注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
資産管理には、Azure リソースに対するセキュリティの可視性とガバナンスを確保するための制御が含まれています。 これには、セキュリティ担当者のアクセス許可、資産インベントリへのセキュリティ アクセス、サービスとリソースの承認の管理 (インベントリ、追跡、修正) に関する推奨事項が含まれます。
該当する組み込みの Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブ: ネットワーク セキュリティ」の詳細を参照してください。
AM-1: セキュリティ チームが資産のリスクを可視化できるようにする
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| 午前1号 | 1.1, 1.2 | CM-8、PM-5 |
Azure Security Center を使用してセキュリティ リスクを監視できるように、セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者のアクセス許可が付与されていることを確認します。
セキュリティ チームの責任の構造によっては、セキュリティ リスクの監視が中央のセキュリティ チームまたはローカル チームの責任である可能性があります。 しかし、セキュリティの分析情報とリスクは、組織内で常に一元的に集計する必要があります。
セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に広く適用することも、管理グループまたは特定のサブスクリプションにスコープを設定することもできます。
注: ワークロードとサービスを可視化するには、追加のアクセス許可が必要になる場合があります。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
AM-2: セキュリティ チームが資産インベントリとメタデータにアクセスできることを確認する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-2 | 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 | CM-8、PM-5 |
セキュリティ チームが、Azure 上の資産の継続的に更新されたインベントリにアクセスできることを確認します。 多くの場合、セキュリティ チームは、新たなリスクに対する組織の潜在的な露出を評価し、継続的なセキュリティ改善への入力として、このインベントリを必要とします。
Azure Security Center インベントリ機能と Azure Resource Graph では、Azure サービス、アプリケーション、ネットワーク リソースなど、サブスクリプション内のすべてのリソースを照会して検出できます。
タグと Azure の他のメタデータ (名前、説明、カテゴリ) を使用して、組織の分類に従って資産を論理的に整理します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
AM-3: 承認された Azure サービスのみを使用する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| 午前3号 | 2.3, 2.4 | CM-7、CM-8 |
Azure Policy を使用して、ユーザーが環境内でプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースに対してクエリを実行し、検出します。 Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
AM-4: 資産ライフサイクル管理のセキュリティを確保する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-4 | 2.3, 2.4, 2.5 | CM-7、CM-8、CM-10、CM-11 |
影響が大きい可能性のある変更の資産ライフサイクル管理プロセスに対処するセキュリティ ポリシーを確立または更新します。 これらの変更には、ID プロバイダーとアクセス、データの機密性、ネットワーク構成、管理特権の割り当てに対する変更が含まれます。
Azure リソースが不要になったら削除します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
AM-5: Azure Resource Manager と対話するユーザーの機能を制限する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-5 | 2.9 | AC-3 |
Azure AD 条件付きアクセスを使用して、"Microsoft Azure Management" アプリの "アクセスのブロック" を構成することで、ユーザーが Azure Resource Manager と対話する機能を制限します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
AM-6: コンピューティング リソースで承認済みアプリケーションのみを使用する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| AM-6 | 2.6, 2.7 | AC-3、CM-7、CM-8、CM-10、CM-11 |
承認されたソフトウェアのみが実行され、承認されていないすべてのソフトウェアが Azure Virtual Machines での実行をブロックされていることを確認します。
Azure Security Center のアダプティブ アプリケーション制御を使用して、アプリケーションの許可リストを検出して生成します。 また、アダプティブ アプリケーション制御を使用して、承認されたソフトウェアのみが実行され、すべての承認されていないソフトウェアが Azure Virtual Machines での実行をブロックされるようにすることもできます。
Azure Automation Change Tracking と Inventory を使用して、Windows および Linux VM からのインベントリ情報の収集を自動化します。 ソフトウェア名、バージョン、発行元、更新時刻は、Azure portal から入手できます。 ソフトウェアのインストール日やその他の情報を取得するには、ゲスト レベルの診断を有効にして、Windows イベント ログを Log Analytics ワークスペースに転送します。
スクリプトの種類に応じて、オペレーティング システム固有の構成またはサード パーティのリソースを使用して、Azure コンピューティング リソースでスクリプトを実行するユーザーの機能を制限できます。
また、サードパーティのソリューションを使用して、未承認のソフトウェアを検出して特定することもできます。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):