ランディング ゾーンにゼロ トラストプラクティスを組み込みます

ゼロ トラストは設計と実装に製品とサービスを組み込み、次のセキュリティ原則に従うセキュリティ戦略です。

• 明示性の検証: すべての利用可能なデータ ポイントに基づき、常にアクセスの認証と承認を行ってください。

• 最低特権アクセスの使用: ユーザーに必要最低限のアクセスに制限し、適応型リスクベースのポリシーに配慮した Just-In-Time アクセスを提供するツールを使用します。

• 侵害の想定: 爆発半径とセグメントアクセスを最小限に抑え、積極的に脅威を探して防御を継続的に改善します。

組織がゼロ トラスト戦略に準拠している場合、ランディング ゾーンの設計領域にゼロ トラスト固有の展開目標を組み込む必要があります。 ランディング ゾーンは Azure のワークロードの基盤であるため、ゼロ トラスト導入のためにランディング ゾーンを準備することが重要です。

この記事は、ゼロ トラスト プラクティスをランディング ゾーンに統合するためのガイダンスを提供し、ゼロ トラスト原則に準拠した場合にランディング ゾーン外のソリューションが必要な場合について説明します。

ゼロ トラスト柱とランディング ゾーンの設計領域

Azure ランディング ゾーンの展開にゼロ トラスト プラクティスを実装するとき、最初に各ランディング ゾーンの設計領域にゼロ トラスト ガイダンスを検討する必要があります。

ランディング ゾーンの設計に関する考慮事項と各領域の重要な決定に関するガイダンスについては、「Azure ランディング ゾーンの設計領域」を参照してください。

ゼロ トラスト モデルには、概念と展開目標別に整理された柱があります。 詳細については、「ゼロ トラストソリューションの展開」方法を参照してください。

これらの柱は、組織がゼロ トラストの原則に合わせるために役立つ特定の展開目標を提供します。 これらの目標は技術的な構成を超えます。 たとえば、ネットワークの柱には、ネットワークセグメント化の展開目標があります。 この目標は、Azure で分離ネットワークを構成する方法に関する情報を提供するのではなく、アーキテクチャ パターンを作成するためのガイダンスを提供します。 展開目標を実装するときに考慮すべきその他の設計における決定事項があります。

次の図は、ランディング ゾーンの設計領域が示しています。

次のテーブルは、アーキテクチャに示されている設計領域のゼロ トラストの柱に関連付けします。

凡例	ランディング ゾーンの設計領域	ゼロ トラストの柱
	Azure 請求と Microsoft Entra テナント	ID の柱
	ID 管理とアクセス管理	ID の柱、 アプリケーションの柱、 データの柱
	リソースの編成	ID の柱
	ガバナンス	可視性、自動化、オーケストレーションの柱
	管理	エンドポイントの柱、 アプリケーションの柱、 データの柱、 インフラストラクチャの柱
	ネットワーク トポロジと接続	ネットワークの柱
	Security	すべてのゼロ トラストの柱
	プラットフォームの自動化と DevOps	可視性、自動化、オーケストレーションの柱

すべてのゼロ トラスト展開目標はランディング ゾーンの一部ではありません。 多くのゼロ トラスト展開目標は、Azure に個別のワークロードを設計してリリースするためにあります。

次のセクションでは、各柱を確認して展開目標を実装するための考慮事項と推奨事項を提示します。

ID のセキュリティ保護

ID をセキュリティで保護するための展開目標の詳細については、「ゼロ トラストで ID のセキュリティ保護」を参照してください。 これらの展開目標を実装するには、ID フェデレーション、条件付きアクセス、ID ガバナンス、リアルタイム データ操作を適用できます。

ID に関する考慮事項

• 「Azure ランディング ゾーン リファレンス実装」を使用して既存の ID プラットフォームを Azure に拡張するリソースを展開し、Azure のベスト プラクティスを実装して ID プラットフォームを管理できます。

• Microsoft Entra テナントでゼロ トラスト プラクティスの制御の多くを構成できます。 Microsoft Entra ID を使用する Microsoft 365 とその他のクラウド サービスへのアクセスを制御することもできます。

• Azure ランディング ゾーンを超える構成要件をプランニングする必要があります。

ID に関する推奨事項

• Azure リソースを超える Microsoft Entra ID で ID 管理のプランを策定します。 たとえば、次のトリガーを使用できます。

  • オンプレミス ID システムとフェデレーション。
  • 条件付きアクセス ポリシー。
  • 承認するユーザー、デバイス、場所、行動情報。

• ID リソース用(ドメイン コントローラーなど)の個別サブスクリプションを使用して Azure ランディング ゾーンを展開すると、リソースへのアクセスのセキュリティ保護を強化することができます。

