Service Fabric 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 1.0 のガイダンスが Service Fabric に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、Service Fabric に適用される Azure セキュリティ ベンチマークと関連ガイダンスで定義されているセキュリティ コントロールによってグループ化されています。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ダッシュボードの [規制コンプライアンス] セクションに一覧表示されます。

セクションに関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Service Fabric に適用されないコントロール、または Microsoft が責任を持つものは、除外されています。 Service Fabric を完全に Azure セキュリティ ベンチマークにマップする方法については、 完全な Service Fabric セキュリティ ベースライン マッピング ファイル を参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

1.1:仮想ネットワーク内の Azure リソースを保護する

ガイダンス: すべての Virtual Network サブネット デプロイに、アプリケーションの信頼されたポートとソースに固有のネットワーク アクセス制御が適用されたネットワーク セキュリティ グループがあることを確認します。

責任: Customer

1.2:仮想ネットワーク、サブネット、NIC の構成とトラフィックを監視してログに記録する

ガイダンス: Microsoft Defender for Cloud を使用して、Azure Service Fabric クラスターをセキュリティで保護するために使用される仮想ネットワーク、サブネット、およびネットワーク セキュリティ グループのネットワーク保護に関する推奨事項を修正します。 ネットワーク セキュリティ グループのフロー ログを有効にし、トラフィック監査のためにログを Azure Storage アカウントに送信します。 ネットワーク セキュリティ グループのフロー ログを Azure Log Analytics ワークスペースに送信し、Azure Traffic Analytics を使用して Azure クラウド内のトラフィック フローに関する分析情報を提供することもできます。 Azure Traffic Analytics のいくつかの利点として、ネットワーク アクティビティを視覚化してホット スポットを特定したり、セキュリティの脅威を識別したり、トラフィック フロー パターンを把握したり、ネットワークの誤った構成の正確な場所を特定したりする機能が挙げられます。

責任: Customer

1.3:重要な Web アプリケーションを保護する

ガイダンス:ユーザー、デバイス、またはその他のアプリケーションに単一のイングレス ポイントを提供するフロントエンド ゲートウェイを提供します。 Azure API Management を Service Fabric と直接統合することで、バックエンド サービスへのアクセスをセキュリティで保護し、帯域幅調整を使用して DOS 攻撃を防止し、API キー、JWT トークン、証明書、およびその他の資格情報を検証することができます。

着信トラフィックをさらに検査するために、Azure Web アプリケーション ファイアウォール (WAF) を重要な Web アプリケーションの前にデプロイすることを検討してください。 WAF の診断設定を有効にし、ストレージ アカウント、イベント ハブ、または Log Analytics ワークスペースにログを取り込みます。

責任: Customer

1.4:既知の悪意のある IP アドレスとの通信を拒否する

ガイダンス: DDoS 攻撃からの保護のために、Azure Service Fabric クラスターがデプロイされている仮想ネットワーク上で Azure DDoS Standard Protection を有効にします。 Microsoft Defender for Cloud の統合された脅威インテリジェンスを使用して、既知の悪意のある、または未使用のインターネット IP アドレスとの通信を拒否します。

責任: Customer

1.5:ネットワーク パケットを記録する

ガイダンス: Service Fabric クラスターを保護するために使用されているサブネットに接続されたネットワーク セキュリティ グループ用に、ネットワーク セキュリティ グループのフロー ログを有効にします。 フロー レコードを生成するために、NSG フロー ログを Azure Storage アカウントに記録します。 異常なアクティビティを調査する必要がある場合は、Azure Network Watcher パケット キャプチャを有効にします。

責任: Customer

1.6:ネットワーク ベースの侵入検出または侵入防止システム (IDS または IPS) をデプロイする

ガイダンス: ペイロード検査能力を備えた IDS または IPS 機能をサポートする Azure Marketplace からのプランを選択します。 ペイロード検査に基づく侵入検出または侵入防止が要件でない場合は、脅威インテリジェンスを備えた Azure Firewall を使用できます。 Azure Firewall の脅威インテリジェンス ベースのフィルター処理では、既知の悪意のある IP アドレスおよびドメインとの間のトラフィックを警告処理して拒否できます。 この IP アドレスとドメインのソースは、Microsoft の脅威インテリジェンス フィードです。

