Azure Stack Edge に関する Azure セキュリティ ベースライン

このセキュリティ ベースラインによって、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Microsoft Azure Stack Edge に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、Azure セキュリティ ベンチマークおよび Azure Stack Edge に適用できる関連ガイダンスによって定義されているセキュリティ制御でグループ化されています。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Azure Stack Edge に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Azure Stack Edge を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Azure Stack Edge セキュリティ ベースライン マッピング ファイルを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス:お客様は、Microsoft が提供する物理的な Azure Stack Edge デバイスを内部アクセス用のプライベート ネットワークに配置し、そのセキュリティ保護をさらに強化できます。 たとえば、Azure Stack Edge デバイスには、お客様の内部ネットワークを介してアクセスでき、お客様が構成した IP が必要です。 また、デバイスのユーザー インターフェイスにアクセスするためのアクセス パスワードは、お客様が選択します。

内部トラフィックは、次の方法でさらに保護されます。

  • Azure Stack Edge デバイスの Azure portal および SDK の管理には、トランスポート層セキュリティ (TLS) バージョン 1.2 が必要です。

  • デバイスへのすべてのクライアント アクセスは、既定のセキュリティ保護プロトコルとして標準の TLS 1.2 を使用するローカル Web UI を通して行われます。

  • お客様が Azure サブスクリプションで作成した Azure Stack Edge サービスに参加できるのは、承認された Azure Stack Edge Pro デバイスのみです。

追加情報については、参照先のリンクをご覧ください。

責任: Customer

NS-2: プライベート ネットワークをまとめて接続する

ガイダンス:お客様は、オンプレミスのプライベート ネットワークから Azure ネットワークに Azure Stack Edge デバイスを接続するために、ポイント対サイト仮想プライベート ネットワーク (VPN) を選択できます。 VPN を使用すると、お客様のデバイスから Azure へのトランスポート層セキュリティ経由でのデータの移動に対し、2 番目の暗号化レイヤーが提供されます。

お客様は、Azure portal または Azure PowerShell を使用して、Azure Stack Edge デバイスでの仮想プライベート ネットワークを構成できます。

責任: Customer

NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する

ガイダンス:お客様は、オンプレミスのプライベート ネットワークから Azure ネットワークに Azure Stack Edge デバイスを接続するために、ポイント対サイト仮想プライベート ネットワーク (VPN) を選択できます。 VPN を使用すると、お客様のデバイスから Azure へのトランスポート層セキュリティ経由でのデータの移動に対し、2 番目の暗号化レイヤーが提供されます。

責任: Customer

NS-4: 外部ネットワーク攻撃からアプリケーションやサービスを保護する

ガイダンス:Azure Stack Edge デバイスにより、標準の Windows Server ネットワーク保護機能が組み込まれ、お客様はそれを構成できません。

お客様は、高度な分散型サービス拒否 (DDoS) 保護を備えたファイアウォールなどのネットワーク仮想アプライアンスを使用して、Azure Stack Edge デバイスに接続されているプライベート ネットワークを、外部の攻撃から保護することを選択できます。

責任: 共有

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Azure Active Directory (Azure AD) 認証は、Azure portal を介して Azure Stack Edge デバイスで実行されるすべての管理操作に必要です。 Azure Stack Hub には、Azure AD、または Azure AD を使用する Active Directory フェデレーション サービス (AD FS) が ID プロバイダーとして必要です。

Azure AD で標準化して、以下で組織の ID とアクセス管理を統制します。

  • Azure portal、Azure Storage、Azure Virtual Machines (Linux と Windows)、Azure Key Vault、サービスとしてのプラットフォーム (PaaS)、サービスとしてのソフトウェア (SaaS) アプリケーションなどの Microsoft Cloud リソース

  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース

Azure AD は、Azure portal を介してデバイスにアクセスする場合にのみ使用されることに注意してください。 Azure Stack Edge デバイスに対するローカル管理操作では、Azure AD は利用されません。

責任: Microsoft

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス:すべての Azure Stack Edge デバイスには、Azure Active Directory (Azure AD) において、システム割り当てのマネージド ID が自動的に設定されます。 現在、マネージド ID は Azure Stack Edge でホストされる仮想マシンのクラウド管理に使用されます。

