Azure VMware Solution 向け Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Azure VMware Solution に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、セキュリティ制御によってグループ化されています。これは、Azure セキュリティ ベンチマークと、Azure VMware Solution に適用できる関連ガイダンスによって定義されています。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Azure VMware Solution に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Azure VMware Solution を完全に Azure セキュリティ ベンチマークにマップする方法については、Azure VMware Solution セキュリティ ベースラインの完全なマッピング ファイルを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス: Azure VMware Solution リソースをデプロイする場合は、既存の仮想ネットワークを作成するか使用します。 すべての Azure 仮想ネットワークがエンタープライズ セグメント化の原則に従っていることを確認してください。 ビジネス リスクに基づいて調整する必要があります。 独自の仮想ネットワーク内で組織のリスクを高める可能性のあるシステムを分離します。 ネットワーク セキュリティ グループ (NSG) または Azure Firewall を使用して、システムを十分に保護します。

Microsoft Defender for Cloud のアダプティブ ネットワーク強化を使用して、外部ネットワーク トラフィック ルールへの参照に基づいてポートとソース IP を制限する NSG 構成を推奨します。

アプリケーションとエンタープライズのセグメント化戦略に基づき、NSG ルールに基づいて、内部リソース間のトラフィックを制限または許可します。 3 層アプリのような特定の適切に定義されたアプリケーションでは、これが高度にセキュリティで保護された既定での拒否になります。

Azure VMware Solution で特定の機能を有効にするには、次のポートが必要です。

source 宛先 Protocol Port 説明
プライベート クラウドのドメイン ネーム システム (DNS) サーバー オンプレミスの DNS サーバー UDP 53 DNS クライアント - オンプレミスの DNS クエリのために、PC vCenter からの要求を転送します (後述の DNS に関するセクションを確認してください)
オンプレミスの DNS サーバー プライベート クラウドの DNS サーバー UDP 53 DNS クライアント - オンプレミスのサービスからの要求をプライベート クラウド DNS サーバーに転送します (後述の DNS に関するセクションを確認してください)
オンプレミス ネットワーク プライベート クラウドの vCenter Server TCP (HTTP) 80 vCenter Server では、直接 HTTP 接続用にポート 80 が必要です。 ポート 80 から HTTPS ポート 443 に要求がリダイレクトされます。 このリダイレクトは、https://server の代わりに http://server を使用する場合に役立ちます。 WS-Management (ポート 443 も開いている必要があります) vCenter Server にバンドルされている SQL Server 2008 データベースではなく、カスタムの Microsoft SQL データベースを使用する場合、SQL Reporting Services によってポート 80 が使用されます。 vCenter Server をインストールするときに、インストーラーによって、vCenter Server 用の HTTP ポートを変更するよう求められます。 インストールを正常に完了するには、vCenter Server の HTTP ポートをカスタム値に変更します。 Microsoft インターネット インフォメーション サービス (IIS) でもポート 80 が使用されます。 ポート 80 に対する vCenter Server と IIS の競合に関するページを参照してください。
プライベート クラウドの管理ネットワーク オンプレミスの Active Directory TCP 389 このポートは、vCenter Server のローカル インスタンスとすべてのリモート インスタンスで開かれている必要があります。 このポートは、vCenter Server グループのディレクトリ サービス用の LDAP ポート番号です。 この vCenter Server インスタンスをリンク モード グループに参加させない場合でも、vCenter Server システムをポート 389 にバインドする必要があります。 このポートで別のサービスが実行されている場合は、それを削除するか、そのポートを別のポートに変更することをお勧めします。 LDAP サービスは、1025 から 65535 の任意のポートで実行できます。 このインスタンスが Microsoft Windows Active Directory として機能している場合は、ポート番号 389 を、1025 から 65535 の使用可能なポートに変更します。 このポートはオプションです。プライベート クラウドの vCenter 上でオンプレミス AD を ID ソースとして構成するために使用します。
オンプレミス ネットワーク プライベート クラウドの vCenter Server TCP (HTTPS) 443 このポートを使用すると、オンプレミス ネットワークから vCenter にアクセスできます。 vCenter Server システムが vSphere クライアントからの接続をリッスンするために使用する既定のポート。 vCenter Server システムが vSphere クライアントからデータを受信できるようにするには、ファイアウォールでポート 443 を開きます。 また、vCenter Server システムは、ポート 443 を使用して、SDK クライアントからのデータ転送を監視します。 このポートは、次のサービスにも使用されます。WS-Management (ポート 80 も開いている必要があります)。 vSphere Update Manager への vSphere Client アクセス。 vCenter Server へのサードパーティのネットワーク管理クライアント接続。 ホストへのサードパーティのネットワーク管理クライアント アクセス。
Web ブラウザー Hybrid Cloud Manager TCP (HTTPS) 9443 Hybrid Cloud Manager のシステム構成用の Hybrid Cloud Manager 仮想アプライアンス管理インターフェイス。
管理ネットワーク Hybrid Cloud Manager SSH 22 Hybrid Cloud Manager への管理者 SSH アクセス。
HCM クラウド ゲートウェイ TCP (HTTPS) 8123 ホストベースのレプリケーション サービスの指示をハイブリッド クラウド ゲートウェイに送信します。
HCM クラウド ゲートウェイ HTTP TCP (HTTPS) 9443 REST API を使用してローカルのハイブリッド クラウド ゲートウェイに管理指示を送信します。
クラウド ゲートウェイ L2C TCP (HTTPS) 443 L2C がハイブリッド クラウド ゲートウェイと同じパスを使用する場合、クラウド ゲートウェイから L2C に管理指示を送信します。
クラウド ゲートウェイ ESXi ホスト TCP 80、902 管理と OVF のデプロイ。
クラウド ゲートウェイ (ローカル) クラウド ゲートウェイ (リモート) UDP 4500 双方向トンネルのワークロードをカプセル化するための IPSEC インターネット キー交換 (IKEv2) に必要です。 ネットワーク アドレス変換トラバーサル (NAT-T) もサポートされています。
クラウド ゲートウェイ (ローカル) クラウド ゲートウェイ (リモート) UDP 500 双方向トンネルのための IPSEC インターネット キー交換 (ISAKMP) に必要です。
オンプレミスの vCenter ネットワーク プライベート クラウドの管理ネットワーク TCP 8000 オンプレミスの vCenter Server からプライベート クラウドの vCenter への VM の vMotion