悪意のあるトラフィックを検出および拒否できるように、組織の各ネットワーク境界に任意のファイアウォール ソリューションをデプロイします。

責任: Customer

1.7:Web アプリケーションへのトラフィックを管理する

ガイダンス: 信頼できる証明書に対して HTTPS/SSL を有効にした Web アプリケーションの Azure Application Gateway をデプロイします。

責任: Customer

1.8:ネットワーク セキュリティ規則の複雑さと管理オーバーヘッドを最小限に抑える

ガイダンス: 仮想ネットワーク サービス タグを使用して、Azure Service Fabric クラスターがデプロイされているサブネットに接続されたネットワーク セキュリティ グループ (NSG) に対して、ネットワーク アクセス制御を定義します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 規則の適切なソースまたは宛先フィールドにサービス タグ名 (ApiManagement など) を指定することにより、対応するサービスのトラフィックを許可または拒否できます。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。

責任: Customer

1.9:ネットワーク デバイスの標準的なセキュリティ構成を維持する

ガイダンス: Azure Service Fabric クラスターに関連するネットワーク リソースの標準的なセキュリティ構成を定義して、実装します。 Azure Service Fabric クラスターのネットワーク構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft.ServiceFabric" と "Microsoft.Network" 名前空間内で Azure Policy エイリアスを使用します。

Azure Blueprints を使用して、Azure Resource Manager テンプレート、Azure RBAC コントロール、ポリシーなどの主要な環境成果物を単一のブループリント定義にパッケージ化することで、大規模な Azure デプロイを簡略化することもできます。 ブループリントを新しいサブスクリプションと環境に簡単に適用し、バージョン管理によって制御と管理を微調整します。

責任: Customer

1.10:トラフィック構成規則を文書化する

ガイダンス: Service Fabric クラスターに関連付けられているネットワーク セキュリティおよびトラフィック フローに関連したネットワーク セキュリティ グループやその他のリソースにタグを使用します。 個々のネットワーク セキュリティ グループ規則については、[説明] フィールドを使用して、ネットワークとの間のトラフィックを許可するすべての規則のビジネス ニーズや期間などを指定します。

すべてのリソースが確実にタグ付きで作成され、既存のタグ付けされていないリソースがユーザーに通知されるようにするには、タグ付けに関連したいずれかの組み込みの Azure Policy 定義 ("タグとその値が必要" など) を使用します。

Azure PowerShell または Azure コマンド ライン インターフェイス (CLI) を使用して、タグに基づいてリソースを検索したり、リソースに対するアクションを実行したりすることもできます。

責任: Customer

1.11:自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する

ガイダンス:Azure アクティビティ ログを使用して、ネットワーク リソース構成を監視し、Azure Service Fabric のデプロイに関連するネットワーク リソースの変更を検出します。 重要なネットワーク リソースへの変更が発生するとトリガーされる Azure Monitor 内のアラートを作成します。

責任: Customer

ログ記録と監視

詳細については、Azure セキュリティ ベンチマークの「ログ記録と監視」を参照してください。

2.2:セキュリティ ログの一元管理を構成する

ガイダンス: クラスターによって生成されたセキュリティ データを集計するために、Azure Monitor に Azure Service Fabric クラスターをオンボードできます。 Service Fabric での診断の問題と解決策の例を参照してください。

責任: Customer

2.3:Azure リソースの監査ログ記録を有効にする

ガイダンス: Service Fabric クラスター用に Azure Monitor を有効にして、Log Analytics ワークスペースにダイレクトします。 これにより、すべての Azure Service Fabric クラスター ノードの関連するクラスター情報と OS メトリックがログに記録されます。

責任: Customer

2.4:オペレーティング システムからセキュリティ ログを収集する

ガイダンス: Azure Service Fabric クラスターを Azure Monitor にオンボードします。 使用される Log Analytics ワークスペースに、組織のコンプライアンス規則に従ったログの保有期間が設定されていることを確認します。

