Azure Stack HCI のセキュリティに関する考慮事項

適用対象: Azure Stack HCI、バージョン 22H2 および 21H2。Windows Server 2022、Windows Server 2019

このトピックでは、Azure Stack HCI オペレーティング システムに関連するセキュリティの考慮事項と推奨事項について説明します。

• パート 1 では、オペレーティング システムを強化し、データと ID を保護して組織のセキュリティで保護された基盤を効率的に構築するための、基本的なセキュリティ ツールとテクノロジについて説明します。
• パート 2 では、Microsoft Defender for Cloud で利用できるリソースについて説明します。 クラウドの概要については、「Microsoft Defender」を参照してください。
• パート 3 では、これらの領域で組織のセキュリティ体制をさらに強化するための高度なセキュリティの考慮事項について説明します。

セキュリティに関する考慮事項が重要である理由

セキュリティは、上位レベルの管理者からインフォメーション ワーカーに至るまで、組織内のすべてのユーザーに影響を及ぼします。 セキュリティ違反によってすべての通常のビジネスが中断され、organizationが停止する可能性があるため、セキュリティが不十分なのは、組織にとって本当のリスクです。 攻撃の可能性の検出が早いほど、セキュリティの侵害を軽減できます。

攻撃者は、環境の弱点を調べてそれを悪用した後、通常は最初の侵害から 24 ないし 48 時間以内に、特権をエスカレートしてネットワーク上のシステムを制御できます。 優れたセキュリティ対策を講じると、環境内のシステムが強化され、攻撃者の移動をブロックすることによって、攻撃者が制御を獲得するまでの時間が、数時間から数週間、さらには数か月まで延びます。 このトピックのセキュリティに関する推奨事項を実装することで、組織はこのような攻撃を可能な限り速く検出して対応できるようになります。

パート 1: セキュリティで保護された基盤を構築する

以下のセクションでは、環境内で Azure Stack HCI オペレーティング システムが実行されているサーバーのセキュリティ保護された基盤を構築するための、推奨されるセキュリティ ツールとテクノロジについて説明します。

環境を強化する

このセクションでは、オペレーティング システムで実行されているサービスと仮想マシン (VM) を保護する方法について説明します。

• Azure Stack HCI 認定ハードウェア では、セキュア ブート、UEFI、TPM の一貫した設定がすぐに使用できます。 仮想化ベースのセキュリティと認定ハードウェアを組み合わせることにより、セキュリティが重視されるワークロードを保護できます。 また、この信頼されたインフラストラクチャを Microsoft Defender for Cloud に接続して、迅速に変化するワークロードと脅威を考慮して行動分析とレポートをアクティブ化することもできます。

  • "セキュア ブート" は、PC 業界によって開発されたセキュリティ標準であり、相手先ブランド供給 (OEM) によって信頼されているソフトウェアのみを使用して、デバイスを起動できるようにします。 詳細については、「セキュア ブート」を参照してください。
  • United Extensible Firmware Interface (UEFI) は、サーバーの起動プロセスを制御し、Windows または別のオペレーティング システムに制御を渡します。 詳細については、UEFI ファームウェアの要件に関する記事を参照してください。
  • "トラステッド プラットフォーム モジュール (TPM) " テクノロジでは、ハードウェア ベースのセキュリティ関連機能が提供されます。 TPM チップは、暗号化キーの生成、保存、使用の制限を行う、セキュリティで保護された暗号化プロセッサです。 詳細については、「トラステッド プラットフォーム モジュール技術の概要」を参照してください。

  Azure Stack HCI 認定ハードウェア プロバイダーの詳細については、 Azure Stack HCI ソリューション の Web サイトを参照してください。

• セキュリティツールは、1 台のサーバーと Azure Stack HCI クラスターの両方で、セキュリティ管理と制御を容易にするために Windows Admin Center でネイティブに使用できます。 このツールにより、システムの Secured-Core の状態を簡単に表示できる機能を含め、サーバーとクラスターのいくつかの重要なセキュリティ設定が一元化されます。

  詳細については、セキュリティで保護されたコアサーバーに関するページを参照してください。

• Device Guard と Credential Guard。 Device Guard を使用すると、シグネチャがわかっていないマルウェア、署名されていないコード、機密情報をキャプチャしたりシステムを破壊したりするためにカーネルにアクセスするマルウェアから保護されます。 Windows Defender Credential Guard では、仮想化ベースのセキュリティを使用してシークレットが分離され、特権のあるシステム ソフトウェアのみがそれらにアクセスできます。