責任: Customer

NS-2: プライベート ネットワークをまとめて接続する

ガイダンス:Azure ExpressRoute または Azure 仮想プライベート ネットワーク (VPN) を使用して、コロケーション環境内で Azure のデータセンターとオンプレミスのインフラストラクチャ間のプライベート接続を作成できます。

ExpressRoute 接続はパブリック インターネットを経由しないため、一般的なインターネット接続と比べて信頼性が高く、高速で、待ち時間も短くなります。 ポイント/サイト間 VPN とサイト間 VPN の場合は、オンプレミスのデバイスやネットワークを仮想ネットワークに接続できます。 これらの VPN オプションと Azure ExpressRoute を組み合わせて使用します。

2 つ以上の Azure 仮想ネットワークを接続するには、仮想ネットワーク ピアリングを使用します。 ピアリングされた仮想ネットワーク間のトラフィックはプライベートであり、Azure のバックボーン ネットワーク上に留まります。

責任: Customer

NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する

ガイダンス: Azure VMware Solution リソースは、仮想ネットワーク インジェクションを使用します。 仮想ネットワークに直接デプロイします。 このサービスでは、Private Link を使用してプライベート ネットワーク接続を確立することはサポートされていません。

Azure VMware Solution リソースをデプロイする場合は、既存の仮想ネットワークを作成または使用する必要があります。 選択した仮想ネットワークで、ネットワーク セキュリティ グループがサブネットに適用され、アプリケーションの信頼されたポートとソースに固有のネットワーク アクセス制御が構成されていることを確認します。 ユーザーが仮想ネットワークを使用してリソースを構成している場合、それらのリソースはパブリックにアドレス指定できず、仮想ネットワーク内からのみアクセスできます。

組織のニーズに応じて、Azure Firewall サービスを使用し、複数のサブスクリプションや仮想ネットワークを対象に、アプリケーションとネットワークの接続ポリシーを一元的に作成、適用、記録することもできます。

責任: Customer

NS-4: 外部ネットワーク攻撃からアプリケーションやサービスを保護する

ガイダンス: 外部ネットワークからの攻撃から Azure VMware Solution のリソースを保護します。 攻撃には次のものが含まれます。

  • 分散型サービス拒否 (DDoS) 攻撃

  • アプリケーション固有の攻撃

  • 未承諾で悪意のある可能性があるインターネット トラフィック

Azure Firewall を使用して、インターネットや他の外部の場所からの、悪意がある可能性のあるトラフィックから、アプリケーションやサービスを保護します。 Azure 仮想ネットワークで DDoS Protection Standard を有効にすることで、DDoS 攻撃から資産を保護します。 Microsoft Defender for Cloud を使用して、ネットワーク関連リソース内の構成の誤りのリスクを検出します。

Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) の Web Application Firewall (WAF) 機能を使用して、アプリケーション層の攻撃から Azure VMware Solution 上で実行されるアプリケーションを保護します。

責任: Customer

NS-6: ネットワーク セキュリティ規則を簡略化する

ガイダンス: Azure VMware Solution リソース用に構成された NSG または Azure Firewall でのネットワーク アクセス制御を定義するには、Azure Virtual Network サービス タグを使用します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 規則の適切なソースまたはターゲット フィールドでサービス タグ名を指定することにより、サービスのトラフィックを許可または拒否できます。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。