責任: Customer

2.5:セキュリティ ログのストレージ保持を構成する

ガイダンス: Service Fabric クラスターを Azure Monitor にオンボードします。 使用される Log Analytics ワークスペースに、組織のコンプライアンス規則に従ったログの保有期間が設定されていることを確認します。

責任: Customer

2.6:ログを監視して確認する

ガイダンス: Azure Log Analytics ワークスペース クエリを使用して Azure Service Fabric ログに対してクエリを実行します。

責任: Customer

2.7:異常なアクティビティについてのアラートを有効にする

ガイダンス: Azure Log Analytics ワークスペースを使用して、Azure Service Fabric クラスターに関連するセキュリティ ログやイベントでの異常なアクティビティを監視し、アラート通知を行います。

責任: Customer

2.8:マルウェア対策のログ記録を一元管理する

ガイダンス: Windows Server 2016 には、Windows Defender が既定でインストールされます。 Windows Defender を使用していない場合は、お使いのマルウェア対策のドキュメントを参照して構成ルールを確認してください。 Windows Defender は、Linux ではサポートされていません。

責任: Customer

2.9:DNS クエリのログ記録を有効にする

ガイダンス: DNS ログ記録用のサード パーティ ソリューションを実装します。

責任: Customer

2.10:コマンドライン監査ログ記録を有効にする

ガイダンス:ノード単位でのコンソールのログ記録を手動で構成します。

責任: Customer

ID およびアクセス制御

詳細については、Azure セキュリティ ベンチマークの「ID およびアクセス制御」を参照してください。

3.1: 管理アカウントのインベントリを維持する

ガイダンス: Azure Service Fabric クラスターのクラスター プロビジョニング中に作成されたローカル管理者アカウントや、作成したその他のすべてのアカウントのレコードを管理します。 さらに、Azure Active Directory (Azure AD) 統合が使用されている場合、Azure AD には、明示的に割り当てる必要があるためにクエリ可能である組み込みロールがあります。 Azure AD PowerShell モジュールを使用してアドホック クエリを実行し、管理グループのメンバーであるアカウントを検出します。

また、Microsoft Defender for Cloud の ID およびアクセス管理の推奨事項を使用できます。

責任: Customer

3.2: 既定のパスワードを変更する (該当する場合)

ガイダンス: クラスターをプロビジョニングする場合、Azure では、Web ポータル用の新しいパスワードを作成する必要があります。 変更する既定のパスワードはありませんが、Web ポータル アクセスに対して異なるパスワードを指定できます。

責任: Customer

3.3: 専用管理者アカウントを使用する

ガイダンス: Service Fabric の認証を Azure Active Directory (Azure AD) と統合します。 専用の管理者アカウントの使用に関するポリシーと手順を作成します。

また、Microsoft Defender for Cloud の ID およびアクセス管理の推奨事項を使用できます。

責任: Customer

3.4: シングル サインオン (SSO) と Azure Active Directory を統合する

ガイダンス: 可能な限り、サービスごとに個別のスタンドアロン資格情報を構成するのではなく、Azure Active Directory (Azure AD) SSO を使用します。 Microsoft Defender for Cloud の ID およびアクセス管理の推奨事項を使用します。

責任: Customer

3.5: すべての Azure Active Directory ベースのアクセスに多要素認証を使用する

ガイダンス: Azure Active Directory (Azure AD) 多要素認証を有効にし、Microsoft Defender for Cloud の ID およびアクセス管理の推奨事項に従います。

責任: Customer

3.6: すべての管理タスクに専用マシン (特権アクセス ワークステーション) を使用する

ガイダンス: 多要素認証が構成された特権アクセス ワークステーション (PAW) を使用してログインし、Service Fabric クラスターと関連リソースを構成します。

責任: Customer

3.7: 管理者アカウントからの疑わしいアクティビティに関するログとアラート

ガイダンス: Azure Active Directory (Azure AD) Privileged Identity Management (PIM) を使用して、環境内で疑わしいアクティビティまたは安全ではないアクティビティが発生したときにログとアラートを生成します。 また、Azure AD のリスク検出を使用して、危険なユーザーの行動に関するアラートとレポートを表示します。

