セキュリティ コントロール V2: 体制と脆弱性の管理

セキュリティポスチャと脆弱性管理は、Azure のセキュリティ状況を評価し、改善するための管理に重点を置いています。 これには、脆弱性スキャン、侵入テストと修復、Azure リソースのセキュリティ構成の追跡、レポート、修正が含まれます。

該当する組み込みの Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブ: 体制と脆弱性管理」の詳細を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

インフラストラクチャチームと DevOps チームのセキュリティ ガードレールを定義します。これを使用して、使用する Azure サービスを簡単に安全に構成できます。

Azure セキュリティ ベンチマークのサービス ベースラインを使用して Azure サービスのセキュリティ構成を開始し、組織に必要に応じてカスタマイズします。

Azure Security Center を使用して、Azure リソースの構成を監査および適用するように Azure Policy を構成します。

Azure Blueprints を使用すると、Azure Resource Manager テンプレート、Azure RBAC コントロール、ポリシーなど、サービスとアプリケーション環境のデプロイと構成を 1 つのブループリント定義で自動化できます。

• エンタープライズ規模のランディング ゾーンでのガードレールの実装の図

• Azure Security Center でのセキュリティ ポリシーの操作

• コンプライアンスを適用するポリシーを作成および管理する

• Azure ブループリント

責任: お客様

顧客のセキュリティ利害関係者 (詳細情報):

• 姿勢管理

• インフラストラクチャとエンドポイントのセキュリティ

• アプリケーションのセキュリティと DevOps

PV-2: Azure サービスのセキュリティで保護された構成を維持する

Azure Security Center を使用して構成基準を監視し、Azure Policy [拒否] および [存在しない場合はデプロイ] ルールを使用して、VM、コンテナーなどの Azure コンピューティング リソース全体にセキュリティで保護された構成を適用します。

• Azure Policy の効果について

• コンプライアンスを適用するポリシーを作成および管理する

責任: お客様

顧客のセキュリティ利害関係者 (詳細情報):

• 姿勢管理

• インフラストラクチャとエンドポイントのセキュリティ

• アプリケーションのセキュリティと DevOps

PV-3: コンピューティング リソースのセキュリティで保護された構成を確立する

Azure Security Center と Azure Policy を使用して、VM、コンテナーなどのすべてのコンピューティング リソースでセキュリティで保護された構成を確立します。さらに、カスタム オペレーティング システム イメージまたは Azure Automation State Configuration を使用して、組織に必要なオペレーティング システムのセキュリティ構成を確立できます。

• Azure Security Center の推奨事項を監視する方法

• セキュリティに関する推奨事項 - リファレンス ガイド

• Azure Automation State Configuration の概要

• VHD をアップロードし、それを使用して Azure に新しい Windows VM を作成する

• Azure CLI を使用してカスタム ディスクから Linux VM を作成する

責任: お客様

顧客のセキュリティ利害関係者 (詳細情報):

• 姿勢管理

• インフラストラクチャとエンドポイントのセキュリティ

• アプリケーションのセキュリティと DevOps

PV-4: コンピューティング リソースのセキュリティで保護された構成を維持する

Azure Security Center と Azure Policy を使用して、VM、コンテナーなどの Azure コンピューティング リソースの構成リスクを定期的に評価して修復します。 さらに、Azure Resource Manager テンプレート、カスタム オペレーティング システム イメージ、または Azure Automation State Configuration を使用して、組織に必要なオペレーティング システムのセキュリティ構成を維持できます。 Azure Automation State Configuration と組み合わせた Microsoft VM テンプレートは、セキュリティ要件の満たす、および維持するために役立ちます。

また、Microsoft によって公開された Azure Marketplace VM イメージは、Microsoft によって管理および管理されることに注意してください。

Azure Security Center では、コンテナー イメージの脆弱性をスキャンし、CIS Docker ベンチマークに基づいてコンテナー内の Docker 構成の継続的な監視を実行することもできます。 Azure Security Center の推奨事項ページを使用して、推奨事項を表示し、問題を修復できます。

• Azure Security Center の脆弱性評価の推奨事項を実装する方法

• ARM テンプレートから Azure 仮想マシンを作成する方法

• Azure Automation State Configuration の概要

• Azure portal で Windows 仮想マシンを作成する

• VM のテンプレートをダウンロードする方法に関する情報

• VHD を Azure にアップロードし、新しい VM を作成するサンプル スクリプト

• Azure Security Center のコンテナー のセキュリティ

責任: 共有

顧客のセキュリティ利害関係者 (詳細情報):

• 姿勢管理

• インフラストラクチャとエンドポイントのセキュリティ

• アプリケーションのセキュリティと DevOps

PV-5: カスタム オペレーティング システムとコンテナー イメージを安全に格納する

Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、確実に承認されたユーザーのみがカスタム イメージにアクセスできます。 Azure 共有イメージ ギャラリーを使用して、組織内のさまざまなユーザー、サービス プリンシパル、または AD グループにイメージを共有します。 コンテナー イメージを Azure Container Registry に格納し、Azure RBAC を使用して、承認されたユーザーのみがアクセスできるようにします。

• Azure RBAC について

• Container Registry の Azure RBAC について

• Azure RBAC を構成する方法

• 共有イメージ ギャラリーの概要

責任: お客様

顧客のセキュリティ利害関係者 (詳細情報):

• 姿勢管理

• インフラストラクチャとエンドポイントのセキュリティ

• アプリケーションのセキュリティと DevOps

PV-6: ソフトウェアの脆弱性評価を実行する

Azure 仮想マシン、コンテナー イメージ、および SQL サーバーで脆弱性評価を実行するには、Azure Security Center の推奨事項に従います。 Azure Security Center には、仮想マシンをスキャンするための脆弱性スキャナーが組み込まれています。

ネットワーク デバイスと Web アプリケーションで脆弱性評価を実行するには、サードパーティのソリューションを使用します。 リモート スキャンを実行する場合は、永続的な管理アカウントを 1 つ使用しないでください。 スキャン アカウントの JIT (Just-In-Time) プロビジョニング手法の実装を検討します。 スキャン アカウントの資格情報は、保護、監視、および脆弱性スキャンにのみ使用する必要があります。

一貫した間隔でスキャン結果をエクスポートし、その結果を以前のスキャンと比較して、脆弱性が修復されたことを確認します。 Azure Security Center によって推奨される脆弱性管理の推奨事項を使用する場合は、選択したスキャン ソリューションのポータルにピボットして、スキャン履歴データを表示できます。

• Azure Security Center の脆弱性評価の推奨事項を実装する方法

• 仮想マシン用の統合された脆弱性スキャナー

• Azure Security Center の脆弱性スキャン結果のエクスポート

責任: お客様

顧客のセキュリティ利害関係者 (詳細情報):

• 姿勢管理

• インフラストラクチャとエンドポイントのセキュリティ

• アプリケーションのセキュリティと DevOps

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ソフトウェア更新プログラムを迅速に展開して、オペレーティング システムとアプリケーションのソフトウェアの脆弱性を修復します。

共通のリスク スコアリング プログラム (Common Vulnerability Scoring System など) またはサードパーティのスキャン ツールによって提供される既定のリスク評価を使用し、どのアプリケーションが高いセキュリティ リスクを提示し、どのアプリケーションが高いアップタイムを必要とするかを考慮して、環境に合わせて調整します。

Azure Automation Update Management またはサードパーティソリューションを使用して、最新のセキュリティ更新プログラムが Windows および Linux VM にインストールされていることを確認します。 Windows VM の場合は、Windows Update が有効になっており、自動的に更新されるように設定されていることを確認します。

サード パーティ製ソフトウェアの場合は、Configuration Manager 用のサード パーティのパッチ管理ソリューションまたは System Center Updates Publisher を使用します。

• Azure で仮想マシンの Update Management を構成する方法

• Azure VM の更新プログラムとパッチを管理する

責任: お客様

顧客のセキュリティ利害関係者 (詳細情報):

• 姿勢管理

• インフラストラクチャとエンドポイントのセキュリティ

• アプリケーションのセキュリティと DevOps

PV-8: 定期的な攻撃シミュレーションを実施する

必要に応じて、Azure リソースに対して侵入テストまたは赤いチーム アクティビティを実施し、すべての重要なセキュリティ結果の修復を確実に行います。 Microsoft クラウド侵入テストの契約規則に従って、侵入テストが Microsoft ポリシーに違反しないようにします。 Microsoft が管理するクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming とライブ サイト侵入テストの Microsoft の戦略と実行を使用します。

• Azure での侵入テスト

• 侵入テストのルールと実施方針

• Microsoft Cloud Red Teaming

責任: 共有

顧客のセキュリティ利害関係者 (詳細情報):

• 姿勢管理

• インフラストラクチャとエンドポイントのセキュリティ

• アプリケーションのセキュリティと DevOps