  詳細については、「Windows Defender Credential Guard を管理する」を参照し、Device Guard および Credential Guard ハードウェア準備ツールをダウンロードしてください。

• Windows とファームウェアの更新プログラムは、クラスター、サーバー (ゲスト VM を含む)、PC に不可欠であり、オペレーティング システムとシステム ハードウェアの両方を攻撃者から確実に保護するのに役立ちます。 Windows Admin Center の更新プログラム ツールを使用して、個々のシステムに更新プログラムを適用できます。 ハードウェア プロバイダーにドライバー、ファームウェア、ソリューションの更新プログラムの取得Windows Admin Centerサポートが含まれている場合は、Windows 更新プログラムと同時にこれらの更新プログラムを取得できます。それ以外の場合は、ベンダーから直接入手してください。

  詳細については、クラスターの更新に関する記事を参照してください。

  一度に複数のクラスターおよびサーバーの更新プログラムを管理するには、Windows Admin Center と統合されているオプションの Azure Update Management サービスをサブスクライブすることを検討してください。 詳細については、「Windows Admin Center を使用した Azure Update Management」を参照してください。

データの保護

このセクションでは、Windows Admin Center を使用して、オペレーティング システムのデータとワークロードを保護する方法について説明します。

• 記憶域スペース用の BitLocker では、保存データが保護されます。 BitLocker を使用して、オペレーティング システム上の記憶域スペースのデータ ボリュームの内容を暗号化できます。 BitLocker を使用してデータを保護すると、組織は FIPS 140-2 や HIPAA などの政府、地域、業界固有の標準に準拠し続けることができます。

  Windows Admin Center での BitLocker の使用の詳細については、ボリュームの暗号化、重複除去、圧縮の有効化に関する記事を参照してください。

• Windows ネットワークに対する SMB 暗号化では、転送中のデータが保護されます。 サーバー メッセージ ブロック (SMB) は、コンピューター上のアプリケーションがファイルの読み取りと書き込みを行い、コンピューター ネットワーク上のサーバー プログラムからサービスを要求できるようにするネットワーク ファイル共有プロトコルです。

  SMB 暗号化を有効にする方法については、「SMB セキュリティ拡張機能」を参照してください。

• Windows Defender ウイルス対策は、ウイルス、マルウェア、スパイウェア、その他の脅威からクライアントとサーバー上のオペレーティング システムを保護します。 詳細については、「Windows Server Microsoft Defenderウイルス対策」を参照してください。

ID を保護する

このセクションでは、Windows Admin Center を使用して特権 ID を保護する方法について説明します。

• アクセスの制御を使用すると、管理ランドスケープのセキュリティを向上させることができます。 Windows Admin Center サーバー (Windows 10 PC で実行しているのではなく) を使用している場合は、Windows Admin Center 自体に対するアクセスを、ゲートウェイ ユーザーとゲートウェイ管理者の 2 つのレベルで制御できます。 ゲートウェイ管理者 ID プロバイダーのオプションには、次のものが含まれます。

  • スマートカード認証を適用するための Active Directory またはローカル コンピューター グループ。
  • Microsoft Entra ID を使用して、条件付きアクセスと多要素認証を適用します。

  詳細については、「Windows Admin Center でのユーザー アクセス オプション」および「ユーザー アクセス制御とアクセス許可を構成する」を参照してください。

• Windows Admin Center へのブラウザー トラフィックでは、HTTPS が使用されます。 Windows Admin Center からマネージド サーバーへのトラフィックでは、標準の PowerShell と、Windows リモート管理 (WinRM) 経由の Windows Management Instrumentation (WMI) が使用されます。 Windows Admin Centerでは、ローカル管理者パスワード ソリューション (LAPS)、リソースベースの制約付き委任、Active Directory (AD) またはMicrosoft Entra ID を使用したゲートウェイ アクセス制御、およびWindows Admin Center ゲートウェイを管理するためのロールベースのアクセス制御 (RBAC) がサポートされます。

  Windows Admin Center では、Windows 10 上の Microsoft Edge (Windows 10 バージョン 1709 以降)、Google Chrome、Microsoft Edge Insider がサポートされています。 Windows Admin Center は、windows 10 PC 上または Windows サーバー上にインストールできます。

  Windows Admin Centerをサーバーにインストールすると、ゲートウェイとして実行され、ホスト サーバーに UI は表示されません。 このシナリオでは、管理者は、ホスト上の自己署名セキュリティ証明書によって保護された HTTPS セッションを介してサーバーにログオンできます。 ただし、信頼された VPN 経由でローカル IP アドレスに接続されている場合でも、サポートされているブラウザーは自己署名接続をセキュリティで保護されていないものとして扱うため、サインオン プロセスには信頼された証明機関からの適切な SSL 証明書を使用することをお勧めします。