Azure VMware Solution サービス用に予約されている特定のサービス タグはありません。 ただし、VMware Solution リソースをデプロイするネットワークのネットワーク規則を簡略化するために、サービス タグを使用することもできます。

責任: Customer

NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)

ガイダンス: DNS セキュリティのベスト プラクティスに従って、次のような一般的な攻撃を軽減します。

  • ダングリング DNS

  • DNS アンプ攻撃

  • DNS ポイズニング

  • スプーフィング

  • その他

権限のある DNS サービスとして Azure DNS が使用されている場合は、Azure ロールベースのアクセス制御 (RBAC) とリソース ロックを使用して、DNS ゾーンとレコードが偶発的または悪意のある変更から確実に保護されるようにします。

責任: 共有

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Azure VMware Solution では、Azure Active Directory (Azure AD) を既定の ID 管理とアクセス管理のサービスとして使用します。 Azure AD を標準化して、以下での組織の ID とアクセス管理を統制します。

  • Microsoft Cloud リソース。 リソースには以下が含まれます。

    • Azure ポータル

    • Azure Storage

    • Azure Linux と Windows VM

    • Azure Key Vault

    • サービスとしてのプラットフォーム (PaaS)

    • サービスとしてのソフトウェア (SaaS) アプリケーション

  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位に位置付ける必要があります。 Azure AD により、ID セキュリティ態勢を Microsoft のベスト プラクティスの推奨事項と比較するのに役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

注: Azure AD では外部 ID をサポートしています。 Microsoft アカウントのないユーザーは、自分の外部 ID でアプリケーションやリソースにサインインできます。

Azure VMware Solution では、サービスを Azure Active Directory に組み込むための CloudAdmin グループが提供されます。 vCenter の cloudadmin ユーザーの資格情報と、NSX-T Manager の管理者アクセス権が提供されます。

責任: Customer

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス: Azure VMware Solution では、リソースへの Azure AD マネージド ID の割り当てはサポートしていません。 Azure VMware Solution プライベート クラウドでは、セキュリティを強化するために、vSphere のロールベースのアクセス制御が使用されます。

Azure VMware Solution のアプリケーション アクセス許可を構成する必要がある場合は、Azure AD を使用して、リソース レベルで制限付きアクセス許可を持つサービス プリンシパルを作成し、証明書資格情報を使用してサービス プリンシパルを構成し、クライアント シークレットにフォール バックします。 サービスで実行されているスクリプトまたはアプリケーションでは、このサービス プリンシパルを使用して Azure でアクションを実行できます。 どちらの場合も、Azure Key Vault を Azure AD マネージド ID と組み合わせて使用すると、ランタイム環境 (Azure 関数など) でキー コンテナーから資格情報を取得できるようになります。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: 管理アクティビティの場合、Azure VMware Solution では Azure AD を ID プロバイダーとして使用し、Azure リソースを管理します。

内部アクセスでは、Azure VMware Solution プライベート クラウドではセキュリティを強化するために、vSphere のロールベースのアクセス制御が使用されます。 vSphere SSO LDAP 機能は、Azure AD と統合できます。 統合を構成することでシングル サインオン (SSO) が可能となり、オンプレミスとクラウドにある組織のデータとリソースへのアクセスを管理し、セキュリティで保護することができます。 すべてのユーザー、アプリケーション、デバイスを、シームレスで安全なアクセスおよび可視性と制御の向上のために、Azure AD に接続します。

責任: Customer

IM-7:意図しない資格情報の公開を排除する

ガイダンス: Azure VMware Solution では、埋め込みシークレットを含む可能性があるコード デプロイとして、インフラストラクチャを介してリソースをデプロイできます。 資格情報スキャナーを実装して、Azure VMware Solution リソースのインフラストラクチャ テンプレート内の資格情報を識別します。 また、資格情報スキャナーを使うと、検出された資格情報の、Azure Key Vault などのより安全な場所への移動が促されます。

GitHub の場合、ネイティブ シークレット スキャン機能を使用して、コード内で資格情報やその他の形式のシークレットを識別できます。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-1:高い特権を持つユーザーを保護および制限する

ガイダンス: 最も重要な組み込み Azure AD ロールは、グローバル管理者と特権ロール管理者です。 この 2 つのロールを持っているユーザーは、管理者ロールを委任できます。

  • グローバル管理者または会社の管理者は、Azure AD ID を使用するすべての Azure AD 管理機能とサービスにアクセスできます。

  • 特権ロール管理者は、Azure AD と Azure AD Privileged Identity Management (PIM) におけるロールの割り当てを管理できます。 このロールは、PIM と管理単位のすべての側面を管理できます。

Azure VMware Solution では、vCenter に cloudadmin という組み込みのローカル ユーザーがあり、CloudAdmin ロールに割り当てられています。 ローカルの cloudadmin ユーザーが AD のユーザーを設定します。 CloudAdmin ロールは、プライベート クラウドにおけるワークロードの作成と管理を行います。 しかし Azure VMware Solution では、CloudAdmin ロールには、他の VMware クラウド ソリューションとは異なる vCenter 特権があります。

