概要 - ゼロ トラストの原則を Azure ネットワークに適用する

この一連の記事は、ゼロ トラストの原則を、多分野にわたるアプローチに基づいて、Microsoft Azure のネットワーク インフラストラクチャに適用するのに役立ちます。 ゼロ トラストはセキュリティ戦略です。 これは、製品やサービスではなく、次の一連のセキュリティ原則を設計および実装する方法です。

• 明示的に検証する
• 最小限の特権アクセスを使用する
• 侵害を想定する

"侵害を想定し、決して信頼せず、常に検証する" というゼロ トラスト マインドセットの実装には、クラウド ネットワーク インフラストラクチャ、デプロイ戦略、実装の変更が必要です。

次の記事では、よくデプロイされる Azure インフラストラクチャ サービスのネットワークにゼロ トラスト アプローチを適用する方法について説明します。

• 暗号化
• セグメント化
• ネットワーク トラフィックを可視化する
• レガシ ネットワーク セキュリティ技術を停止する

このガイダンスでは、ゼロ トラストアプローチを適用する方法について説明するために、多くの組織で運用環境で使用される一般的なパターン (VNet (および IaaS アプリケーション) でホストされるバーチャルマシン ベースのアプリケーション) を対象としています。 これは、オンプレミス アプリケーションを Azure に移行する組織でよく見られるパターンで、"リフトアンドシフト" と呼ばれることもあります。

Microsoft Defender for Cloud による脅威保護

Azure ネットワークの侵害を想定するゼロ トラスト原則には、Microsoft Defender for Cloud が XDR (Extended Detection and Response) ソリューションがあります。これは、環境内でシグナル、脅威、アラート データを自動的に収集し、関連付け、分析します。 Defender for Cloud は、次の図に示すように、Microsoft Defender XDR と共に使用して、環境のより広範な相関保護を提供することを目的としています。

図の説明：

• Defender for Cloud は、複数の Azure サブスクリプションを含む管理グループに対して有効になっています。
• Microsoft Defender XDR は、Microsoft 365 アプリとデータ、Microsoft Entra ID と統合された SaaS アプリ、オンプレミスの Active Directory Domain Services (AD DS) サーバーに対して有効になっています。

管理グループの構成と Defender for Cloud の有効化の詳細については、以下を参照してください。

• サブスクリプションを管理グループに整理し、ユーザーにロールを割り当てる
• 管理グループ内のすべてのサブスクリプションでDefenderforCloudを有効にする

その他のリソース

Azure IaaS にゼロ トラストの原則を適用する場合は、次の追加の記事を参照してください。

• Azure IaaS の場合：
  • Azure Storage
  • バーチャルマシン
  • スポークバーチャルネットワーク
  • ハブバーチャルネットワーク
  • Azure PaaS サービスを使用したスポークバーチャル ネットワーク
• Azure Virtual Desktop
• Azure バーチャル WAN
• アマゾン ウェブ サービスの IaaS アプリケーション
• Microsoft Sentinel と Microsoft Defender XDR