責任: Customer

3.8:承認された場所からのみ Azure リソースを管理する

ガイダンス: 条件付きアクセスのネームド ロケーションを使用して、IP アドレス範囲または国/地域の特定の論理グループからのアクセスのみを許可します。

責任: Customer

3.9: Azure Active Directory を使用する

ガイダンス: Service Fabric クラスターの管理エンドポイントへのアクセスをセキュリティで保護するには、Azure Active Directory (Azure AD) を中央認証および認可システムとして使用します。 Azure AD でデータを保護するには、保存データと転送中のデータに強力な暗号化を使用します。 また、Azure AD では、ユーザーの資格情報がソルト化およびハッシュされ、安全に格納されます。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.ServiceFabric:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します Audit、Deny、Disabled 1.1.0

3.10: ユーザー アクセスを定期的に確認して調整する

ガイダンス:Service Fabric クラスターで Azure Active Directory (Azure AD) の認証を使用します。 Azure AD には、古いアカウントの検出に役立つログが用意されています。 また、Azure ID アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理します。 ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。

責任: Customer

3.11: アカウント ログイン動作の偏差に関するアラートを生成する

ガイダンス:Azure Active Directory (Azure AD) サインインと監査ログを使用して、非アクティブ化されたアカウントへのアクセス試行の監視を行います。これらのログは、任意のサードパーティ製 SIEM または監視ツールに統合できます。

このプロセスを合理化するには、Azure AD ユーザー アカウントの診断設定を作成し、監査ログとサインイン ログを Azure Log Analytics ワークスペースに送信します。 Azure Log Analytics ワークスペース内に目的のアラートを構成します。

責任: Customer

3.12: アカウント サインイン動作の偏差に関するアラートを生成する

ガイダンス: Azure Active Directory (Azure AD) のリスクおよび ID Protectoin 機能を使用して、ユーザー ID に関連して検出された疑わしいアクションに対する自動応答を構成します。 Microsoft Sentinel にデータを取り込んで、さらに詳しく調査することもできます。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

4.1: 機密情報のインベントリを維持する

ガイダンス: Service Fabric クラスターのデプロイに関連するリソースに対してタグを使用すると、機密情報を格納または処理する Azure リソースの追跡に役立ちます。

責任: Customer

4.2:機密情報を格納または処理するシステムを分離する

ガイダンス:開発、テスト、および運用で別々のサブスクリプションまたは管理グループ、あるいはその両方を実装します。 リソースは、仮想ネットワークまたはサブネットで分離し、適切にタグ付けし、さらにネットワーク セキュリティ グループまたは Azure Firewall を使用してセキュリティで保護する必要があります。 機密データを格納または処理するリソースは、十分に分離する必要があります。 機密データを格納または処理する仮想マシンでは、使用されていないときにはオフにするためのポリシーと手順を実装します。

責任: Customer

4.3:機密情報の承認されていない転送を監視してブロックする

ガイダンス: 機密情報の承認されていない転送を監視して、情報セキュリティ担当者にアラートを送信すると同時に、そのような転送をブロックする自動ツールをネットワーク境界にデプロイします。

Microsoft によって管理される基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護するためにあらゆる手段を尽くします。 Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。

責任: 共有

4.4:転送中のすべての機密情報を暗号化する

ガイダンス:転送中のすべての機密情報を暗号化します。 Azure リソースに接続しているすべてのクライアントが TLS 1.2 以上をネゴシエートできることを確認します。

Service Fabric のクライアントとノードの間の相互認証には、サーバー ID 用の X.509 証明書と、http 通信の TLS 暗号化を使用します。 レプリケーション時のノード間でのアプリケーション構成値やデータの暗号化や暗号化解読など、アプリケーションのセキュリティを実現するため、任意の数の証明書をクラスターに追加でインストールできます。 該当する場合、保存時と転送時の暗号化に関する Microsoft Defender for Cloud の推奨事項に従います。

責任: 共有

4.5:アクティブ検出ツールを使用して機密データを特定する

ガイダンス:Azure Storage またはコンピューティング リソースでは、データの識別、分類、損失防止機能はまだ使用できません。 コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。