高い特権を持つアカウントまたはロールの数を制限し、これらのアカウントを昇格されたレベルで保護します。 高い特権を持つユーザーは、すべての Azure リソースを直接的または間接的に読み取って変更できます。

Azure AD PIM を使用して、Azure リソースと Azure AD への Just-In-Time (JIT) の特権アクセスを有効にすることができます。 JIT により、ユーザーが必要とする場合にのみ特権タスクを実行するための一時的なアクセス許可が付与されます。 PIM を使用すると、Azure AD 組織内の不審なアクティビティや安全でないアクティビティに対して、セキュリティ アラートを生成することもできます。

責任: Customer

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス: Azure VMware Solution では、Azure AD アカウントを使用してリソースを管理します。 ユーザー アカウントとアクセス割り当てを定期的に見直して、アカウントとそのアクセス権を適切に保ってください。 Azure AD とアクセスのレビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てをレビューすることができます。 Azure AD レポートによって、古いアカウントの検出に役立つログが提供されます。 また、Azure Active Directory Privileged Identity Management (PIM) でアクセス レビュー レポート ワークフローを作成し、レビュー プロセスを容易にすることもできます。

管理者アカウントが多すぎる場合にはアラートを出すように、Azure AD PIM を構成できます。 PIM は、古い管理者アカウントや不適切に構成されている管理者アカウントを特定できます。

Azure VMware Solution のプライベート クラウドは、vCenter Server と NSX-T Manager を使用してプロビジョニングされます。 vCenter は仮想マシン (VM) のワークロードを管理するために使用し、NSX-T Manager はプライベート クラウドの管理と拡張を行うために使用します。 アクセスと ID 管理では、vCenter の場合は CloudAdmin ロールが、NSX-T Manager の場合は制限付き管理者権限が使用されます。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス: セキュリティで保護された分離したワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高いロールのセキュリティには非常に重要です。 管理タスクには、高度なセキュリティで保護されたユーザー ワークステーションや Azure Bastion を使用します。

Azure AD、Microsoft Defender ATP、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションを展開します。 セキュリティで保護されたワークステーションを一元的に管理することで、次のようなセキュリティ構成を強制できます。

  • 強力な認証

  • ソフトウェアとハードウェアのベースライン

  • 制限付きの論理アクセスとネットワーク アクセス

詳細については、次のリファレンスを参照してください。

責任: Customer

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス: Azure VMware Solution は Azure RBAC と統合して、そのリソースを管理します。 RBAC を使用して、ロールの割り当てによって Azure リソースへのアクセスを管理します。 ロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。 特定のリソースには、定義済みの組み込みロールがあります。 Azure CLI、Azure PowerShell、Azure portal などのツールを使用して、これらのロールのインベントリを作成したりクエリを実行できます。

Azure RBAC を使用してリソースに割り当てる特権を、ロールで必要なものに制限します。 この方法は、Azure AD PIM の Just-In-Time (JIT) アプローチを補完します。 ロールと割り当てを定期的に確認します。

組み込みロールを使用してアクセス許可を付与し、必要な場合にのみカスタム ロールを作成します。

Azure VMware Solution のプライベート クラウドは、vCenter Server と NSX-T Manager を使用してプロビジョニングされます。 vCenter は VM のワークロードを管理するために使用し、NSX-T Manager はプライベート クラウドの管理と拡張を行うために使用します。 アクセスと ID 管理では、vCenter の場合は CloudAdmin ロールが、NSX-T Manager の場合は制限付き管理者権限が使用されます。

Azure VMware Solution では、vCenter に cloudadmin という組み込みのローカル ユーザーがあり、CloudAdmin ロールに割り当てられています。 このローカルの cloudadmin ユーザーを使用して、Azure AD にユーザーが設定されます。 CloudAdmin ロールは、プライベート クラウドにおけるワークロードの作成と管理を行います。 しかし Azure VMware Solution では、CloudAdmin ロールには、他の VMware クラウド ソリューションとは異なる vCenter 特権があります。

Azure VMware Solution では、CloudAdmin ロール以下の権限を持つカスタム ロールの使用もサポートされています。 CloudAdmin ロールを使用し、現在のロール以下の権限を持つカスタム ロールを作成、変更、削除します。 CloudAdmin よりも大きい特権を持つロールを作成できます。 ユーザーまたはグループにロールを割り当てたり、ロールを削除したりすることはできません。

責任: Customer

PA-8: Microsoft サポートの承認プロセスを選択する

ガイダンス: Azure VMware Solution では、顧客のロックボックスはサポートされていません。 Microsoft では、ロックボックス以外の方法を使用して顧客と連絡を取り、カスタマー データへのアクセスを承認する場合があります。

