インターネット露出分析は、組織がパブリック インターネットに公開されているクラウド リソースを意図的または意図せずに特定し、その公開のリスクと範囲に基づいて修復に優先順位を付けるのに役立つ重要な機能です。
Defender for Cloud では、インターネットへの公開を使用して、構成ミスのリスク レベルを判断し、攻撃パス全体の高品質なポスチャ分析情報、リスクベースのポスチャ評価、Defender for Cloud ポスチャ全体のシグナルの優先順位付けを可能にします。
Defender for Cloud でインターネットへの露出を検出する方法
Defender for Cloud では、次の両方を分析して、リソースがインターネットに公開されているかどうかを判断します。
- コントロール プレーンの構成 (パブリック IP、ロード バランサーなど)
- ネットワーク パスの到達可能性 (ルーティング、セキュリティ、ファイアウォール規則の分析)
インターネットへの露出の検出は、仮想マシン (VM) にパブリック IP アドレスがあるかどうかを確認するのと同じくらい簡単です。 ただし、そのプロセスは複雑になる場合があります。 Defender for Cloud は、複雑なマルチクラウド アーキテクチャにおいてインターネットに公開されているリソースの検索を試みます。 たとえば、ある VM はインターネットに直接公開されていないかもしれませんが、(ネットワーク トラフィックを複数のサーバーに分散して、1 つのサーバーが過負荷にならないようにする) ロード バランサーの背後に配置されている場合があります。
次の表に、Defender for Cloud でインターネットへの露出を評価するリソースを示します。
| カテゴリ | サービス/リソース |
|---|---|
| 仮想マシン | Azure VM アマゾン ウェブ サービス (AWS) EC2 Google Cloud Platform (GCP) コンピューティング インスタンス |
| 仮想マシン クラスター | Azure 仮想マシン スケール セット GCP インスタンス グループ |
| データベース (DB) | Azure SQL Azure PostgreSQL Azure MySQL Azure SQL マネージド インスタンス (マイクロソフトが提供するクラウドベースのデータベースサービスの1つ) Azure MariaDB Azure Cosmos DB Azure Synapse AWS Relational Database Service (RDS) DB GCP SQL 管理者インスタンス |
| Storage | Azure Storage AWS S3 バケット GCP ストレージ バケット |
| AI | Azure OpenAI サービス Azure AI サービス Azure Cognitive Search |
| Containers | Azure Kubernetes Service (AKS) AWS EKS GCP GKE |
| API | Azure API Management の操作 |
次の表に、Defender for Cloud がインターネットへの露出を評価するネットワーク コンポーネントを示します。
| カテゴリ | サービス/リソース |
|---|---|
| Azure | アプリケーション用ゲートウェイ 負荷分散装置 (Load Balancer) Azure Firewall ネットワーク セキュリティ グループ vNet/Subnets |
| AWS | Elastic Load Balancer |
| GCP | Load Balancer |
信頼されたエクスポージャー (プレビュー)
注
現在、Trusted Exposure では、Azure VM/VMSS、AWS EC2、GCP コンピューティング インスタンスを含むマルチクラウド仮想マシンのみがサポートされています。
プレビューで利用可能になった信頼された公開により、組織は既知および信頼されている CIDR (IP 範囲/ブロック) と個々の IP アドレスを定義できます。 リソースがこれらの信頼できる IP にのみ公開されている場合、インターネットに接続されているとは見なされません。 Defender CSPM では、このようなリソースは、内部専用のクラウド リソースと同等のインターネット露出リスクがないものとして扱われます。
信頼できる IP が構成されている場合、Defender for Cloud では次の機能が使用されます。
- 信頼できる IP にのみ公開されているマシンからの攻撃パスを抑制する (内部スキャナー、VPN、許可リストの IP など)
- セキュリティに関する推奨事項の優先順位により、 ノイズの低減に役立つすべての信頼できるソースが除外されるようになりました。
機能
テナント スコープ全体に適用される Azure Policy を使用して信頼できる IP アドレスを定義して適用します。
新しいポリシーでは、CIDR/IP アドレスを含む IP グループが作成されます。
Defender for Cloud はポリシーを読み取り、サポートされているリソースの種類 (現在はマルチクラウド仮想マシン) に適用します。
"信頼済み" の IP アドレスのみに公開されている仮想マシンから発信された公開については、攻撃パスは作成されません。
リソースが信頼できる IP にのみ公開されている場合、セキュリティに関する推奨事項は枯渇します。
Cloud Security Explorer で新しい "信頼された公開" 分析情報を入手できます。これにより、ユーザーは、信頼済みとしてフラグが設定されているすべてのサポートされているリソースに対してクエリを実行できます。
インターネット露出の幅
注
リスク要因を含むインターネット公開幅は、Azure VM/VMSS、AWS EC2、GCP コンピューティング インスタンスを含むマルチクラウド コンピューティング インスタンスにのみ適用されます。
インターネット露出の幅は、リソース (仮想マシンなど) がパブリック インターネットにどの程度広く公開されているかに基づくリスクを表します。 これは、セキュリティ チームが、リソースがインターネットに公開されているかどうかだけでなく、その公開範囲がどれだけ広いか狭いかを理解し、攻撃パスとセキュリティに関する推奨事項で提示されるセキュリティ分析情報の重要度と優先順位付けに影響を与える上で重要な役割を果たします。
しくみ
Defender for cloud は、インターネットに接続されているリソースを自動的に分析し、ネットワーク 規則に従って 、広い露出 または 狭い露出 としてタグ付けします。 出力は広域露光としてタグ付けされ、
- 広く公開されているリソースを含む攻撃パスは、"広くインターネットに公開されている仮想マシンにはストレージ アカウントに対する高いアクセス許可がある" など、タイトルでこれを明確に示しています。
- 計算された露出の幅は、攻撃パスの生成とリスクベースの推奨事項を決定するために使用されます。これは、次のエクスペリエンスに特定のラベルを追加することで、結果の重大度に適切に優先順位を付けるのに役立ちます。
- Cloud Security Explorer で新しい "露出幅" 分析情報を入手し、広く公開されているサポートされているすべてのリソースに対してクエリを実行できます。
インターネットに公開されているリソースを表示する方法
Defender for Cloud には、インターネットに接続するリソースを表示するためのさまざまな方法が用意されています。
Cloud Security Explorer - Cloud Security Explorer を使用すると、グラフベースのクエリを実行できます。 Cloud Security Explorer ページから、インターネットに公開されているリソースを識別するクエリを実行できます。 このクエリは、インターネットに公開されているすべての添付リソースを返し、関連する詳細を確認用に提供します。
攻撃パス分析 - [攻撃パス分析] ページでは、攻撃者が特定のリソースに到達するために実行できる攻撃パスを表示できます。 攻撃パス分析を使用すると、攻撃パスを視覚的に表示し、インターネットに公開されているリソースを確認できます。 インターネットへの露出は、多くの場合、特にリソースに脆弱性がある場合に、攻撃パスのエントリ ポイントとして機能します。 インターネットに接続するリソースは、多くの場合、機密データを含むターゲットにつながります。
推奨事項 - Defender for Cloud は、インターネットへの露出に基づいて推奨事項に優先順位を付けます。
Defender 外部攻撃面管理
また、Defender for Cloud は Defender 外部攻撃面管理と統合して、外部ソースからリソースにアクセスを試みて応答するかどうかを確認することで、リソースのインターネットへの露出を評価します。
詳細については Defender 外部攻撃面管理を参照してください。