Microsoft によって管理される基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護するためにあらゆる手段を尽くします。 Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。

責任: 共有

4.7:ホストベースのデータ損失防止を使用してアクセス制御を実施する

ガイダンス: 機密情報を格納または処理する Service Fabric クラスターの場合は、タグを使用してクラスターと関連リソースを機密としてマークします。 Azure Storage またはコンピューティング リソースでは、データの識別、分類、損失防止機能はまだ使用できません。 コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。

Microsoft によって管理される基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護するためにあらゆる手段を尽くします。 Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。

責任: 共有

4.8:機密情報を保存時に暗号化する

ガイダンス: すべての Azure リソースで保存時の暗号化を使用します。 Microsoft では、Azure に暗号化キーの管理を許可することをお勧めしていますが、一部のインスタンスでユーザーが自身のキーを管理するという選択肢もあります。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.ServiceFabric:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します Audit、Deny、Disabled 1.1.0

4.9:重要な Azure リソースへの変更に関するログとアラート

ガイダンス: Azure アクティビティ ログで Azure Monitor を使用して、重要な Azure リソースに変更が加えられたときのアラートを作成します。

責任: Customer

脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「脆弱性の管理」を参照してください。

5.1:自動化された脆弱性スキャン ツールを実行する

ガイダンス: Service Fabric Fault Analysis Service と Chaos サービスを定期的に実行して、クラスター全体で障害をシミュレートし、サービスの堅牢性と信頼性を評価します。

Azure 仮想マシンとコンテナー イメージに対して脆弱性評価を実行することに関する Microsoft Defender for Cloud の推奨事項に従います。

ネットワーク デバイスと Web アプリケーションで脆弱性評価を実行するためのサードパーティ ソリューションを使用します。 リモート スキャンを実施する場合は、1 つの永続的な管理者アカウントを使用しないでください。 スキャン アカウントには、JIT プロビジョニングの方法論を実装することを検討してください。 スキャン アカウントの資格情報は保護と監視の対象とし、脆弱性のスキャンのためにのみ使用する必要があります。

責任: Customer

5.2:自動化されたオペレーティング システム修正プログラム管理ソリューションを展開する

ガイダンス: Service Fabric クラスターの仮想マシン スケール セットで OS イメージの自動アップグレードを有効にします。

または、運用環境に移行する前に OS 修正プログラムをテストするには、スケール セットの OS イメージのアップグレードに手動トリガーを使用します。 手動トリガー オプションには、組み込みのロールバックが用意されていないことに注意してください。 Azure Automation の Update Management を使用して OS 修正プログラムを監視します。

責任: Customer

5.3:サード パーティ ソフトウェア タイトル用の自動化された修正プログラム管理ソリューションをデプロイする

ガイダンス:Azure Service Fabric クラスターの仮想マシン スケール セットで OS イメージの自動アップグレードを有効にします。 パッチ オーケストレーション アプリケーション (POA) は、Azure の外部でホストされている Service Fabric クラスターを対象とした別のソリューションです。 POA は Azure クラスターで使用できますが、追加のホスティング オーバーヘッドが伴います。

責任: Customer

5.4:バックツーバックの脆弱性スキャンを比較する

ガイダンス: スキャン結果を一定の間隔でエクスポートして結果を比較し、脆弱性が修復されていることを確認します。 Microsoft Defender for Cloud によって提案された脆弱性管理の推奨事項を使用する場合は、選択したソリューションのポータルに切り替えてスキャン データの履歴を表示できます。

責任: Customer

5.5:リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける

ガイダンス:一般的なリスク スコアリング プログラム (Common Vulnerability Scoring System など)、またはサードパーティのスキャン ツールによって提供される既定のリスク評価を使用します。

責任: Customer

インベントリと資産の管理

詳細については、Azure セキュリティ ベンチマークの「インベントリと資産の管理」を参照してください。

6.1:自動化された資産検出ソリューションを使用する

ガイダンス:Azure Resource Graph を使用して、サブスクリプション内のすべてのリソース (コンピューティング、ストレージ、ネットワーク、ポート、プロトコルなど) のクエリまたは検出を行います。 テナントで適切な (読み取り) アクセス許可を確認し、サブスクリプション内のリソースだけでなく、すべての Azure サブスクリプションを列挙します。