責任: Microsoft

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-2:機密データを保護する

ガイダンス: Azure RBAC、ネットワーク ベースのアクセス制御、Azure サービスの特定の制御を使用してアクセスを制限することで、機密データを保護します。 たとえば、SQL やその他のデータベースで暗号化を使用します。

一貫性を確保するために、すべての種類のアクセス制御を自社のセグメント化戦略に合わせて調整します。 機密性の高いまたはビジネスに不可欠なデータやシステムの場所による会社のセグメント化戦略を通知します。

Microsoft は、基礎となる Microsoft が管理するプラットフォーム内のすべてのお客様のコンテンツを機密として扱います。 Microsoft は、お客様のデータを損失や漏洩から保護します。 Microsoft は、Azure のお客様のデータを安全に保つための既定のデータ保護制御および機能を備えています。

責任: 共有

DP-4:転送中の機密情報を暗号化する

ガイダンス: アクセス制御を補完するために、トラフィック キャプチャなどの帯域外攻撃から転送中のデータを保護します。 暗号化を使用して、攻撃者がデータを簡単に読み取ったり変更したりできないようにします。 Azure VMware Solution では、TLS v1.2 で転送中のデータの暗号化がサポートされます。

この要件は、プライベート ネットワーク上のトラフィックでは省略できますが、外部ネットワークとパブリック ネットワーク上のトラフィックには不可欠です。 HTTP トラフィックの場合は、Azure リソースに接続するクライアントが確実に TLS v1.2 以降を使用できるようにしてください。

リモート管理では、暗号化されていないプロトコルの代わりに、TLS を使用します。 古い SSL と TLS のバージョンや脆弱な暗号は無効にする必要があります。

Azure は、Azure データ センター間で転送中のデータを既定で暗号化します。

責任: 共有

DP-5:保存データを暗号化する

ガイダンス: アクセス制御を補完するため、Azure VMware Solution では保存データを暗号化して、帯域外攻撃 (基になっているストレージへのアクセスなど) から保護します。 暗号化により、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。

既定では Azure によって保存データが暗号化されます。 機密性の高いデータには、保存されている利用可能なすべての Azure リソースに、オプションで暗号化を追加できます。 既定では、Azure は Azure VMware Solution の暗号化キーを管理します。 各自のカスタマー マネージド キーを管理するオプションはありません。

vSAN データストアは、Azure Key Vault に格納されているキーを使用して、保存データの暗号化を既定で使用します。 この暗号化ソリューションは KMS ベースで、キーの管理のために vCenter の操作をサポートしています。 ホストがクラスターから削除されると、SSD 上のデータは直ちに無効になります。

責任: Customer

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ チームの責任がどのように構造化されているかによって、セキュリティ リスクの監視は中央のセキュリティ チームまたはローカル チームの責任になります。 組織内では、常にセキュリティ分析情報とリスクを一元的に集約します。

セキュリティ閲覧者アクセス許可をテナントのルート管理グループ全体に広範に適用するか、アクセス許可を特定の管理グループまたはサブスクリプションに範囲設定できます。

責任: Customer

AM-2:セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス: セキュリティ チームが、Azure VMware Solution などの Azure 上の資産の継続的に更新されるインベントリに確実にアクセスできるようにします。 セキュリティ チームは、組織が新たなリスクにさらされる可能性を評価するため、および継続的なセキュリティ改善への入力として、このインベントリを必要とすることがよくあります。 組織の承認済みセキュリティ チームを含めるための Azure AD グループを作成します。 すべての Azure VMware Solution リソースへの読み取りアクセス権を割り当てます。 サブスクリプション内で 1 つの高レベルのロールの割り当てを使用して、プロセスを簡略化できます。

Azure リソース、リソース グループ、サブスクリプションにタグを適用して、それらを論理的に分類できます。 各タグは、名前と値のペアで構成されます。 たとえば、運用環境のすべてのリソースには名前 "環境" と値 "運用" を適用できます。

Azure VM インベントリを使用して、VM 上のソフトウェアに関する情報の収集を自動化します。 ソフトウェアの名前、バージョン、発行元、および更新時刻は、Azure portal から入手できます。 インストール日やその他の情報にアクセスするには、ゲストレベルの診断を有効にし、Windows イベント ログを Log Analytics ワークスペースに取り込みます。

規則が適用されるファイルの種類と適用されないファイルの種類を指定するには、Microsoft Defender for Cloud の適応型アプリケーション制御を使用します。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス:Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーする規則を作成することもできます。

責任: Customer

AM-6:コンピューティング リソースで承認済みのアプリケーションのみを使用する

ガイダンス: Azure VM インベントリを使用して、Azure VMware Solution に関連する VM 上のすべてのソフトウェアに関する情報収集を自動化します。 ソフトウェアの名前、バージョン、発行元、および更新時刻は、Azure portal から入手できます。 インストール日やその他の情報にアクセスするには、ゲストレベルの診断を有効にし、Windows イベント ログを Log Analytics ワークスペースに取り込みます。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-1:Azure リソースの脅威検出を有効にする