  組織に対するインストール オプションの詳細については、「適切なインストールの種類」を参照してください。

• CredSSP は認証プロバイダーであり、いくつかのケースで管理対象の特定のサーバーを超えてコンピューターに資格情報を渡すために、Windows Admin Center によって使用されます。 現在、Windows Admin Center では次の場合に CredSSP が必要です。

  • 新しいクラスターを作成します。
  • フェールオーバー クラスタリングまたはクラスター対応更新機能を使用するために、更新プログラム ツールにアクセスする。
  • VM 内の非集計 SMB 記憶域を管理する。

  詳細については、「Windows Admin Center は CredSSP を使用しますか」を参照してください。

• ID の管理と保護に使用できる Windows Admin Center のセキュリティ ツールには、Active Directory、証明書、ファイアウォール、ローカル ユーザーとグループなどがあります。

  詳細については、「Windows Admin Center を使用してサーバーを管理する」を参照してください。

パート 2: Microsoft Defender for Cloud (MDC) を使用する

Microsoft Defender for Cloud は、データ センターのセキュリティ体制を強化し、クラウドとオンプレミスのハイブリッド ワークロード全体で高度な脅威保護を提供する統合インフラストラクチャ セキュリティ管理システムです。 Defender for Cloud には、ネットワークのセキュリティ状態を評価し、ワークロードを保護し、セキュリティ アラートを生成し、特定の推奨事項に従って攻撃を修復し、将来の脅威に対処するためのツールが用意されています。 Defender for Cloud は、Azure サービスを使用した自動プロビジョニングと保護を通じて、デプロイ オーバーヘッドなしで、これらのサービスをすべてクラウドで高速に実行します。

Defender for Cloud は、これらのリソースに Log Analytics エージェントをインストールすることで、Windows サーバーと Linux サーバーの両方の VM を保護します。 Azure では、エージェントによって収集されたイベントが、ワークロードのセキュリティ強化のために実行する推奨事項 (セキュリティ強化タスク) に関連付けられます。 セキュリティのベスト プラクティスに基づくセキュリティ強化タスクには、セキュリティ ポリシーの管理と適用が含まれます。 その後、Defender for Cloud 監視を通じて結果を追跡し、コンプライアンスとガバナンスを経時的に管理しながら、すべてのリソースの攻撃対象領域を減らすことができます。

Azure のリソースとサブスクリプションにアクセスできるユーザーを管理することは、Azure のガバナンス戦略の重要な部分を占めています。 Azure RBAC は、Azure でアクセスを管理する主要な方法です。 詳細については、「ロールベースのアクセス制御を使用して Azure 環境へのアクセスを管理する」を参照してください。

Windows Admin Centerを介して Defender for Cloud を操作するには、Azure サブスクリプションが必要です。 作業を開始するには、「Microsoft Defender for Cloud を使用してWindows Admin Centerリソースを保護する」を参照してください。 作業を開始するには、「 Defender for Server の展開を計画する」を参照してください。 Defender for Servers (サーバー プラン) のライセンスについては、「 Defender for Servers プランの選択」を参照してください。

登録後、Windows Admin Centerで MDC にアクセスします。[すべての接続] ページで、サーバーまたは VM を選択し、[ツール] で [Microsoft Defender for Cloud] を選択し、[Azure にサインイン] を選択します。

詳しくは、「Microsoft Defender for Cloud とは」をご覧ください。

パート 3: 高度なセキュリティを追加する

以下のセクションでは、環境内で Azure Stack HCI オペレーティング システムが実行されているサーバーをさらに強化するするための、推奨される高度なセキュリティ ツールとテクノロジについて説明します。

環境を強化する

• Microsoft セキュリティ ベースラインは、商業組織および米国政府 (国防総省など) とのパートナーシップによって得られた、Microsoft のセキュリティに関する推奨事項に基づいています。 セキュリティ ベースラインには、Windows ファイアウォール、Windows Defender、その他に対する推奨されるセキュリティ設定が含まれています。

  セキュリティ ベースラインは、グループ ポリシー オブジェクト (GPO) バックアップとして提供され、Active Directory Domain Services (AD DS) にインポートし、ドメインに参加しているサーバーに展開して環境を強化できます。 ローカル スクリプト ツールを使用して、セキュリティ ベースラインを使用してスタンドアロン (ドメインに参加していない) サーバーを構成することもできます。 セキュリティ ベースラインの使用を始めるには、Microsoft Security Compliance Toolkit 1.0 をダウンロードしてください。