Azure Stack Edge デバイスは、ローカル アクセスに対してロックされた状態で起動されます。 ローカル デバイス管理者アカウントについては、ローカル Web ユーザー インターフェイスまたは PowerShell インターフェイスを使用してデバイスに接続し、強力なパスワードを設定する必要があります。 デバイス管理者の資格情報は、Azure Key Vault などの安全な場所に保管して管理し、組織の基準に従って管理者パスワードをローテーションします。

責任: 共有

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス:Azure Stack Edge エンドポイント デバイスについては、シングル サインオンはサポートされていません。 ただし、標準の Azure Active Directory (Azure AD) ベースのシングル サインオンを有効にして、Azure クラウド リソースへのアクセスをセキュリティで保護することができます。

責任: Customer

IM-7:意図しない資格情報の公開を排除する

ガイダンス:ベスト プラクティスに従って、次のような資格情報を保護します。

  • Azure の Azure Stack Edge リソースでデバイスをアクティブにするために使用されるアクティブ化キー。
  • Azure Stack Edge デバイスにアクセスするためのサインイン資格情報。
  • Azure Stack Edge デバイスの復旧を容易にできるキー ファイル。
  • チャネル暗号化キー

承認されていないユーザーからのストレージ アカウントの保護に役立つように、定期的にストレージ アカウント キーをローテーションし、その後同期します。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス:Azure Stack Edge には、デバイスを構成できる "EdgeUser" という名前のユーザーがあります。 また、デバイスでのローカル Azure Resource Manager 機能用に、"EdgeArmUser" という Azure Resource Manager ユーザーもあります。

ベスト プラクティスに従って、次のものを保護する必要があります。

  • オンプレミス デバイスへのアクセスに使用される資格情報

  • SMB 共有の資格情報。

  • NFS 共有を使用するように構成されているクライアント システムへのアクセス。

  • BLOB REST API を使用するときにローカル ストレージ アカウントにアクセスするために使用されるローカル ストレージ アカウント キー。

追加情報については、参照リンクを参照してください。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス:セキュリティで保護されて分離されたワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高い役割のセキュリティにとって非常に重要です。 管理タスクには高度にセキュリティ保護されたユーザー ワークステーションを使用します。Azure Bastion は、使用しても、しなくてもかまいません。 Azure Active Directory (Azure AD)、Microsoft Defender Advanced Threat Protection (ATP)、Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションを配置します。

セキュリティで保護されたワークステーションを一元管理して、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなどのセキュリティで保護された構成を実施できます。

責任: Customer

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス: Azure Stack Edge ユーザーは、タスクを実行するために必要な Just Enough Administration (JEA) アクセスを保有しています。 完全な Windows 管理者アクセス権は必要ありません。

Azure Stack Edge デバイスの PowerShell インターフェイスにリモート接続できます。 また、リモート管理は、ユーザーが実行できることを制限するために Just Enough Administration を使用するように構成されています。 デバイスのパスワードを指定してデバイスにサインインできます。

責任: Microsoft

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-2:機密データを保護する

ガイダンス:Azure Stack Edge では、すべての対話データが、承認されたユーザーだけがこのデータにアクセスできる機密情報として扱われます。 ベスト プラクティスに従って、Azure Stack Edge サービスへのアクセスに使用される資格情報を保護する必要があります。

責任: 共有

DP-4:転送中の機密情報を暗号化する

ガイダンス:Azure Stack Edge では、フライト中のデータにセキュリティ保護されたチャネルが使用されます。 次のとおりです。

  • デバイスと Azure クラウドの間を移動するデータには、標準の TLS 1.2 が使用されます。 TLS 1.1 以前へのフォールバックはありません。 TLS 1.2 がサポートされていない場合は、エージェント通信がブロックされます。 Azure portal とソフトウェア開発キット (SDK) の管理にも、TLS 1.2 が必要です。

  • クライアントがブラウザーのローカル Web ユーザー インターフェイス経由でデバイスにアクセスする場合は、標準の TLS 1.2 が既定のセキュリティで保護されたプロトコルとして使用されます

ベスト プラクティスとして、TLS 1.2 を使用するようにブラウザーを構成することをお勧めします。 データ サーバーからデータをコピーするときは、暗号化付き SMB 3.0 を使用してそれを保護します。

責任: 共有

DP-5:保存データを暗号化する

ガイダンス: Azure Stack Edge デバイス上の保存データはすべて、AES 256 ビット暗号化を使用して暗号化されます。 保存データ (ファイル共有など) へのアクセスは次に制限されます。