ガイダンス: Azure VMware Solution からログを転送し、それを使用してカスタム脅威検出を SIEM に設定します。 さまざまな種類の Azure 資産の潜在的な脅威や異常を監視していることを確認してください。 アナリストが選別しやすいように、質の高いアラートを取得して誤検知を減らすことに専念します。 ログ データ、エージェント、またはその他のデータからアラートを送信できます。

責任: Customer

LT-2:Azure ID とアクセスの管理のために脅威検出を有効にする

ガイダンス: Azure AD には、以下のユーザー ログがあります。 ログは Azure AD レポートで確認できます。 Azure Monitor、Microsoft Sentinel などの SIEM および監視ツールとログを統合して、より高度な監視および分析のユース ケースに対応できます。

  • サインイン - マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報。

  • 監査ログ - Azure AD のさまざまな機能によって行われたすべての変更を、ログにより追跡可能です。 監査ログには、Azure AD 内のすべてのリソースに加えられた変更が含まれます。 変更には、ユーザー、アプリ、グループ、ロール、ポリシーの追加または削除が含まれます。

  • 危険なサインイン - ユーザー アカウントの正当な所有者でない可能性のあるユーザーによるサインイン試行を示します。

  • リスクのフラグ付きユーザー - セキュリティが侵害された可能性のあるユーザー アカウントを示します。

また Microsoft Defender for Cloud は、認証試行の失敗回数が多すぎるなど、特定の不審なアクティビティについても警告することができます。 サブスクリプションの非推奨アカウントも、アラートをトリガーすることがあります。

さらに Microsoft Defender for Cloud は、認証試行の失敗回数が多すぎるなどの不審なアクティビティや、非推奨アカウントについても警告することができます。

基本的なセキュリティ検疫監視に加えて、Microsoft Defender for Cloud の脅威保護モジュールは、より詳細なセキュリティ アラートを次の対象から収集できます。

  • VM、コンテナー、App Service などの個別の Azure コンピューティング リソース。

  • Azure SQL Database や Azure Storage などのデータ リソース。

  • Azure サービス レイヤー。

この機能により、個々のリソースにおけるアカウントの異常を可視化できます。

責任: Customer

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス: NSG リソース ログ、NSG フロー ログ、Azure Firewall ログ、および Web アプリケーション ファイアウォール (WAF) ログを有効にして収集します。 セキュリティ分析用のログを使用して、インシデント調査、脅威ハンティング、およびセキュリティ アラート生成をサポートします。 Azure Monitor Log Analytics ワークスペースにフロー ログを送信し、Traffic Analytics を使用して分析情報を提供できます。

他のネットワーク データを関連付けるために、DNS クエリ ログを収集してください。 組織のニーズに対応するため、DNS ログ用の Azure Marketplace のサードパーティ ソリューションを実装します。

責任: Customer

LT-4:Azure リソースのログ記録を有効にする

ガイダンス: アクティビティ ログは自動的に使用可能になります。 ログには、Azure VMware Solution リソースに対する PUT、POST、DELETE 操作がすべて記録されます。ただし、読み取り操作 (GET) は記録されません。 アクティビティ ログを使用して、トラブルシューティング時にエラーを見つけたり、組織内のユーザーがリソースを変更した方法を監視したりできます。

Azure VMware Solution で Azure リソース ログを有効にします。 リソース ログとログ データの収集は、Microsoft Defender for Cloud と Azure Policy を使用して有効にすることができます。 これらのログは、セキュリティ インシデントを調査したり、科学捜査を実施したりするために重要な場合があります。

Azure VMware Solution では、ローカル管理者アカウントに関するセキュリティ監査ログも生成されます。 ローカル管理者監査ログを有効にします。

責任: Customer

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス:ログ記録のストレージと分析を一元化して、相関関係を有効にします。 ログ ソースごとに、以下を確保していることを確認してください。

  • 任命されたデータ所有者

  • アクセス ガイダンス

  • 保存先

  • データの処理とアクセスに使用するツール

  • データ保持の要件

Azure アクティビティ ログを一元的なログ記録に統合してください。

Azure Monitor を介してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されるセキュリティ データを集計します。 Azure Monitor で、Log Analytics ワークスペースを使用し、クエリを実行して分析を行います。

長期およびアーカイブ ストレージには Azure Storage アカウントを使用します。

Azure VMware Solution で実行されるアプリケーションの場合、すべてのセキュリティ関連ログが SIEM に転送され、一元的に管理されます。

多くの組織では、頻繁に使用される "ホット" データに対しては Microsoft Sentinel を、使用頻度の低い "コールド" データに対しては Azure Storage を使用することを選択しています。

責任: Customer

LT-6:ログの保持期間を構成する

ガイダンス: Azure VMware Solution ログの保存に使用するストレージ アカウントまたは Log Analytics ワークスペースに、ログ保持期間が設定されていることを確認してください。 ログ保持期間が設定されていない場合は、組織のコンプライアンス規則に従ってログ保持期間を設定してください。

責任: Customer

LT-7:承認された時刻同期ソースを使用する

ガイダンス: Microsoft は、ほとんどの Azure プラットフォームの PaaS および SaaS サービスのタイム ソースを保守しています。 特定の要件がない限り、VM では、時刻の同期に Microsoft の既定のネットワーク タイム プロトコル (NTP) サーバーを使用してください。 独自の NTP サーバーを立ち上げる必要がある場合は、UDP サービス ポート 123 をセキュリティで保護してください。 Azure 内のリソースによって生成されるすべてのログでは、既定で指定されたタイム ゾーンを使用してタイム スタンプが付けられます。

責任: Customer

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: Azure Blueprints を使用して、サービスとアプリケーション環境のデプロイと構成を自動化します。 1 つのブループリント定義に、Azure Resource Manager テンプレート、RBAC コントロール、およびポリシーを含めることができます。

責任: Customer

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: Microsoft Defender for Cloud を使用して構成基準を監視します。 Azure Policy の [deny] および [deploy if not exist] を使用して、VM やコンテナーなどの Azure コンピューティング リソースにおいてセキュリティで保護された構成を適用します。

責任: Customer

PV-3: コンピューティング リソースにセキュリティで保護された構成を確立する

ガイダンス: Microsoft Defender for Cloud と Azure Policy を使用して、VM、コンテナーなど、すべてのコンピューティング リソースにセキュリティで保護された構成を確立します。

カスタム オペレーティング システム イメージまたは Azure Automation State Configuration を使用して、組織に必要なオペレーティング システムのセキュリティ構成を確立できます。

責任: Customer

PV-4: コンピューティング リソースに対するセキュリティで保護された構成を維持する

ガイダンス: Microsoft Defender for Cloud と Azure Policy を使用して、VM やコンテナーを含む Azure コンピューティング リソースに関する構成リスクを定期的に評価して修復します。 Azure Resource Manager (ARM) テンプレート、カスタム オペレーティング システム イメージ、または Azure Automation State Configuration を使用して、組織に必要なオペレーティング システムのセキュリティ構成を維持できます。

Microsoft VM テンプレートと Azure Automation State Configuration を組み合わせることで、セキュリティ要件を満たして維持するのに役立ちます。

Microsoft は、Azure Marketplace で公開する VM イメージの管理と維持を行います。

Microsoft Defender for Cloud では、コンテナー イメージの脆弱性をスキャンし、CIS Docker Benchmark に対して Docker コンテナー構成を継続的に監視できます。 Microsoft Defender for Cloud の推奨事項ページを使用して、推奨事項を表示したり、問題を修復したりします。

責任: 共有

PV-5: カスタム オペレーティング システムとコンテナーのイメージを安全に格納する

ガイダンス: Azure VMware Solution では、顧客がコンテナー イメージを管理できます。 Azure RBAC を使用して、確実に承認されたユーザーのみがカスタム イメージにアクセスできます。 Azure Shared Image Gallery を使用して、組織内のさまざまなユーザー、サービス プリンシパル、Azure AD グループに対してイメージを共有できます。 コンテナー イメージを Azure Container Registry に保存し、RBAC を使用して、承認されたユーザーのみがアクセスできるようにします。

責任: Customer

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Azure VMware Solution は、部分的に、顧客の VM で構成されます。 Microsoft Defender for Cloud の推奨事項に従って、Azure VM で脆弱性評価を実行します。 必要に応じて、スキャン結果を一定の間隔でエクスポートし、前回のスキャンと結果を比較して、脆弱性が修復されていることを確認します。 Microsoft Defender for Cloud によって提案された脆弱性管理の推奨事項を使用する場合は、選択したソリューションのポータルに切り替えてスキャン データの履歴を表示できます。

Azure VMware Solution では、ネットワーク デバイスと Web アプリケーションで脆弱性評価を実行するためのサードパーティ ソリューションを使用できます。 リモート スキャンを実施する場合は、1 つの永続的な管理者アカウントを使用しないでください。 スキャン アカウントには、JIT プロビジョニングの方法論を実装することを検討してください。 スキャン アカウントの資格情報は保護と監視の対象とし、脆弱性のスキャンのためにのみ使用する必要があります。

必要に応じて、スキャン結果を一定の間隔でエクスポートし、前回のスキャンと結果を比較して、脆弱性が修復されていることを確認します。

責任: Customer

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: Azure VMware Solution では、顧客の VM へのサービスのデプロイを行えます。 ソフトウェア更新プログラムを速やかにデプロイして、オペレーティング システムとアプリケーションのソフトウェアの脆弱性を修復します。