• 可能なときに Microsoft Entra マネージド ID を使います。

エンドポイントのセキュリティ保護

エンドポイントをセキュリティ保護するための展開目標の詳細については、「ゼロ トラストでエンドポイントのセキュリティ保護」を参照してください。 これらの展開目標を実装するには、次の項目を実行できます。

• エンドポイントをクラウド ID プロバイダーに登録し、クラウドマネージド準拠型のエンドポイントとアプリを介してのみリソースにアクセスできるようにします。

• Bring Your Own Device(BYOD)プログラムに登録されている会社デバイスと個人デバイスの両方にデータ損失防止(DLP)とアクセス制御を実施します。

• エンドポイントの脅威検出を使用して認証するデバイス リスクを監視します。

エンドポイントの考慮事項

• エンドポイント展開の目標は、ノート PC、デスクトップ コンピューター、モバイル デバイスなどのエンド ユーザー用コンピューティング デバイスを対象としています。

• エンドポイントにゼロ トラストプラクティスを導入するとき、Azure と Azure の外部にソリューションを実装する必要があります。

• Microsoft Intune やその他のデバイス管理ソリューションなどのツールを使用し、展開目標を実現できます。

• Azure Virtual Desktop などのエンドポイントが Azure にある場合、クライアント エクスペリエンスを Intune に登録し、Azure のポリシーと制御を適用してインフラストラクチャへのアクセスを制限できます。

エンドポイントの推奨事項

• Azure ランディング ゾーンを実装する計画に加え、ゼロ トラストプラクティスでエンドポイントを管理するための計画を立てます。

• デバイスとサーバーの詳細については、「セキュリティで保護されたインフラストラクチャ」を参照してください。

セキュリティで保護されたアプリケーション

アプリケーションをセキュリティで保護するための展開目標の詳細については、「ゼロ トラストでアプリケーションのセキュリティ保護」を参照してください。 これらの展開目標を実装するには、次の項目を実行できます。

• API を使用してアプリケーションの表示範囲の取得。

• ポリシーを適用して機密情報の保護。

• アダプティブ アクセス制御の適用。

• シャドウ IT のリーチの制限。

アプリケーションに関する検討事項

• アプリケーションの展開目的は、組織内のサード パーティとファーストパーティ アプリケーションの両方に対する管理に焦点を当てています。

• 目標は、アプリケーション インフラストラクチャの保護に対処しません。 代わりに、特にクラウド アプリケーションなど、アプリケーションの消費の保護に対処します。

• Azure ランディング ゾーンのプラクティスはアプリケーション目標の詳細な制御を提供しません。 これらのコントロールは、アプリケーション構成の一部として構成されます。

アプリケーションの推奨事項

• Microsoft Defender for Cloud Apps を使用してアプリケーションへのアクセスの管理

• Defender for Cloud アプリに含まれている標準化されたポリシーを使用してプラクティスを実施します。

• アプリケーション アクセスのプラクティスにアプリケーションをオンボードする計画を立てます。 組織がホストするアプリケーションは、サードパーティのアプリケーション以上に信頼しないでください。

データをセキュリティで保護する

データをセキュリティで保護するための展開目標の詳細については、「ゼロ トラストでデータのセキュリティ保護」を参照してください。 これらの目標を実装するには、次の操作を行います。

• データの分類とラベル付け。
• アクセス制御の有効化。
• データ損失保護の実装。

データ リソースのログ記録と管理に関する詳細については、「Azure ランディング ゾーンのリファレンス実装」を参照してください。

ゼロ トラストアプローチには、データの広範囲な制御が含まれます。 実装の観点では、Microsoft Purview はデータ ガバナンス、保護、リスク管理のためのツールを提供します。 クラウド規模分析の展開の一部として Microsoft Purview を使用し、大規模に実装できるソリューションを提供できます。

データに関する考慮事項

• ランディング ゾーン サブスクリプションの民主化の原則に従い、データ リソースのアクセスとネットワークの分離を作成し、ログ記録のプラクティスを確立することもできます。

  ログ記録とデータ リソースの管理のリファレンス実装にはポリシーがあります。

• 展開目標を満たすには、Azure リソースのセキュリティ保護以外にその他の制御が必要です。 ゼロ トラスト データ セキュリティには、データの分類、機密度のラベル付け、データ アクセスの制御が含まれます。 データベースとファイル システムを超えた拡張にも対応します。 Microsoft Teams、Microsoft 365 グループ、SharePoint でデータを保護する方法を検討する必要があります。