従来の Azure リソースは Resource Graph で検出できますが、今後は Azure Resource Manager リソースを作成して使用することを強くお勧めします。

責任: Customer

6.2:資産メタデータを保持する

ガイダンス:メタデータを提供する Azure リソースにタグを適用すると、それらのリソースが各分類に論理的に整理されます。

責任: Customer

6.3:承認されていない Azure リソースを削除する

ガイダンス:必要に応じて、タグ付け、管理グループ、および個別のサブスクリプションを使用して、資産の整理と追跡を行います。 定期的にインベントリを調整し、承認されていないリソースがサブスクリプションから適切なタイミングで削除されるようにします。

責任: Customer

6.4:承認された Azure リソースのインベントリを定義および管理する

ガイダンス:コンピューティング リソース用に承認された Azure リソースと承認されたソフトウェアを定義します。

責任: Customer

6.5:承認されていない Azure リソースを監視する

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。

  • 許可されないリソースの種類

  • 許可されるリソースの種類

サブスクリプション内のリソースのクエリまたは検出を行うには、Azure Resource Graph を使用します。 環境に存在するすべての Azure リソースが承認されていることを確認します。

責任: Customer

6.6:コンピューティング リソース内の承認されていないソフトウェア アプリケーションを監視する

ガイダンス:クラスター ノード上で承認されていないソフトウェア アプリケーションを監視するためのサードパーティ ソリューションを実装します。

責任: Customer

6.7:承認されていない Azure リソースとソフトウェア アプリケーションを削除する

ガイダンス: Azure Resource Graph を使用して、Service Fabric クラスターを含めて、サブスクリプション内のすべてのリソース (コンピューティング、ストレージ、ネットワーク、ポート、プロトコルなど) のクエリまたは検出を行います。 検出された承認されていない Azure リソースを削除します。 Service Fabric クラスター ノードの場合は、承認されていないソフトウェアの削除またはアラート通知を行うためのサードパーティ ソリューションを実装します。

責任: Customer

6.8:承認されたアプリケーションのみを使用する

ガイダンス: Service Fabric クラスター ノードの場合は、承認されていないソフトウェアの実行を防止するためのサードパーティ ソリューションを実装します。

責任: Customer

6.9:承認された Azure サービスのみを使用する

ガイダンス: Azure Policy を使用して、環境内でプロビジョニングできるサービスを制限します。

責任: Customer

6.10:承認されたソフトウェア タイトルのインベントリを管理する

ガイダンス: Azure Service Fabric クラスター ノードの場合は、承認されていないファイルの種類の実行を防止するためのサードパーティ ソリューションを実装します。

責任: Customer

6.11:Azure Resource Manager を操作するユーザーの機能を制限する

ガイダンス: "Microsoft Azure Management" アプリに対して [アクセスのブロック] を構成することによって、Azure Resource Manager を操作するユーザーの機能を制限するには、Azure 条件付きアクセスを使用します。

責任: Customer

6.12:コンピューティング リソース内でスクリプトを実行するユーザーの機能を制限する

ガイダンス: オペレーティング システム固有の構成またはサードパーティのリソースを使用して、ユーザーの Azure コンピューティング リソース内でスクリプトを実行する機能を制限します。

責任: Customer

6.13:リスクの高いアプリケーションを物理的または論理的に分離する

ガイダンス: 業務に必要であっても、組織のリスクが高くなる可能性があるソフトウェアは、独自の仮想マシンや仮想ネットワーク内に隔離し、Azure Firewall またはネットワーク セキュリティ グループで十分に保護する必要があります。

責任: Customer

セキュリティで保護された構成

詳細については、Azure セキュリティ ベンチマークの「セキュリティで保護された構成」を参照してください。

7.1:すべての Azure リソースに対してセキュリティで保護された構成を確立する

ガイダンス: Service Fabric クラスターのネットワーク構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft.ServiceFabric" 名前空間内で Azure Policy エイリアスを使用します。

