入テストの実施ルールに従ってください。 Microsoft が管理している次のものに対する Red Teaming およびライブ サイト侵入テストに関する、Microsoft の戦略と実施を活用してください。

  • クラウド インフラストラクチャ
  • サービス
  • アプリケーション

詳細については、次の記事を参照してください。

責任: Customer

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-2: 一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス: Microsoft Antimalware は、Azure のサービス (例: Azure App Service) をサポートする、基になっているホストに対して有効になっています。 顧客のコンテンツに対しては実行されません。

責任: Microsoft

ES-3: マルウェア対策ソフトウェアとシグネチャが確実に更新されるようにする

ガイダンス: マルウェア対策の署名を迅速かつ一貫した方法で更新してください。

すべてのエンドポイントに最新の署名が適用されるようにするには、Microsoft Defender for Cloud の「コンピューティングとアプリ」の推奨事項に従います。

Windows の場合、Microsoft Antimalware により、既定で最新の署名とエンジンの更新プログラムが自動的にインストールされます。 Linux 環境で作業している場合は、サードパーティのマルウェア対策ソリューションを使用します。

詳細については、次のリファレンスを参照してください。

責任: Microsoft

バックアップと回復

詳細については、Azure セキュリティ ベンチマークの「バックアップと回復」を参照してください。

BR-1:定期的な自動バックアップを保証する

ガイダンス:Azure Service Bus の geo ディザスター リカバリーを構成します。 Azure リージョンまたはデータセンター全体 (可用性ゾーンが使用されていない場合) でダウンタイムが発生した場合は、どうなるでしょうか。 その場合、別のリージョンまたはデータセンターで引き続きデータ処理を行う必要があります。 geo ディザスター リカバリーと geo レプリケーションは、どの企業にとっても重要な機能です。 Azure Service Bus は、名前空間のレベルで、geo ディザスター リカバリーと geo レプリケーションの両方をサポートします。

責任: Customer

BR-2:バックアップ データを暗号化する

ガイダンス: Service Bus では、Azure Storage Service Encryption (Azure SSE) による保存データの暗号化が提供されます。 Service Bus は、Storage に依存してデータを格納しています。 既定では、Storage に格納されているすべてのデータは、Microsoft マネージド キーを使用して暗号化されます。 Key Vault を使用してカスタマー マネージド キーを格納する場合は、キーの自動バックアップを定期的に実行してください。

Backup-AzKeyVaultSecret PowerShell コマンドを使用して、Key Vault シークレットの定期的な自動バックアップを必ず実行します。

責任: 共有

BR-3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス: バックアップされたカスタマー マネージド キーを復元できることを定期的に確認します。

責任: Customer

BR-4:キー紛失のリスクを軽減する

ガイダンス: キーの紛失を回避および復旧する手段を用意します。 偶発的または悪意のある削除からキーを保護するために、Key Vault で論理的な削除と消去保護を有効にます。

責任: Customer

次のステップ