  詳細については、「Microsoft セキュリティ ベースライン」を参照してください。

データの保護

• Hyper-V 環境を強化するには、物理サーバーで実行されているオペレーティング システムを強化するのと同じように、VM で実行されている Windows Server を強化する必要があります。 仮想環境では、通常、同じ物理ホストを複数の VM で共有しているため、物理ホストとそのホスト上で実行されている VM の両方を保護することが不可欠です。 ホストを侵害する攻撃者は、複数の VM に影響を与えて、ワークロードとサービスに大きな影響を与えることができます。 このセクションでは、Hyper-V 環境内の Windows Server を強化するために使用できる以下の方法について説明します。

  • Windows Server の仮想トラステッド プラットフォーム モジュール (vTPM) でサポートされている VM 向けの TPM を使用すると、VM での BitLocker などの高度なセキュリティ テクノロジを使用できます。 Hyper-V マネージャーまたは Enable-VMTPM Windows PowerShell コマンドレットを使用して、任意の第 2 世代 Hyper-V VM で TPM のサポートを有効にすることができます。

    注意

    vTPM を有効にすると VM モビリティに影響します。最初に vTPM を有効にしたホストとは異なるホストで VM を起動できるようにするには、手動アクションが必要になります。

    詳細については、「Enable-VMTPM」を参照してください。

  • Azure Stack HCI および Windows Server のソフトウェアによるネットワーク (SDN)では、インフラストラクチャ内のソフトウェア ロード バランサー、データセンター ファイアウォール、ゲートウェイ、仮想スイッチなどの仮想ネットワーク デバイスが一元的に構成および管理されます。 Hyper-V 仮想スイッチ、Hyper-V ネットワーク仮想化、RAS ゲートウェイなどの仮想ネットワーク要素は、SDN インフラストラクチャの不可欠な要素として設計されています。

    詳細については、「ソフトウェア定義ネットワーク (SDN)」を参照してください。

    Note

    ホスト ガーディアン サービスによって保護されたシールドされた VM は、Azure Stack HCI ではサポートされていません。

ID を保護する

• ローカル管理者パスワード ソリューション (LAPS) は、各コンピューターのローカル管理者アカウントのパスワードを、ランダムで一意の新しい値に定期的に設定する、Active Directory ドメイン参加済みシステム用の軽量メカニズムです。 パスワードは、Active Directory 内の対応するコンピューター オブジェクトのセキュリティで保護された機密属性に格納され、特別に承認されたユーザーのみが取得できます。 LAPS では、ドメイン アカウントを使用するより利点がある方法で、リモート コンピューター管理にローカル アカウントが使用されます。 詳細については、「ローカル アカウントのリモート使用: LAPS によってすべてが変更される」を参照してください。

  LAPS を使い始めるには、Local Administrator Password Solution (LAPS) をダウンロードします。

• Microsoft Advanced Threat Analytics (ATA) は、特権 ID を侵害しようとしている攻撃者を検出するために使用できるオンプレミスの製品です。 ATA では、認証、承認、および情報収集プロトコル (Kerberos、DNS など) のためにネットワーク トラフィックが解析されます。 ATA により、そのデータを使用してネットワーク上のユーザーや他のエンティティの動作プロファイルが構築され、異常と既知の攻撃パターンが検出されます。

  詳細については、「Advanced Threat Analytics とは」を参照してください。

• Windows Defender Remote Credential Guard では、接続を要求しているデバイスに Kerberos 要求をリダイレクトすることにより、リモート デスクトップ接続での資格情報が保護されます。 また、リモート デスクトップ セッションに対するシングル サインオン (SSO) も提供されます。 リモート デスクトップ セッションの間に、ターゲット デバイスが侵害された場合、資格情報と資格情報派生物の両方がネットワーク経由でターゲット デバイスに渡されないため、資格情報は公開されません。

  詳細については、「Windows Defender Credential Guard を管理する」を参照してください。

• id のMicrosoft Defenderは、ユーザーの動作とアクティビティを監視し、攻撃対象領域を減らし、ハイブリッド環境で Active Directory Federal Service (AD FS) を保護し、サイバー攻撃キルチェーン全体で疑わしいアクティビティと高度な攻撃を特定することで、特権 ID を保護するのに役立ちます。

  詳細については、「Microsoft Defender for Identityとは」を参照してください。

次の手順

セキュリティと規制のコンプライアンスの詳細については、次を参照してください。

• セキュリティおよび保証