  • 共有データにアクセスする SMB クライアントには、その共有に関連付けられたユーザー資格情報が必要です。 これらの資格情報は、その共有が作成されるときに定義されます。

  • 共有が作成されるときは、その共有にアクセスする NFS クライアントの IP アドレスを追加する必要があります。

  • ローカル データの保護には BitLocker XTS-AES 256 ビット暗号化が使用されます。

追加情報については、参照リンクを参照してください。

責任: Microsoft

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ リスクの監視は、セキュリティ チームの責任の構造に応じて、中央のセキュリティ チームまたはローカル チームの責任になります。 ただし、セキュリティ分析情報とリスクは、常に組織内で一元的に集計する必要があります。

セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に幅広く適用することも、管理グループまたは特定のサブスクリプションにスコープ指定することもできます。

ワークロードとサービスを可視化するには、追加のアクセス許可が必要になる場合があることに注意してください。

責任: Customer

AM-6:コンピューティング リソースで承認済みのアプリケーションのみを使用する

ガイダンス:ローカル環境に作成された仮想マシン上で、独自のアプリケーションを実行することができます。 Stack Edge デバイス上にローカル コンピューティング仮想マシンを作成するには、PowerShell スクリプトを使用します。 ローカル仮想マシンでは、信頼されたアプリケーションのみを実行することを強くお勧めします。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-1:Azure リソースの脅威検出を有効にする

ガイダンス:Azure Stack Edge には、脅威検出機能はありません。 ただし、お客様は、オフラインでの脅威の検出と分析のために、サポート パッケージで監査ログを収集できます。

責任: Customer

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス:ダウンロード可能なサポート パッケージの一部として、Azure Stack Edge のネットワーク監査ログが有効になります。 これらのログを解析して、Azure Stack Edge デバイスのほぼリアルタイムの監視を実装できます。

責任: Customer

LT-4:Azure リソースのログ記録を有効にする

ガイダンス:現在、ログを使用したリアルタイム監視は Azure Stack Edge についてはサポートされていません。 サポート パッケージを収集する機能が用意されており、それを使用すると、ファイアウォール、ソフトウェア、ハードウェアの侵入や、Azure Stack Edge Pro デバイスのシステム イベント ログなど、それに含まれるさまざまなログを分析することができます。 ソフトウェア侵入ログまたは既定のファイアウォール ログは、受信と送信のトラフィックについて収集されることに注意してください。

責任: Customer

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス:現在、ログを使用したリアルタイム監視は Azure Stack Edge についてはサポートされていません。 ただし、サポート パッケージを収集し、それに含まれているさまざまなログを分析できます。 サポート パッケージは圧縮されており、ユーザーが選択したパスにダウンロードされます。 パッケージを解凍して、それに含まれるシステム ログ ファイルを表示します。 また、これらのログを、分析のために、セキュリティ情報イベント管理ツールや、別の集中保管場所に送信することもできます。

責任: Customer

LT-6:ログの保持期間を構成する

ガイダンス:Azure Stack Edge デバイスでのログ ストレージ保持期間を変更することはできません。 必要に応じて、古いログが削除されます。 ログを長期間保持する必要がある場合は、一定の間隔でデバイスからサポート パッケージを収集できます。

責任: Customer

LT-7:承認された時刻同期ソースを使用する

ガイダンス:Azure Stack Edge では、Microsoft のネットワーク タイム プロバイダー サーバーである time.windows.com が使用されます。 また、お客様は、Azure Stack Edge を使用して、選択したネットワーク タイム プロトコル サーバーを構成することもできます。

責任: Customer

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: Microsoft では、Azure Stack Edge デバイスのセキュリティで保護された構成を設定し、デバイスの有効期間を通じてこれらの設定を維持します。

責任: Microsoft

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: ユーザー定義のセキュリティ構成は、Azure Edge Stack デバイスで制限されています。 ほとんどのデバイス セキュリティ設定は構成可能ではなく、最新の更新プログラムのインストールによって最新の状態に保たれます。

責任: Microsoft

PV-3: コンピューティング リソースにセキュリティで保護された構成を確立する

ガイダンス:Azure Stack Edge には、お客様によって作成されるローカル仮想マシンのためのセキュリティで保護された構成を作成するサポートが用意されています。 Microsoft が提供するガイドラインを使用して、ローカル仮想マシンの作成中にセキュリティ ベースラインを確立することを強くお勧めします。

