ゼロ トラストでインフラストラクチャをセキュリティで保護する

インフラストラクチャは、重大な脅威ベクトルを表します。 IT インフラストラクチャは、オンプレミスでもマルチクラウドでも、IT サービスの開発、テスト、配信、監視、制御、またはサポートに必要なすべてのハードウェア (物理、仮想、コンテナー化)、ソフトウェア (オープンソース、ファースト パーティ、PaaS、SaaS)、マイクロサービス (関数、API)、ネットワーク インフラストラクチャ、設備などとして定義されます。 Microsoft は、将来のクラウドとオンプレミスのインフラストラクチャをセキュリティで保護するための包括的な機能セットを開発するために、膨大なリソースを投資してきました。

エンドツーエンドのゼロ トラスト戦略を備えた最新のセキュリティにより、次のことが容易になります。

  • バージョンを評価します。
  • 構成管理を実行します。
  • Just-In-Time および Just-Enough-Access (JIT/JEA) 管理特権を使用して、防御を強化します。
  • テレメトリを使用して、攻撃と異常を検出します。
  • 危険な動作を自動的にブロックしてフラグを設定し、保護アクションを実行します。

同様に、ブループリントと関連する機能Microsoft Azure、組織のポリシー、標準、要件に準拠した方法でリソースを設計、実装、維持することが保証されます。

Azure Blueprints、Azure Policyes、Microsoft Defender for Cloud、Microsoft Sentinel、Azure Sphere は、デプロイされたインフラストラクチャのセキュリティの向上に大きく貢献し、インフラストラクチャを定義、設計、プロビジョニング、デプロイ、監視するための別のアプローチを可能にします。

A repeating circular diagram of 5 elements: Assess compliance, Observe gaps, Author, Test, and Deploy.

インフラストラクチャゼロ トラストデプロイの目標

ヒント

ほとんどの組織がゼロ トラスト体験を開始する前に、インフラストラクチャ セキュリティに対するアプローチの特徴は次のとおりです。

  • アクセス許可は、環境間で手動で管理されます。
  • ワークロードが実行されている VM とサーバーの構成管理。

インフラストラクチャを管理および監視するためのエンド ツー エンドのゼロ トラスト フレームワークを実装する場合は、最初にこれらの初期デプロイ目標に焦点を当てることをお勧めします。

List icon with one checkmark.

I.Workloads は監視され、異常な動作が警告されます。

II。すべてのワークロードにアプリ ID が割り当てられ、一貫して構成およびデプロイされます。

III。リソースへのヒューマン アクセスには Just-In-Time が必要です。

これらが完了したら、次の 追加のデプロイ目標に焦点を当てます。

List icon with two checkmarks.

IV。承認されていないデプロイはブロックされ、アラートがトリガーされます。

V.詳細な可視性とアクセス制御は、ワークロード間で利用できます。

VI。ワークロードごとにセグメント化されたユーザーとリソースのアクセス。

インフラストラクチャゼロ トラストデプロイ ガイド

このガイドでは、ゼロ トラスト セキュリティ フレームワークの原則に従ってインフラストラクチャをセキュリティで保護するために必要な手順について説明します。

作業を開始する前に、これらのベースライン インフラストラクチャデプロイの目標を満たしていることを確認してください。

Microsoft テナント ベースラインの設定

インフラストラクチャの管理方法については、優先度の高いベースラインを設定する必要があります。 NIST 800-53 などの業界ガイダンスを利用して、インフラストラクチャを管理するための一連の要件を導き出すことができます。 Microsoft では、最小限のベースラインを次の要件の一覧に設定しました。

  • データ、ネットワーク、サービス、ユーティリティ、ツール、アプリケーションへのアクセスは、認証と承認メカニズムによって制御する必要があります。

  • 転送中および保存時にデータを暗号化する必要があります。

  • ネットワーク トラフィック フローを制限する。

  • すべての資産に対するセキュリティ チームの可視性。

  • 監視と監査は、所定の組織のガイダンスに従って有効にし、正しく構成する必要があります。

  • マルウェア対策は最新の状態で実行されている必要があります。

  • 所定の組織のガイダンスに従って、脆弱性スキャンを実行し、脆弱性を修復する必要があります。

この最小限または拡張されたベースラインに対するコンプライアンスを測定し、推進するために、Azure テナント全体にセキュリティ リーダー ロールを適用することで、テナント レベルとオンプレミス環境全体で可視性を得ることを開始します。 Security Reader ロールを設定すると、業界のベースライン (Azure CIS、PCI、ISO 27001 など) や組織が定義したカスタム ベースラインを適用するために使用できるMicrosoft Defender for Cloudと Azure Policy を通じて、さらに可視性を得ることができます。

