適用対象: Azure Local 2311.2 以降
重要
Azure Stack HCI が Azure Local の一部になりました。 詳細については、こちらをご覧ください。
Azure Local は既定でセキュリティ保護された製品であり、最初から 300 を超えるセキュリティ設定が有効になっています。 デフォルトのセキュリティ設定は、デバイスが既知の良好な状態で起動することを保証する一貫したセキュリティ ベースラインを提供します。
この記事では、Azure Local インスタンスに関連付けられているさまざまなセキュリティ機能の概念的な概要を簡単に説明します。 機能には、セキュリティ デフォルト、アプリケーション コントロール、BitLocker によるボリューム暗号化、シークレット ローテーション、ローカルの組み込みユーザー アカウント、Microsoft Defender for Cloud などがあります。
セキュリティの既定値群
Azure Local では、一貫したセキュリティ ベースライン、ベースライン管理システム、ドリフト制御メカニズムを提供するセキュリティ設定が既定で有効になっています。
デプロイ時と実行時の両方で、セキュリティ ベースラインとセキュリティ保護されたコアの設定を監視できます。 セキュリティ設定を構成するときに、デプロイ中にドリフト制御を無効にすることもできます。
ドリフト制御を適用すると、セキュリティ設定は 90 分ごとに更新されます。 この更新間隔により、必要な状態からの変更が確実に修復されます。 継続的な監視と自動修復により、デバイスのライフサイクル全体にわたって一貫性と信頼性の高いセキュリティ体制が実現します。
Azure Local のセキュリティ ベースライン:
- レガシ プロトコルと暗号を無効にして、セキュリティ態勢を強化する。
- Azure Arc Hybrid Edge ベースラインを介して一貫性のある大規模な監視を可能にする組み込みのドリフト保護メカニズムを使用して、OPEX を削減する。
- 推奨される OS セキュリティ ベースラインに関する Center for Internet Security (CIS) ベンチマークおよび米国国防情報システム局のセキュリティ技術導入ガイド (DISA STIG) の要件に厳密に準拠できるようになります。
詳細については、「 Azure Local でのセキュリティの既定値の管理」を参照してください。
アプリケーションコントロール
アプリケーション コントロールはソフトウェア ベースのセキュリティ層です。この層で、実行を許可するソフトウェアの明示的一覧を強制して攻撃面を削減します。 アプリケーション コントロールは既定で有効になっており、コア プラットフォームで実行できるアプリケーションとコードを制限します。 詳細については、「 Azure Local のアプリケーション制御の管理」を参照してください。
アプリケーション コントロールには、強制モードと監査モードの 2 つの主要な操作モードが用意されています。 強制モードでは、信頼されていないコードがブロックされ、イベントが記録されます。 監査モードでは、信頼されていないコードの実行が許可され、イベントが記録されます。 アプリケーション コントロール関連のイベントの詳細については、「イベント の一覧」を参照してください。
重要
セキュリティ リスクを最小限に抑えるには、必ず強制モードでアプリケーション コントロールを実行してください。
アプリケーション コントロール ポリシーの設計について
Microsoft は、強制モードと監査モードの両方に対して、Azure Local 上で基本署名ポリシーを提供しています。 さらに、ポリシーには、アプリケーション制御レイヤーに適用するプラットフォーム動作ルールとブロック ルールの定義済みセットが含まれます。
基本ポリシーの構成
Azure ローカル ベース ポリシーには、次のセクションが含まれます。
- メタデータ: メタデータは、ポリシー名、バージョン、GUID など、ポリシーの一意のプロパティを定義します。
- オプション ルール: これらのルールはポリシー動作を定義します。 補足ポリシーは、その基本ポリシーに関連付けられたオプション ルールの小さなセットとのみ異なることができます。
- 許可規則と拒否規則: これらの規則は、コード信頼の境界を定義します。 ルールは、発行元、署名者、ファイル ハッシュなどに基づいて設定できます。
オプション ルール
このセクションでは、基本ポリシーによって有効になるオプション ルールについて説明しました。
適用されるポリシーでは、次のオプション ルールが既定で有効になります。
| オプション ルール | [値] |
|---|---|
| 有効化済み | UMCI |
| 必須 | WHQL |
| 有効化済み | 補足ポリシーを許可する |
| 有効化済み | 未署名のため失効期限切れ |
| いいえ | フライト署名 |
| 有効化済み | 署名されていないシステム整合性ポリシー (既定) |
| 有効化済み | 動的コードのセキュリティ |
| 有効化済み | [高度なブート オプション] メニュー |
| いいえ | スクリプトの適用 |
| 有効化済み | 管理されたインストーラー |
| 有効化済み | ポリシーを更新して再起動はしない |
監査ポリシーは、基本ポリシーに次のオプション ルールを追加します。
| オプション ルール | [値] |
|---|---|
| 有効化済み | 監査モード (既定) |
詳細については、 オプション ルールの完全な一覧を参照してください。
許可ルールと拒否ルール
基本ポリシーの許可ルールにより、OS およびクラウド デプロイによって配信されるすべての Microsoft コンポーネントが信頼されるようになります。 拒否ルールは、ソリューションのセキュリティ体制にとって安全ではないと見なされるユーザー モード アプリケーションとカーネル コンポーネントをブロックします。