責任: Customer

PV-4: コンピューティング リソースに対するセキュリティで保護された構成を維持する

ガイダンス:Azure Stack Edge には、お客様によって作成されたローカル仮想マシンのためのセキュリティで保護された構成を保持するサポートは用意されていません。 お客様には、セキュリティ コンプライアンス ツールキット (SCT) を使用して、コンピューティング リソースのセキュリティで保護された構成を保持することを強くお勧めします。

Azure Stack Edge によって管理されるホスト オペレーティング システムと仮想マシンについては、セキュリティ構成が維持されます。

責任: 共有

PV-5: カスタム オペレーティング システムとコンテナーのイメージを安全に格納する

ガイダンス:Azure Stack Edge によって管理されるホスト オペレーティング システムと仮想マシンは、安全に格納されます。

お客様は、独自の仮想マシンとコンテナー イメージを使用でき、それらについてのセキュリティで保護された管理の責任を負います。

責任: Customer

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: ソフトウェアの脆弱性評価は、実施されるソフトウェア開発ライフサイクル レビューを含む、すべての Azure Stack Edge リリースに対して実行されます。 検出された問題は、重要度と優先度に基づいて修復されます。

責任: Microsoft

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス:Azure Stack Edge により、定期的に修正プログラムの更新が行われ、そのような更新プログラムが脆弱性の修復に利用できるようになるとお客様にアラートが提供されます。 最新のパッチを使用してデバイスと (お客様によって作成された) 仮想マシンを最新の状態に保つのは、お客様の責任です。

責任: Customer

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス:必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。 お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-1:エンドポイントでの検出と対応 (EDR) を使用する

ガイダンス:Azure Stack Edge には、エンドポイントの検出と応答 (EDR) の直接的なサポートはありません。 ただし、サポート パッケージを収集し、監査ログを取得することはできます。 これらのログを分析して、異常なアクティビティを確認できます。

責任: Customer

ES-2:一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス:Windows Defender Application Control (WDAC) と、事前に定義されたアプリケーションとスクリプトの実行のみを許可する厳密なコード整合性 (CI) ポリシーが、Azure Stack Edge によって使用されます。 Windows Defender のリアルタイム保護 (RTP) のマルウェア対策も有効になります。 お客様は、Azure Stack Edge デバイスでローカルに実行するために作成したコンピューティング VM で、マルウェア対策を実行できます。

責任: Customer

ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

ガイダンス: Azure Stack Edge では、コード整合性 (CI) ポリシーが更新された状態にし、さらに Windows Defender 署名ファイルを更新します。

責任: Microsoft

バックアップと回復

詳細については、Azure セキュリティ ベンチマークの「バックアップと回復」を参照してください。

BR-1:定期的な自動バックアップを保証する

ガイダンス:Azure Stack Edge デバイスを定期的にバックアップすることが推奨され、Azure Backup や他のサードパーティ製データ保護ソリューションを使用してそれを実行し、デバイスに展開された仮想マシンに含まれるデータを保護できます。 Cohesity、Commvault、Veritas などのサード パーティ製データ保護ソリューションで、ローカルの SMB または NFS 共有のデータのバックアップ ソリューションを提供することもできます。

追加情報については、参照先のリンクをご覧ください。

責任: Customer

BR-2:バックアップ データを暗号化する

ガイダンス:攻撃に対してバックアップが保護されていることを確認します。 これには、機密性が失われるのを防ぐためにバックアップを暗号化することも含まれます。 詳細については、選択したバックアップ ソリューションを参照してください。

責任: Customer

BR-3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス:バックアップのデータ復元を定期的に実行します。

責任: Customer

BR-4:キー紛失のリスクを軽減する

ガイダンス:カスタマー マネージド キーが含まれるすべての Azure Stack Edge バックアップが、組織のベスト プラクティスに従って保護されていることを確認します。 Azure Stack Edge デバイスは、Azure ストレージ アカウントに関連付けられ、Azure 内のデータの宛先リポジトリとして使用されます。

Azure ストレージ アカウントへのアクセスは、そのストレージ アカウントに関連付けられた Azure サブスクリプションと 2 つの 512 ビット ストレージ アクセス キーによって制御されます。 Azure Stack Edge デバイスがストレージ アカウントにアクセスするときは、いずれかのアクセス キーが認証に使用されます。 他のキーは、定期的なキー ローテーションのために予約されています。 キーのローテーションにセキュリティに関するベスト プラクティスが使用されていることを確認します。

責任: Customer

次のステップ