Azure プラットフォームのセキュリティ ベースラインについて
Microsoft のサイバーセキュリティ グループと Center for Internet Security (CIS) は、Azure プラットフォームのセキュリティ ベースラインを確立するためのベスト プラクティスを策定しました。
Microsoft は、当初、既製の強化された Azure 仮想マシン (VM) を開発するために、CIS と連携しました。 その後、Azure サービスで実行されているお客様のアプリケーションのセキュリティとコンプライアンスを促進するために、Azure のセキュリティ サービスとツールのための CIS ベンチマーク (CIS のベスト プラクティスが詳しく書かれているドキュメント) の作成を開始しました。
ヒント
CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 では、Azure のセキュアなベースライン構成を確立するための規範的なガイダンスが提供されています。 このガイドは、2021 年 2 月時点の Azure サービスに対してテストされました。 このベンチマークのスコープは、Azure を採用しているすべての人に基本レベルのセキュリティを確立することです。
プラットフォームのセキュリティ ベースラインの作成
クラウド サービスのお客様は、さまざまなセキュリティ標準を利用して、クラウド サービスを使用するときのワークロード セキュリティを実現できます。 次の推奨されるテクノロジのグループ化は、セキュリティで保護されたクラウド対応のワークロードの作成に役立ちます。 これらの推奨事項は、考えられるすべてのセキュリティ構成とアーキテクチャを網羅した一覧ではありません。 これらのセキュリティ ベースラインの推奨事項は、出発点です。
CIS には、2 つの実装レベルと複数の推奨事項があります。
レベル 1 - 推奨される最小セキュリティ設定
- これらの設定はすべてのシステムで構成する必要があります。
- これらの設定によってサービスの中断や機能の低下が発生することはほとんどありません。
レベル 2 - 高セキュリティ環境向けの推奨事項
- これらの設定によって機能が低下する可能性があります。
次の表は、CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 のカテゴリと、各カテゴリに対して行われた推奨事項の数を示したものです。
| テクノロジ グループ | 説明 | 推奨事項の数 |
|---|---|---|
| ID およびアクセス管理 (IAM) | IAM ポリシーに関連する推奨事項 | 23 |
| Microsoft Defender for Cloud | Microsoft Defender for Cloud の構成と使用に関連する推奨事項 | 19 |
| ストレージ アカウント | ストレージ アカウント ポリシーを設定するための推奨事項 | 7 |
| Azure SQL Database | Azure SQL データベースのセキュリティ保護に役立つ推奨事項 | 8 |
| ログ記録と監視 | Azure サブスクリプションのログ記録と監視ポリシーを設定するための推奨事項 | 13 |
| ネットワーク | Azure のネットワーク設定とポリシーを安全に構成するのに役立つ推奨事項 | 5 |
| VM | Azure コンピューティング サービス (具体的には VM) のセキュリティ ポリシーを設定するための推奨事項 | 6 |
| その他 | 一般的なセキュリティと操作の制御に関する推奨事項 (Azure Key Vault とリソース ロックに関連する推奨事項を含む) | 3 |
| 推奨事項の合計 | 84 |
各カテゴリを詳しく見ていきましょう。