責任: Customer

7.2:セキュリティで保護されたオペレーティング システムの構成を確立する

ガイダンス: Service Fabric のオペレーティング システム イメージは、Microsoft によって管理および保守されます。 クラスター ノードのオペレーティング システムにセキュリティで保護された構成を実装する責任は、お客様が負います。

責任: Customer

7.3:セキュリティで保護された Azure リソースの構成を維持する

ガイダンス: Azure Service Fabric クラスターと関連リソースにセキュリティで保護された設定を適用するには、Azure Policy の [deny] と [deploy if not exist] の効果を使用します。

責任: Customer

7.4:セキュリティで保護されたオペレーティング システムの構成を維持する

ガイダンス: Service Fabric クラスターのオペレーティング システム イメージは、Microsoft によって管理および保守されます。 OS レベルの状態構成を実装する責任は、お客様が負います。

責任: 共有

7.5:Azure リソースの構成を安全に格納する

ガイダンス: カスタムの Azure Policy 定義を使用する場合は、Azure DevOps または Azure Repos を使用して、コードを安全に格納して管理します。

責任: Customer

7.6:カスタム オペレーティング システム イメージを安全に格納する

ガイダンス: カスタム イメージを使用している場合は、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、確実に承認されたユーザーのみがイメージにアクセスできるようにします。 コンテナー イメージの場合は、Azure Container Registry に保存し、Azure RBAC を利用して、承認されたユーザーのみがイメージにアクセスできるようにします。

責任: Customer

7.7:Azure リソース用の構成管理ツールをデプロイする

ガイダンス: システム構成を警告処理、監査、適用するためのカスタム ポリシーを作成するには、"Microsoft.ServiceFabric" 名前空間で Azure Policy エイリアスを使用します。 さらに、ポリシー例外を管理するためのプロセスとパイプラインを作成します。

責任: Customer

7.9:Azure リソースの自動構成監視を実装する

ガイダンス: Service Fabric クラスターの構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft.ServiceFabric" 名前空間内で Azure Policy エイリアスを使用します。

責任: Customer

7.10:オペレーティング システムの自動構成監視を実装する

ガイダンス: Microsoft Defender for Cloud を使用して、コンテナーの OS と Docker の設定のベースライン スキャンを実行します。

責任: Customer

7.11:Azure シークレットを安全に管理する

ガイダンス: マネージド サービス ID を Azure Key Vault と組み合わせて使用し、クラウド アプリケーションのシークレット管理を簡素化し、セキュリティで保護します。

責任: Customer

7.12:ID を安全かつ自動的に管理する

ガイダンス: マネージド ID は、Azure にデプロイされた Service Fabric クラスターや、Azure リソースとしてデプロイされたアプリケーションで使用できます。 マネージド ID を使用すると、コードに資格情報を追加しなくても、Azure Active Directory (Azure AD) の認証をサポートするさまざまなサービス (Key Vault を含む) に対して認証を行うことができます。

責任: Customer

7.13:意図しない資格情報の公開を排除する

ガイダンス:Azure Service Fabric のデプロイに関連するコードを使用する場合は、資格情報スキャナーを実装して、コード内で資格情報を識別することができます。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。

Service Fabric クラスターの証明書を自動的にローテーションするには、Azure Key Vault を使用します。

責任: Customer

マルウェアからの防御

詳細については、Azure セキュリティ ベンチマークの「マルウェアからの防御」を参照してください。

8.1:一元管理されるマルウェア対策ソフトウェアを使用する

ガイダンス: Windows Server 2016 には、Windows Defender ウイルス対策が既定でインストールされます。 一部の SKU ではユーザー インターフェイスが既定でインストールされますが、必須ではありません。

Windows Defender を使用していない場合は、お使いのマルウェア対策のドキュメントで構成ルールを参照してください。 Windows Defender は、Linux ではサポートされていません。