アクセス許可は、環境間で手動で管理されます

テナント レベルから各リソース グループ広告サブスクリプション内の個々のリソースまで、適切なロールベースのアクセス制御を適用する必要があります。

ワークロードが実行されている VMS とサーバーの構成管理

オンプレミス のデータ センター環境を管理しているのと同様に、クラウド リソースを効果的に管理していることを確認する必要もあります。 Azure を利用する利点は、Azure Arc (プレビュー) を使用して 1 つのプラットフォームからすべての VM を管理できることです。 Azure Arc を使用すると、セキュリティ ベースラインをAzure PolicyMicrosoft Defender for Cloud (Defender for Cloud) ポリシー、セキュリティ スコア評価から拡張し、すべてのリソースを 1 か所でログ記録および監視できます。 次に、作業を開始するためのいくつかのアクションを示します。

Azure Arc の実装 (プレビュー)

Azure Arc を使用すると、組織は Azure の使い慣れたセキュリティ制御をオンプレミスと組織のインフラストラクチャのエッジに拡張できます。 管理者には、オンプレミス リソースを Azure Arc に接続するためのいくつかのオプションがあります。これには、Azure Portal、PowerShell、およびサービス プリンシパル スクリプトを使用したWindowsインストールが含まれます。

これらの手法の詳細については、こちらを参照してください

ゲスト内ポリシーの適用など、Azure Policyを通じてセキュリティ ベースラインを適用する

Defender for Cloud Standard を有効にすると、Microsoft Defender for Cloudの組み込みポリシー定義Azure Policy組み込むことによって、Azure Policyを通じてベースライン コントロールのセットを組み込むことができます。 ベースライン ポリシーのセットは、セキュリティで保護されたDefender for Cloudスコアに反映されます。ここで、これらのポリシーへのコンプライアンスを測定できます。

組み込み機能が利用できない場合は、Defender for Cloud セットを超えてポリシーの範囲を拡張し、カスタム ポリシーを作成できます。 また、 サブスクリプション内のゲスト VM 内のコンプライアンスを測定するゲスト構成ポリシーを組み込むこともできます。

Defender for Cloud Endpoint Protectionと脆弱性管理のコントロールを適用する

インフラストラクチャがセキュリティで保護され、使用可能な状態を維持するには、エンドポイント保護が不可欠です。 エンドポイント保護と脆弱性の管理戦略の一環として、コンプライアンスを一元的に測定し、Microsoft Defender for Cloudのエンドポイント保護の評価と推奨事項を通じてマルウェア保護を有効にし、構成できるようにします。

複数のサブスクリプションにわたるベースラインの一元的な可視性

テナント リーダー ロールを適用すると、セキュリティで保護されたスコア、Azure Policy、およびゲスト構成ポリシーの一部として評価される各ポリシー Defender for Cloudの状態をテナント全体で確認できます。 テナントの状態を一元的に報告するために、組織のコンプライアンス ダッシュボードに漏らします。

さらに、Defender for Cloud Standard の一部として、ポリシーを使用して、仮想マシン (Qualys を搭載) で組み込みの脆弱性評価ソリューションを有効にして、VM の脆弱性をスキャンし、それらをDefender for Cloudに直接反映させることができます。 企業に既に脆弱性スキャン ソリューションがデプロイされている場合は、代替ポリシーの脆弱性評価ソリューションを使用できます。これは、 パートナーの脆弱性スキャン ソリューションをデプロイするために仮想マシンにインストールする必要があります。




Checklist icon with one checkmark.

初期デプロイの目標

ベースライン インフラストラクチャの目標を達成したら、エンドツーエンドのゼロ トラスト戦略を備えた最新のインフラストラクチャの実装に集中できます。

私。 ワークロードが監視され、異常な動作が警告されます

新しいインフラストラクチャを作成するときは、アラートを監視および発生させるためのルールも確実に確立する必要があります。 これは、リソースが予期しない動作を表示するタイミングを識別するためのキーです。

さまざまなリソース (コンテナー レジストリ、Kubernetes、IoT、Virtual Machinesなど) をカバーするための関連バンドルを含む、Standard レベル (Defender for Cloud) でMicrosoft Defender for Cloudを有効にすることを強くお勧めします。

ID を監視するには、組織に向けられた高度な脅威、侵害された ID、悪意のあるインサイダー アクションをシグナル 収集で識別、検出、調査できるように、Microsoft Defender for IdentityAdvanced Threat Analytics を有効にすることをお勧めします。