データの推奨事項

• Microsoft Purview は、データ ガバナンス、保護、リスク管理のためのツールを提供します。

• クラウド規模分析の展開の一部として Microsoft Purview を実装し、大規模にワークロードを実装します。

インフラストラクチャのセキュリティ保護

インフラストラクチャをセキュリティで保護するための展開目標の詳細については、「ゼロ トラストでインフラストラクチャのセキュリティ保護」を参照してください。 これらの目標を実装するには、次の操作を行います。

• ワークロードの異常な行動の監視。
• インフラストラクチャ ID の管理。
• 人のアクセスの制限。
• リソースのセグメント化。

インフラストラクチャの考慮事項

• インフラストラクチャの展開目的は次のとおりです。

  • Azure リソースの管理。
  • オペレーティング システム環境の管理。
  • システムへのアクセス。
  • ワークロード固有の制御の適用。

• ランディング ゾーン サブスクリプション モデルを使用し、Azure リソースに明確なセキュリティ境界線を作成し、リソース レベルで必要に応じて制限付きアクセス許可を割り当てることができます。

• 組織は管理のためにワークロードを整理する必要があります。

インフラストラクチャの推奨事項

• 標準の Azure ランディング ゾーン ポリシーを使用し、 非準拠の展開とリソースをブロックしてログ記録パターンを実施します。

• Microsoft Entra ID で Privileged Identity Management を構成し、高い特権ロールへの Just-In-Time アクセスを提供します。

• ランディング ゾーンの Defender for Cloud で Just-In-Time アクセスを構成し、仮想マシンへのアクセスを制限します。

• Azure に展開されている個々のワークロードを監視と管理する計画を作成します。

ネットワークのセキュリティ保護

ネットワークをセキュリティで保護するための展開目標の詳細については、「ゼロ トラストでネットワークのセキュリティ保護」を参照してください。 これらの目標を実装するには、次の操作を行います。

• ネットワークのセグメント化の実装
• クラウドネイティブのフィルター処理の使用。
• 最小アクセス権限の実装。

ネットワークに関する考慮事項

• プラットフォーム リソースが ゼロ トラスト セキュリティ モデルを確実にサポートするには、HTTPS トラフィック検査が可能なファイアウォールを展開し、中央ハブから ID と管理ネットワーク リソースを分離する必要があります。

• 接続サブスクリプションのネットワーク リソースに加え、スポーク仮想ネットワークの個々のワークロードをマイクロセグメント化する計画を作成する必要があります。 たとえば、トラフィック パターンを定義してワークロード ネットワークごとにきめ細かいネットワーク セキュリティ グループを作成できます。

ネットワークの推奨事項

• 次のゼロ トラスト固有の展開ガイドを使用し、Azure ランディング ゾーンを展開します。

  • ゼロ トラスト ネットワーク原則で Azure ランディング ゾーン ポータル アクセラレータの展開
  • ゼロ トラスト ネットワーク原則でネットワークの展開
  • ゼロ トラスト ネットワーク原則で Azure ランディング ゾーン Terraform の展開

• アプリケーション配信にゼロ トラスト原則を適用する方法の詳細については、「Web アプリケーション用ゼロ トラスト ネットワーク」を参照してください。

• ワークロード ネットワークの計画を作成する方法の詳細については、「Azure でゼロ トラスト展開プラン」を参照してください。

可視性、自動化、オーケストレーション

可視性、自動化、オーケストレーションの展開目標の詳細については、「ゼロ トラストで可視性、自動化、オーケストレーション」を参照してください。 これらの目標を実装するには、次の操作を行います。

• 可視性を確立します。
• 自動化を有効にします。
• 継続的な改善を実践することで追加コントロールの有効化。

可視性、自動化、オーケストレーションの考慮事項

• Azure ランディング ゾーン リファレンスの実装には、Azure 環境で可視性を迅速に確立するために使用できる Microsoft Sentinel の展開が含まれています。

• リファレンス実装には、Azure ログ記録のポリシーが提供されますが、その他のサービスには追加の統合が必要です。

• 信号を送信するには、Azure DevOps や GitHub などの自動化ツールを構成する必要があります。

可視性、自動化、オーケストレーションの推奨事項

• Azure ランディング ゾーンの一部として Microsoft Sentinel を展開します。

• Microsoft Entra ID とツールからの信号を Microsoft 365 に組み込み、Microsoft Sentinel ワークスペースに統合する計画を作成します。

• 脅威ハンティング演習と継続的なセキュリティ改善を実施する計画を作成します。

次のステップ

• Azure 向けの Microsoft クラウド導入フレームワークのセキュリティ
• azure サービスにゼロ トラスト原則の適用
• ゼロ トラストのセキュリティ態勢の評価