責任: Customer

データの復旧

詳細については、Azure セキュリティ ベンチマークの「データの復旧」を参照してください。

9.1:定期的に自動バックアップを行う

ガイダンス: Service Fabric のバックアップと復元サービスを使用すると、ステートフル サービスに格納された情報を簡単かつ自動的にバックアップできます。 定期的にアプリケーション データをバックアップすることは、データが失われたりサービスを利用できなくなったりしないように保護するために不可欠です。 Service Fabric には、オプションで提供されるバックアップと復元サービスがあります。このサービスを使用すると、追加のコードを記述することなく、ステートフルな Reliable Services の定期的なバックアップを構成できます (Actor Services も対象になります)。 これまでに実行したバックアップも簡単に復元できます。

責任: Customer

9.2: システムの完全バックアップを実行し、すべてのカスタマー マネージド キーをバックアップする

ガイダンス: Service Fabric クラスターでバックアップ復元サービスを有効にし、ステートフル サービスを定期的かつオンデマンドでバックアップするバックアップ ポリシーを作成します。 Azure Key Vault 内のカスタマー マネージド キーをバックアップします。

責任: Customer

9.3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス:バックアップ構成情報と利用可能なバックアップを定期的に確認することにより、確実にバックアップ復元サービスから復元を実行できるようにします。 バックアップされたカスタマー マネージド キーの復元をテストします。

責任: Customer

9.4: バックアップとカスタマー マネージド キーの保護を保証する

ガイダンス: Service Fabric のバックアップ復元サービスからのバックアップには、サブスクリプションの Azure Storage アカウントを使用します。 Azure Storage は、保存されているストレージ アカウント内のすべてのデータを暗号化します。 規定では、データは Microsoft のマネージド キーで暗号化されます。 暗号化キーをさらに制御するには、ストレージ データの暗号化のためにカスタマー マネージド キーを用意します。

カスタマー マネージド キーを使用している場合は、キーを偶発的または悪意のある削除から保護するために、Key Vault の論理的な削除が有効であることを確認します。

責任: Customer

インシデント対応

詳細については、Azure セキュリティ ベンチマークの「インシデント対応」を参照してください。

10.1:インシデント対応ガイドを作成する

ガイダンス: 組織のインシデント対応ガイドを作成します。 要員のすべてのロールと、検出からインシデント後のレビューまでのインシデント対応と管理のフェーズを定義する、書面によるインシデント対応計画があることを確認します。

責任: Customer

10.2:インシデントのスコアリングと優先順位付けの手順を作成する

ガイダンス: Microsoft Defender for Cloud によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。 重要度は、アラートの発行に使用された検出内容またはメトリックに対する Microsoft Defender for Cloud の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。

さらに、タグを使用してサブスクリプションをマークし、Azure リソース (特に、機密データを処理するもの) を識別して分類するための命名システムを作成します。 インシデントが発生した Azure リソースと環境の重要度に基づいてアラートの修復に優先順位を付けることは、お客様の責任です。

責任: Customer

10.3:セキュリティ対応手順のテスト

ガイダンス:定期的にシステムのインシデント対応機能をテストする演習を実施します。 弱点やギャップを特定し、必要に応じて計画を見直します。

責任: Customer

10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します

ガイダンス:セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) でユーザーのデータが違法または権限のないユーザーによってアクセスされたことが検出された場合に、Microsoft からの連絡先として使用されます。 事後にインシデントをレビューして、問題が解決されていることを確認します。

責任: Customer

10.5:インシデント対応システムにセキュリティ アラートを組み込む

ガイダンス: 連続エクスポート機能を使用して Microsoft Defender for Cloud のアラートと推奨事項をエクスポートします。 連続エクスポートを使用すると、アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートできます。 Microsoft Defender for Cloud データ コネクタを使用してアラートを Sentinel にストリーミングできます。

責任: Customer

10.6:セキュリティ アラートへの対応を自動化する

ガイダンス: セキュリティ アラートや推奨事項に対して「Logic Apps」経由で応答を自動的にトリガーするには、Microsoft Defender for Cloud のワークフローの自動化機能を使用します。

責任: Customer

侵入テストとレッド チーム演習

詳細については、Azure セキュリティ ベンチマークの「侵入テストとレッド チーム演習」を参照してください。

11.1:Azure リソースの通常の侵入テストを実施し、セキュリティに関する重大な調査結果がすべて、確実に修復されるようにする

ガイダンス: お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

次のステップ