Defender for Cloud、Defender for Identity、Advanced Threat Analytics、その他の監視および監査システムと Microsoft Sentinel (クラウドネイティブのセキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーション自動応答 (SOAR) ソリューションを統合することで、Security Operations Center (SOC) は 1 つのウィンドウから作業し、企業全体のセキュリティ イベントを監視できます。

II。 すべてのワークロードにアプリ ID が割り当てられ、一貫して構成およびデプロイされます

Microsoft では、リソース/ワークロードの作成時に割り当ておよび適用される ポリシー を使用することをお勧めします。 ポリシーでは、作成時にリソースにタグを適用し、リソース グループの割り当てを義務付けるだけでなく、許可されるリージョン、VM 仕様 (VM の種類、ディスク、ネットワーク ポリシーの適用など) などの制限/直接的な技術的特性を要求できます。

III。 リソースへのヒューマン アクセスには Just-In-Time が必要です

担当者は、管理アクセスを控えめに使用する必要があります。 管理機能が必要な場合、ユーザーは一時的な管理アクセス権を受け取る必要があります。

組織は 、管理者プログラムを保護する 必要があります。 これらのプログラムの特性は次のとおりです。

  • 管理者権限を持つユーザーの数をターゲットにした削減。
  • 管理者特権のアクセス許可アカウントとロールを監査する。
  • 特別なHigh-Value資産 (HVA) インフラストラクチャ ゾーンを作成して、サーフェス領域を減らします。
  • 管理者に特別なセキュリティで保護された管理ワークステーション (SAW) を提供して、資格情報の盗難の可能性を減らします。

これらの項目はすべて、組織が管理アクセス許可がどのように使用されているかを認識し、これらのアクセス許可がまだ必要な場合に役立ち、より安全に動作する方法のロードマップを提供します。




Checklist icon with two checkmarks.

追加のデプロイ目標

最初の 3 つの目標を達成したら、承認されていないデプロイをブロックするなど、追加の目標に重点を置くことができます。

IV。 承認されていないデプロイがブロックされ、アラートがトリガーされる

組織がクラウドに移行する場合、その可能性は無限です。 これは必ずしも良いこととは限りません。 組織は、さまざまな理由で、承認されていないデプロイをブロックし、アラートをトリガーして、リーダーとマネージャーに問題を認識させる必要があります。

Microsoft Azureは、リソースのデプロイ方法を制御する Azure Blueprints を提供し、承認されたリソース (ARM テンプレートなど) のみをデプロイできるようにします。 ブループリントでは、ブループリントのポリシーやその他のルールを満たしていないリソースがデプロイからブロックされるようにすることができます。 実際または試行されたブループリント違反は、必要に応じてアラートを発生させ、通知を行ったり、Webhook や Automation Runbook をアクティブ化したり、サービス管理チケットを作成したりすることもできます。

V。 ワークロード間で詳細な可視性とアクセス制御を利用できます

Microsoft Azureには、リソースの可視性を実現するためのさまざまな方法が用意されています。 Azure Portal から、リソース所有者は多くのメトリックとログの収集と分析の機能を設定できます。 この可視性は、セキュリティ操作を提供するだけでなく、コンピューティング効率と組織の目標をサポートするためにも使用できます。 これには VM スケール セットなどの機能が含まれます。これにより、メトリックに基づいてリソースの安全で効率的なスケールアウトとスケーリングが可能になります。

アクセス制御側では、ロールベースのAccess Control (RBAC) を使用して、リソースにアクセス許可を割り当てることができます。 これにより、さまざまな組み込みロールまたはカスタム ロールを使用して、個々のレベルとグループ レベルで権限を一様に割り当て、取り消すことができます。

VI。 ワークロードごとにセグメント化されたユーザーとリソースのアクセス

Microsoft Azureには、ユーザーとリソースのアクセスを管理するためにワークロードをセグメント化するさまざまな方法が用意されています。 ネットワークセグメント化 は全体的なアプローチであり、Azure 内では、仮想ネットワーク (VNet)、VNet ピアリング規則、ネットワーク セキュリティ グループ (NSG)、アプリケーション セキュリティ グループ (ASG)、Azure Firewalls を使用して、サブスクリプション レベルでリソースを分離できます。 ワークロードをセグメント化するための最適なアプローチを決定するには、いくつかの設計パターンがあります。

このガイドで取り上げる製品

Microsoft Azure

Azure Blueprints

Azure Policy

Azure Arc

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Resource Manager (ARM) テンプレート

結論

インフラストラクチャは、成功したゼロ トラスト戦略の中心です。 実装の詳細やヘルプについては、カスタマー サクセス チームにお問い合わせになるか、このガイドの他の章 (すべてのゼロ トラストの柱) を引き続き参照してください。



ゼロ トラストデプロイ ガイド シリーズ

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration