Microsoft クラウド セキュリティ ベンチマーク: データ保護、ログ記録と脅威検出、ネットワーク セキュリティ

  • 15 分

セキュリティ コントロール: データ保護

データ保護では、アクセス制御、暗号化、キー管理、証明書管理を使った機密データ資産の検出、分類、保護、監視など、保存時、転送中、認可されたアクセス メカニズムを介したデータ保護のコントロールを対象とします。

DP-3: 転送中の機密データの暗号化

CIS コントロール v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.10 SC-8 3.5、3.6、4.1

セキュリティ原則: 暗号化を使用して、転送中のデータを "帯域外" 攻撃 (トラフィック キャプチャなど) から保護し、攻撃者がデータを簡単に読み取ったり変更したりできないようにします。

転送中のデータの暗号化がネットワークの内外で必須である、ネットワーク境界とサービス スコープを設定します。 これはプライベート ネットワーク上のトラフィックでは省略可能ですが、外部ネットワークとパブリック ネットワーク上のトラフィックにとって重要です。

Azure ガイダンス: 転送中のデータの暗号化機能がネイティブで組み込まれている Azure Storage などのサービスで安全な転送を適用します。

Azure リソースに接続するすべてのクライアントがトランスポート層セキュリティ (TLS) v1.2 以降を使用するようにして、Web アプリケーションのワークロードとサービスに HTTPS を適用します。 VM のリモート管理には、暗号化されていないプロトコルではなく、SSH (Linux の場合) または RDP/TLS (Windows の場合) を使用します。

Azure 仮想マシンのリモート管理には、暗号化されていないプロトコルではなく、SSH (Linux の場合) または RDP/TLS (Windows の場合) を使用します。 安全なファイル転送を行うには、通常の FTP サービスを使用する代わりに、Azure Storage Blob、App Service アプリ、関数アプリで SFTP/FTPS サービスを使用します。

転送中のデータの暗号化は、Azure データセンター間を移動するすべての Azure トラフィックに対して有効になります。 TLS v1.2 以降は、ほとんどの Azure サービスで既定で有効になっています。 また、Azure Storage や Application Gateway などの一部のサービスでは、サーバー側で TLS v1.2 以降を適用できます。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: 転送中のデータの暗号化機能がネイティブで組み込まれている Amazon S3、RDS、CloudFront などのサービスで安全な転送を適用します。

AWS リソースに接続するすべてのクライアントで TLS v1.2 以降が使用されるようにすることで、ワークロード Web アプリケーションとサービス (サーバー側またはクライアント側、またはその両方) に HTTPS (AWS Elastic Load Balancer など) を適用します。

EC2 インスタンスのリモート管理には、暗号化されていないプロトコルではなく、SSH (Linux の場合) または RDP/TLS (Windows の場合) を使用します。 安全なファイル転送を行うには、通常の FTP サービスではなく、AWS Transfer SFTP または FTPS サービスを使用します。

AWS データセンター間のすべてのネットワーク トラフィックは、物理層で透過的に暗号化されます。 サポートされている Amazon EC2 インスタンス タイプを使用する場合、VPC 内およびリージョン間のピアリングされた VPC 間のすべてのトラフィックは、ネットワーク レイヤーで透過的に暗号化されます。 TLS v1.2 以降は、ほとんどの AWS サービスで既定で有効になっています。 また、AWS Load Balancer などの一部のサービスでは、サーバー側で TLS v1.2 以降を適用できます。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: 転送中のデータの暗号化機能がネイティブで組み込まれている Google Cloud Storage などのサービスで安全な転送を適用します。

Web アプリケーションのワークロードとサービスに HTTPS を適用して、GCP リソースに接続するすべてのクライアントがトランスポート層セキュリティ (TLS) v1.2 以降を使用するようにします。

リモート管理の場合、Google Cloud Compute Engine は、暗号化されていないプロトコルではなく、SSH (Linux の場合) または RDP/TLS (Windows の場合) を使用します。 安全なファイル転送を行うには、通常の FTP サービスではなく、Google Cloud Big Query や Cloud App Engine などのサービスで SFTP/FTPS サービスを使用します。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

セキュリティ コントロール: ログと脅威検出

ログと脅威検出では、クラウドでの脅威の検出やクラウド サービスの監査ログの有効化、収集、格納を行うコントロールを対象とします。たとえば、クラウド サービスのネイティブ脅威検出を使って高品質アラートを生成するコントロールによる検出、調査、修復のプロセスの有効化のほか、クラウド監視サービスによるログの収集、SIEM によるセキュリティ分析の一元化、時間の同期、ログの保持などがあります。

LT-4: セキュリティ調査のためにネットワーク ログを有効にする

CIS コントロール v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3、AU-6、AU-12、SI-4 10.8

セキュリティ原則: ネットワーク サービスのログ記録を有効にして、ネットワーク関連のインシデント調査、脅威ハンティング、セキュリティ アラートの生成をサポートします。 ネットワーク ログには、IP フィルタリング、ネットワークとアプリケーションのファイアウォール、DNS、フロー監視などのネットワーク サービスからのログが含まれる場合があります。

Azure ガイダンス: ネットワーク セキュリティ グループ (NSG) リソース ログ、NSG フロー ログ、Azure Firewall ログ、Web アプリケーション ファイアウォール (WAF) ログ、セキュリティ分析用のネットワーク トラフィック データ収集エージェントを介した仮想マシンからのログを有効にして収集し、インシデント調査とセキュリティ アラートの生成をサポートします。 Azure Monitor Log Analytics ワークスペースにフロー ログを送信し、Traffic Analytics を使用して分析情報を提供できます。

他のネットワーク データの関連付けに役立つ DNS クエリ ログを収集します。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: セキュリティ分析のため、VPC フロー ログ、WAF ログ、Route53 リゾルバー クエリ ログなどのネットワーク ログを有効にして収集し、インシデント調査とセキュリティ アラートの生成をサポートします。 ログは、モニタリング目的で CloudWatch にエクスポートすることも、S3 ストレージ バケットにエクスポートして Microsoft Sentinel ソリューションに取り込み、一元的に分析することもできます。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: ほとんどのネットワーク アクティビティ ログは、Google Compute VM、Kubernetes Engine ノードとして使用されるインスタンスなど、リソースから送受信されるネットワーク フローのサンプルを記録する VPC フロー ログを通じて利用できます。 これらのログは、ネットワーク監視、フォレンジクス、リアルタイム セキュリティ分析、経費の最適化に使用できます。

フロー ログは Cloud Logging で表示できます。また、ログは、Cloud Logging のエクスポートがサポートする宛先にエクスポートできます。 フロー ログは、コンピューティング エンジン VM からの接続によって集計され、リアルタイムでエクスポートされます。 Pub/Sub をサブスクライブすることで、リアルタイム ストリーミング API を使用してフロー ログを分析できます。

また、Packet Mirroring を使用して、Virtual Private Cloud (VPC) ネットワーク内の指定されたインスタンスのトラフィックを複製し、それを検査のために転送することもできます。 Packet Mirroring は、ペイロードやヘッダーを含むすべてのトラフィックとパケット データをキャプチャします。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

セキュリティ コントロール: ネットワーク セキュリティ

ネットワーク セキュリティには、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部攻撃の防止と軽減、DNS のセキュリティ保護など、ネットワークをセキュリティで保護するための制御が含まれます。

NS-1: ネットワークセグメント化の境界を確立する

CIS コントロール v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.12, 13.4, 4.4 AC-4、SC-2、SC-7 1.1, 1.2, 1.3

セキュリティ原則: 仮想ネットワークのデプロイが、GS-2 セキュリティ制御で定義されているエンタープライズ セグメント化戦略に合っていることを確認します。 組織のリスクを高める可能性があるワークロードは、分離された仮想ネットワーク内に置く必要があります。

リスクの高いワークロードの例を次に示します。

  • 機密性の高いデータを格納または処理するアプリケーション。
  • 一般ユーザーまたは組織外のユーザーがアクセスできる、外部ネットワークに接続するアプリケーション。
  • セキュリティで保護されていないアーキテクチャを使用しているか、簡単に修復できない脆弱性を含むアプリケーション。

企業のセグメント化戦略を強化するには、ネットワーク コントロールを使用して内部リソース間のトラフィックを制限または監視します。 適切に定義された特定のアプリケーション (3 層アプリなど) の場合、これは、ネットワーク トラフィックのポート、プロトコル、送信元 IP、宛先 IP を制限することにより、"既定で拒否、例外的に許可" という安全性の高いアプローチになります。 相互にやり取りしている多くのアプリケーションとエンドポイントがある場合は、トラフィックをブロックすると適切に拡張できなくなり、トラフィックの監視しか行えなくなる場合があります。

Azure ガイダンス: Vm などのリソースをネットワーク境界内の VNet にデプロイできるように、Azure ネットワークの基本的なセグメント化アプローチとして仮想ネットワーク (VNet) を作成します。 ネットワークをさらにセグメント化するために、より小規模なサブネットワーク用に VNet 内にサブネットを作成できます。

ネットワーク層コントロールとしてネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスでトラフィックを制限または監視します。 アダプティブ ネットワーク強化を使用して、脅威インテリジェンスとトラフィック分析結果に基づいて NSG 強化ルールを推奨するには、「NS-7: ネットワーク セキュリティの構成を簡略化する」を参照してください。

また、アプリケーション セキュリティ グループ (ASG) を使用して、複雑な構成を簡略化することもできます。 ネットワーク セキュリティ グループの明示的な IP アドレスに基づいてポリシーを定義する代わりに、ASG を使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、仮想マシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: AWS ネットワークの基本的なセグメント化アプローチとして仮想プライベートクラウド (VPC) を作成し、EC2 インスタンスなどのリソースをネットワーク境界内の VPC にデプロイできるようにします。 ネットワークをさらにセグメント化するために、より小規模なサブネットワーク用に VPC 内にサブネットを作成できます。

EC2 インスタンスの場合は、セキュリティ グループをステートフル ファイアウォールとして使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスでトラフィックを制限します。 VPC サブネット レベルでは、ネットワーク アクセス制御リスト (NACL) をステートレス ファイアウォールとして使用して、サブネットへのイングレス トラフィックとエグレス トラフィックの明示的なルールを設定します。

VPC トラフィックを制御するには、インターネットとの間のトラフィックが制限されるようにインターネットと NAT ゲートウェイを構成する必要があります。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: GCP ネットワークの基本的なセグメント化アプローチとして仮想プライベート クラウド (VPC) ネットワークを作成し、コンピューティング エンジンの仮想マシン インスタンス (VM) などのリソースをネットワーク境界内の VPC ネットワークにデプロイできるようにします。 ネットワークをさらにセグメント化するために、より小規模なサブネットワーク用に VPC 内にサブネットを作成できます。

VPC ファイアウォール ルールを分散ネットワーク レイヤー コントロールとして使用して、VM、Google Kubernetes Engine (GKE) クラスター、App Engine フレキシブル環境インスタンスなど、VPC ネットワーク内のターゲット インスタンスとの間の接続を許可または拒否します。

また、VPC ネットワーク内のすべてのインスタンス、一致するネットワーク タグを持つインスタンス、または特定のサービス アカウントを使用するインスタンスを対象とするように VPC ファイアウォール ルールを構成して、インスタンスをグループ化し、それらのグループに基づいてネットワーク セキュリティ ポリシーを定義することもできます。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-2: ネットワーク制御を使用してクラウド ネイティブ サービスをセキュリティで保護する

CIS コントロール v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.12, 4.4 AC-4、SC-2、SC-7 1.1, 1.2, 1.3

セキュリティ原則: リソースのプライベート アクセス ポイントを確立してクラウド サービスをセキュリティで保護します。 また、可能であれば、パブリック ネットワークからのアクセスを無効化または制限する必要があります。

Azure ガイダンス: Private Link 機能をサポートするすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。 Private Link を使用すると、プライベート接続がパブリック ネットワーク経由でルーティングされなくなります。

一部の Azure サービスでは、サービス エンドポイント機能を介したプライベート通信を許可することもできますが、Azure プラットフォームでホストされているサービスへのセキュリティで保護されたプライベート アクセスには Azure Private Link を使用することをお勧めします。

特定のサービスでは、サービスのプライベート アクセス ポイントを確立するように VNET を制限できるサービスの VNet 統合をデプロイすることを選択できます。

また、サービス ネイティブ ネットワーク ACL ルールを構成するか、パブリック ネットワーク アクセスを無効にしてパブリック ネットワークからのアクセスをブロックすることもできます。

Azure VM の場合、強力なユース ケースがない限り、パブリック IP/サブネットを VM インターフェイスに直接割り当てないようにし、代わりにゲートウェイまたはロード バランサー サービスをパブリック ネットワークによるアクセスのフロントエンドとして使用する必要があります。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: PrivateLink 機能をサポートするすべての AWS リソースに VPC PrivateLink をデプロイして、サポートされている AWS サービスまたは他の AWS アカウントによってホストされているサービス (VPC エンドポイント サービス) へのプライベート接続を許可します。 PrivateLink を使用すると、プライベート接続がパブリック ネットワーク経由でルーティングされなくなります。

特定のサービスでは、独自の VPC にサービス インスタンスをデプロイしてトラフィックを分離することを選択できます。

また、パブリック ネットワークからのアクセスをブロックするようにサービス ネイティブ ACL 規則を構成することもできます。 たとえば、Amazon S3 では、バケットまたはアカウント レベルでパブリック アクセスをブロックできます。

VPC 内のサービス リソースに IP を割り当てるときは、強力なユース ケースがない限り、パブリック IP/サブネットをリソースに直接割り当てず、代わりにプライベート IP/サブネットを使用しないようにする必要があります。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: VPC プライベート Google Access の実装をサポートするすべての GCP リソースにデプロイして、リソースのプライベート アクセス ポイントを確立します。 これらのプライベート アクセス オプションは、プライベート接続がパブリック ネットワーク経由でルーティングされないようにします。 プライベート Google Access には、内部 IP アドレス (外部 IP アドレスなし) のみを持つ VM インスタンスがあります

特定のサービスでは、独自の VPC にサービス インスタンスをデプロイしてトラフィックを分離することを選択できます。 また、パブリック ネットワークからのアクセスをブロックするようにサービス ネイティブ ACL 規則を構成することもできます。 たとえば、App Engine ファイアウォールを使用すると、App Engine リソースとの通信時に許可または拒否するネットワーク トラフィックを制御できます。 Cloud Storage は、個々のバケットまたは組織レベルでパブリック アクセス防止を適用できる別のリソースです。

GCP コンピューティング エンジン VM の場合、強力なユース ケースがない限り、パブリック IP/サブネットを VM インターフェイスに直接割り当てないようにし、代わりにゲートウェイまたはロード バランサー サービスをパブリック ネットワークによるアクセスのフロントエンドとして使用する必要があります。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-3: エンタープライズ ネットワークのエッジにファイアウォールをデプロイする

CIS コントロール v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.4, 4.8, 13.10 AC-4、SC-7、CM-7 1.1, 1.2, 1.3

セキュリティ原則: ファイアウォールをデプロイして、外部ネットワークとの間のネットワーク トラフィックに対して高度なフィルター処理を実行します。 また、内部セグメント間のファイアウォールを使用して、セグメント化戦略をサポートすることもできます。 セキュリティ コントロールの目的で、ネットワーク トラフィックをネットワーク アプライアンスに強制的に通過させる必要がある場合は、必要に応じて、サブネットのカスタム ルートを使用してシステム ルートを上書きします。

少なくとも、既知の問題のある IP アドレスと、リモート管理 (RDP や SSH など) やイントラネット プロトコル (SMB や Kerberos など) などの危険度の高いプロトコルをブロックします。
Azure ガイダンス: Azure Firewall を使用して、(ハブ/スポーク トポロジ内の) 多数のエンタープライズ セグメントまたはスポークに対して、完全にステートフルなアプリケーション層のトラフィック制限 (URL フィルタリングなど) や中央管理を提供します。

ハブ/スポークの設定など、複雑なネットワーク トポロジがある場合は、トラフィックが目的のルートを通過できるように、ユーザー定義ルート (UDR) を作成する必要が生じることがあります。 たとえば、UDR を使用して、特定の Azure Firewall またはネットワーク仮想アプライアンスを介してエグレス インターネット トラフィックをリダイレクトするオプションがあります。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: AWS ネットワーク ファイアウォールを使用して、(ハブ/スポーク トポロジ内の) 多数のエンタープライズ セグメントまたはスポークに対して、完全にステートフルなアプリケーション層のトラフィック制限 (URL フィルタリングなど) や中央管理を提供します。

ハブ/スポークの設定など、複雑なネットワーク トポロジがある場合は、トラフィックが目的のルートを通過できるように、カスタム VPC ルート テーブルを作成する必要が生じることがあります。 たとえば、カスタム ルートを使用して、特定の AWS Firewall またはネットワーク仮想アプライアンスを介してエグレス インターネット トラフィックをリダイレクトするオプションがあります。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: Google Cloud Armor のセキュリティ ポリシーを使用して、レイヤー 7 のフィルター処理と一般的な Web 攻撃の保護を提供します。 さらに、VPC ファイアウォール ルールを使用して、分散された完全にステートフルなネットワーク レイヤー トラフィック制限と、多数のエンタープライズ セグメントまたはスポーク (ハブ/スポーク トポロジ内) に対する一元管理のためのファイアウォール ポリシーを提供します。

ハブ/スポーク設定など、複雑なネットワーク トポロジがある場合は、ファイアウォール ルールをグループ化、階層化するファイアウォール ポリシーを作成して、それを複数の VPC ネットワークに適用できるようにします。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-5: DDoS 保護を展開する

CIS コントロール v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
13.10 SC-5、SC-7 1.1, 1.2, 1.3, 6.6

セキュリティ原則: 分散型サービス拒否 (DDoS) 保護を展開して、ネットワークとアプリケーションを攻撃から保護します。

Azure ガイダンス: DDoS Protection Basic は、Azure の基になるプラットフォーム インフラストラクチャ (Azure DNS など) を保護するために自動的に有効になり、ユーザーからの構成は必要ありません。

HTTP フラッドや DNS フラッドなどのアプリケーション レイヤー (レイヤー 7) 攻撃をより高いレベルで保護するには、VNet で DDoS 標準保護プランを有効にして、パブリック ネットワークに公開されているリソースを保護します。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: AWS Shield Standard は、一般的なネットワークおよびトランスポート層 (レイヤー 3 および 4) DDoS 攻撃からワークロードを保護するための標準の軽減策で自動的に有効になります

HTTPS フラッドや DNS フラッドなどのアプリケーション レイヤー (レイヤー 7) 攻撃からアプリケーションをより高いレベルで保護するには、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 で AWS Shield Advanced 保護を有効にします。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: Google Cloud Armor には、DDoS 攻撃からシステムを保護するための次のオプションが用意されています。

  • Standard ネットワーク DDoS 保護: ネットワーク ロード バランサー、プロトコル転送、またはパブリック IP アドレスを持つ VM に対する基本的な常時接続保護。
  • 高度なネットワーク DDoS 保護: ネットワーク ロード バランサー、プロトコル転送、またはパブリック IP アドレスを持つ VM を使用する Managed Protection Plus サブスクライバー向けの追加の保護。
  • 標準のネットワーク DDoS 保護は常に有効になっています。 高度なネットワーク DDoS 保護は、リージョンごとに構成します。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS6: Web アプリケーション ファイアウォールを展開する

CIS コントロール v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
13.10 SC-7 1.1, 1.2, 1.3

セキュリティ原則: Web アプリケーション ファイアウォール (WAF) をデプロイし、アプリケーション固有の攻撃から Web アプリケーションと API を保護するための適切な規則を構成します。

Azure ガイダンス: Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) の Web アプリケーション ファイアウォール (WAF) 機能を使用して、ネットワークの端にあるアプリケーション層攻撃からアプリケーション、サービス、API を保護します。

ニーズと脅威の状況に応じて、WAF を "検出" または "防止モード" に設定します。

OWASP の上位 10 の脆弱性などの組み込みのルールセットを選択し、アプリケーションのニーズに合わせて調整します。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: Amazon CloudFront ディストリビューション、Amazon API Gateway、Application Load Balancer、または AWS AppSync で AWS Web Application Firewall (WAF) を使用して、ネットワークの端にあるアプリケーション層攻撃からアプリケーション、サービス、API を保護します。

AWS Managed Rules for WAF を使用して組み込みのベースライン グループをデプロイし、ユーザーケースルールグループのアプリケーションニーズに合わせてカスタマイズします。

WAF ルールのデプロイを簡略化するために、AWS WAF Security Automations ソリューションを使用して、Web ACL に対する Web ベースの攻撃をフィルター処理する定義済みの AWS WAF ルールを自動的にデプロイすることもできます。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: Google Cloud Armor を使用して、サービス拒否や Web 攻撃からアプリケーションや Web サイトを保護します。

業界標準に基づく Google Cloud Armor の標準ルールを使用して、一般的な Web アプリケーションの脆弱性を軽減し、OWASP Top 10 からの保護を提供します。

ModSecurity Core Rules (CRS) から提供される複数のシグネチャで構成される、事前構成された WAF ルールを設定します。 各シグネチャは、ルールセット内の攻撃検出ルールに対応します。

Cloud Armor は、外部ロード バランサーと連携して動作し、アプリケーションが Google Cloud、ハイブリッド デプロイ、マルチクラウド アーキテクチャのいずれにデプロイされているかに関係なく、分散型サービス拒否 (DDoS) やその他の Web ベースの攻撃から保護します。 セキュリティ ポリシーは、構成可能な一致条件とセキュリティ ポリシー内のアクションを使用して、手動で構成できます。 Cloud Armor は、さまざまなユース ケースに対応する事前構成済みのセキュリティ ポリシーも備えています。

Cloud Armor の適応型保護は、バックエンド サービスへのトラフィックのパターンを分析し、疑わしい攻撃を検出して警告し、そのような攻撃を軽減するための提案された WAF ルールを生成することで、L7 分散攻撃を防止、検出し、アプリケーションとサービスから保護するのに役立ちます。 これらのルールは、ニーズに合わせて微調整できます。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-8: 安全でないサービスとプロトコルを検出して無効にする

CIS コントロール v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.4, 4.8 CM-2、CM-6、CM-7 4.1、A2.1、A2.2、A2.3

セキュリティ原則: OS、アプリケーション、またはソフトウェア パッケージレイヤーで安全でないサービスとプロトコルを検出して無効にします。 安全でないサービスやプロトコルを無効にできない場合は、補正制御をデプロイします。

Azure ガイダンス: Microsoft Sentinel の組み込みの安全でないプロトコル ブックを使用して、SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、Kerberos の脆弱な暗号、および署名されていない LDAP バインドなどの安全でないサービスとプロトコルの使用を検出します。 適切なセキュリティ標準を満たしていない安全でないサービスとプロトコルを無効にします。

セキュリティで保護されていないサービスまたはプロトコルを無効にできない場合は、ネットワーク セキュリティ グループ、Azure Firewall、または Azure Web アプリケーション ファイアウォールを介してリソースへのアクセスをブロックするなどの補正制御を使用して、攻撃対象領域を減らします。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: VPC フローログを有効にし、GuardDuty を使用して VPC フローログを分析し、適切なセキュリティ基準を満たしていない可能性のある安全でないサービスとプロトコルを特定します。

AWS 環境のログを Microsoft Sentinel に転送できる場合は、Microsoft Sentinel の組み込みの Insecure Protocol Workbook を使用して、安全でないサービスとプロトコルの使用を検出することもできます

セキュリティで保護されていないサービスまたはプロトコルを無効にできない場合は、セキュリティ グループ、AWS ネットワーク ファイアウォール、AWS Web アプリケーション ファイアウォールを介してリソースへのアクセスをブロックするなどの補正コントロールを使用して、攻撃対象領域を減らします。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: VPC フローログを有効にし、BigQuery または Security Command Center を使用して VPC フローログを分析し、適切なセキュリティ標準を満たしていない可能性のある安全でないサービスとプロトコルを特定します。

GCP 環境のログを Microsoft Sentinel に転送できる場合は、Microsoft Sentinel の組み込みの Insecure Protocol Workbook を使用して、安全でないサービスとプロトコルの使用を検出することもできます。 さらに、ログを Google Cloud Chronicle の SIEM と SOAR に転送し、同じ目的でカスタム ルールを作成できます。

安全でないサービスまたはプロトコルを無効にできない場合は、VPC ファイアウォールのルールとポリシーを介してリソースへのアクセスをブロックする、Cloud Armor などの補正コントロールを使用して攻撃対象領域を減らします。

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

NS-9: オンプレミスまたはクラウド ネットワークをプライベートに接続する

CIS コントロール v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
12.7 CA-3、AC-17、AC-4 なし

セキュリティ原則: クラウド サービス プロバイダーのデータセンターやコロケーション環境のオンプレミス インフラストラクチャなど、さまざまなネットワーク間のセキュリティで保護された通信にプライベート接続を使用します。

Azure ガイダンス: 軽量のサイト間接続またはポイント対サイト接続の場合は、Azure 仮想プライベート ネットワーク (VPN) を使用して、オンプレミス サイトまたはエンド ユーザー デバイスと Azure 仮想ネットワークの間にセキュリティで保護された接続を作成します。

エンタープライズ レベルの高パフォーマンス接続を実現するには、Azure ExpressRoute (または Virtual WAN) を使用して、コロケーション環境で Azure データセンターとオンプレミス インフラストラクチャを接続します。

2 つ以上の Azure 仮想ネットワークを接続するには、仮想ネットワーク ピアリングを使用します。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure バックボーン ネットワーク上に保持されます。

Azure の実装と追加のコンテキスト:

AWS ガイダンス: サイト間接続またはポイント対サイト接続の場合は、AWS VPN を使用して、AWS ネットワークへのオンプレミス サイトまたはエンド ユーザー デバイス間の安全な接続を作成します (IPsec オーバーヘッドが懸念されない場合)。

エンタープライズ レベルの高パフォーマンス接続を実現するには、AWS Direct Connect を使用して、AWS VPC とリソースをコロケーション環境でオンプレミス インフラストラクチャに接続します。

リージョン内またはリージョン間で 2 つ以上の VPC 間の接続を確立するには、VPC ピアリングまたは Transit Gateway を使用できます。 ピアリングされた VPC 間のネットワーク トラフィックはプライベートであり、AWS バックボーン ネットワーク上に保持されます。 複数の VPC を結合して大規模なフラット サブネットを作成する必要がある場合は、VPC 共有を使用するオプションもあります。

AWS の実装と追加のコンテキスト:

GCP ガイダンス: 軽量のサイト間接続またはポイント対サイト接続の場合は、Google Cloud VPN を使用します。

エンタープライズ レベルの高パフォーマンス接続を実現するには、Google Cloud Interconnect または Partner Interconnect を使用して、コロケーション環境でオンプレミス インフラストラクチャを使用して Google Cloud VPC とリソースに接続します。

リージョン内またはリージョン間で 2 つ以上の VPC 間の接続を確立するには、VPC ネットワーク ピアリングまたは Network Connectivity Center を使用できます。 ピアリングされた VPC 間のネットワーク トラフィックはプライベートであり、GCP バックボーン ネットワーク上に保持されます。 複数の VPC を結合して大規模なフラット サブネットを作成する必要がある場合は、共有 VPC を使用するオプションもあります

GCP の実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):