一般的なリスク スコアリング プログラム (例: Common Vulnerability Scoring System) またはサードパーティのスキャン ツールによって提供された既定のリスク評価を優先的に使用します。 アプリケーションで高いセキュリティ上のリスクが生じるコンテキストと、高いアップタイムが必要となるものを使用して、環境に合わせて調整します。

Azure Automation Update Management またはサードパーティのソリューションを使用して、最新のセキュリティ更新プログラムが Windows および Linux VM にインストールされることを確認します。 Windows VM では、Windows Update を有効にして、自動的に更新されるように設定します。

責任: Customer

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス: 必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。

お客様の侵入テストが Microsoft のポリシーに違反しないようにするには、Microsoft Cloud 侵入テストの実施ルールに従ってください。 Microsoft の Red Teaming の戦略と実行を使用します。 Microsoft が管理するクラウド インフラストラクチャ、サービス、およびアプリケーションに対して、ライブ サイト侵入テストを実行します。

責任: 共有

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-1:エンドポイントでの検出と対応 (EDR) を使用する

ガイダンス: サーバーとクライアントのエンドポイント検出と応答 (EDR) 機能を有効にします。 SIEM およびセキュリティ運用プロセスと統合します。

Microsoft Defender Advanced Threat Protection では、高度な脅威を防御、検出、調査し、それに対応できるように、エンタープライズ エンドポイント セキュリティ プラットフォームの一部として EDR 機能を提供しています。

責任: Customer

ES-2:一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス: Azure Machine Learning とそのリソースを、一元管理された最新のマルウェア対策ソフトウェアで保護します。 リアルタイムスキャンと定期的なスキャンを実行できる、一元管理されたエンドポイントのマルウェア対策ソリューションを使用します。

  • Azure Cloud Services 向けの Microsoft Antimalware は、Windows VM の既定のマルウェア対策ソリューションです。

  • Linux VM の場合は、サードパーティのマルウェア対策ソリューションを使用します。

  • Azure Storage アカウントにアップロードされたマルウェアを検出するには、Microsoft Defender for Cloud のデータ サービス向け脅威検出を使用します。

  • Microsoft Defender for Cloud を使用して次の処理を自動的に行います。

    • ご使用の VM に対応した一般的なマルウェア対策ソリューションを特定する

    • エンドポイント保護の実行状態を報告する

    • 推奨を行います

詳細については、次のリファレンスを参照してください。

責任: Customer

ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

ガイダンス: マルウェア対策の署名を迅速かつ一貫した方法で更新してください。

Microsoft Defender for Cloud の「コンピューティングとアプリ」の推奨事項に従い、すべての VM とコンテナーに最新の署名が適用されている状態にします。

Windows の場合、Microsoft Antimalware により、既定で最新の署名とエンジンの更新プログラムが自動的にインストールされます。 Linux 環境で作業している場合は、サードパーティのマルウェア対策ソリューションを使用します。

詳細については、次のリファレンスを参照してください。

責任: Customer

バックアップと回復

詳細については、Azure セキュリティ ベンチマークの「バックアップと回復」を参照してください。

BR-1:定期的な自動バックアップを保証する

ガイダンス: 予期しないイベントが発生した後もビジネスが継続性されるよう、システムを確実にバックアップします。 目標復旧時間 (RTO) と目標復旧時点 (RPO) のガイダンスを使用します。

Azure Backup を有効にします。 バックアップ ソース (Azure VM、SQL Server、HANA データベース、ファイル共有など) を構成します。 必要な頻度と保持期間を構成します。

geo 冗長ストレージ オプションを有効にして、セカンダリ リージョンにバックアップ データをレプリケートし、リージョン間での復元を使用して復旧されるように、冗長性を高くすることもできます。

責任: 共有

BR-2:バックアップ データを暗号化する

ガイダンス: バックアップを攻撃から保護します。 バックアップ保護には、機密性が失われるのを防ぐための暗号化も含まれます。

Azure Backup を使用するオンプレミスのバックアップによって、指定したパスフレーズを使用した保存時の暗号化が提供されます。 通常の Azure サービスのバックアップでは、バックアップ データは Azure プラットフォーム マネージド キーを使用して自動的に暗号化されます。 バックアップに、カスタマー マネージド キーを選択することもできます。 この場合は、キー コンテナー内のこのカスタマー マネージド キーも確実にバックアップ対象にします。

バックアップおよびカスタマー マネージド キーを保護するには、Azure Backup、Azure Key Vault、およびその他のリソースで RBAC を使用します。 バックアップが変更または削除される前に MFA を求める、高度なセキュリティ機能を有効にすることもできます。

責任: 共有

BR-3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス: Azure VMware Solution に関連するバックアップについて、定期的にデータを回復します。

責任: Customer

BR-4:キー紛失のリスクを軽減する

ガイダンス: キーの紛失を回避および回復する手段を設けておきます。 Azure Key Vault で論理的な削除と消去保護を有効にして、キーが偶発的または悪意から削除されないようにします。

責任: Customer

次のステップ