注
基本ポリシーの許可と拒否の規則は、製品の機能を向上させ、ソリューションの保護を最大限に高めるために定期的に更新されます。
拒否ルールの詳細については、次を参照してください。
BitLocker 暗号化
デプロイ中に作成されたデータ ボリュームでは、保存データの暗号化が有効になります。 これらのデータ ボリュームには、インフラストラクチャ ボリュームとワークロード ボリュームの両方が含まれます。 システムをデプロイするときに、セキュリティ設定を変更できます。
既定では、保存データの暗号化はデプロイ中に有効になります。 ここでは、既定の設定を受け入れることをお勧めします。
Azure Local が正常にデプロイされたら、BitLocker 回復キーを取得できます。 BitLocker 回復キーは、システムの外部の安全な場所に格納する必要があります。
BitLocker 暗号化の詳細については、次を参照してください。
ローカルの組み込みユーザー アカウント
このリリースでは、RID 500 と RID 501 に関連付けられている、次のローカル組み込みユーザーを Azure ローカル システムで使用できます。
| 初期 OS イメージでの名前 | デプロイ後の名前 | 既定で有効 | 説明 |
|---|---|---|---|
| 管理者 | ASビルトイン・アドミン | 正しい | コンピューター/ドメインを管理するための組み込みアカウント。 |
| ゲスト | ASBuiltInGuest | False | セキュリティ ベースラインのドリフト制御メカニズムによって保護された、コンピューター/ドメインへのゲスト アクセス用の組み込みアカウント。 |
重要
独自のローカル管理者アカウントを作成し、既知の RID 500 ユーザー アカウントを無効にすることをお勧めします。
シークレットの作成とローテーション
Azure Local のオーケストレーターでは、他のインフラストラクチャ リソースやサービスとの安全な通信を維持するために複数のコンポーネントが必要です。 システムで実行されているすべてのサービスには、認証証明書と暗号化証明書が関連付けられています。
セキュリティを確保するために、内部シークレットの作成とローテーションの機能を実装します。 システム ノードを確認すると、LocalMachine/Personal 証明書ストア (Cert:\LocalMachine\My) パスの下に、作成された証明書がいくつか表示されます。
このリリースでは、次の機能が有効になっています。
- デプロイ中およびシステム スケール操作後に証明書を作成する機能。
- 証明書の有効期限が切れる前の自動ローテーション、およびシステムの有効期間中に証明書をローテーションするオプション。
- 証明書がまだ有効かどうかを監視してアラートを生成する機能。
注
シークレットの作成とローテーションの操作は、システムのサイズに応じて、完了するまでに約 10 分かかります。
詳細については、「 シークレットローテーションの管理」を参照してください。
セキュリティ イベントの Syslog 転送
独自のローカル セキュリティ情報とイベント管理 (SIEM) システムを必要とするお客様や組織向けに、Azure Local には、SIEM にセキュリティ関連のイベントを転送できる統合メカニズムが含まれています。
Azure Local には統合された Syslog フォワーダーがあり、これを構成すれば、RFC3164 で定義された Syslog メッセージが生成され、ペイロードは Common Event Format (CEF) になります。
次の図は、Azure Local と SIEM の統合を示しています。 すべての監査、セキュリティ ログ、アラートは各ホストで収集され、CEF ペイロードとともに syslog 経由で公開されます。
Syslog 転送エージェントは、すべての Azure ローカル ホストにデプロイされ、顧客が構成した Syslog サーバーに Syslog メッセージを転送します。 Syslog 転送エージェントは互いに独立して動作しますが、いずれかのホストでまとめて管理できます。
Azure Local の Syslog フォワーダーは、Syslog 転送が TCP を使用するか UDP を使用するか、暗号化が有効かどうか、一方向認証か双方向認証かに基づいて、さまざまな構成をサポートします。
詳細については、「 Syslog 転送の管理」を参照してください。
Microsoft Defender ウイルス対策
Azure Local には、Microsoft Defender ウイルス対策が有効になっており、既定で構成されています。 Azure ローカル インスタンスで Microsoft Defender ウイルス対策を使用することを強くお勧めします。 Microsoft Defender ウイルス対策は、リアルタイム保護、クラウドによる保護、自動サンプル送信を提供します。
Microsoft Defender ウイルス対策 for Azure Local を使用することをお勧めしますが、Microsoft 以外のウイルス対策ソフトウェアとセキュリティ ソフトウェアを使用する場合は、潜在的な機能の問題を最小限に抑えるために、 独立系ソフトウェア ベンダー (ISV) が Azure Local 用に検証したソフトウェアを選択することをお勧めします 。
詳細については、以下を参照してください。
- Microsoft Defender ウイルス対策と他のセキュリティ製品との互換性。
- Defender for Endpoint を使用しない Microsoft Defender ウイルス対策および Microsoft 以外のウイルス対策ソリューション。
Microsoft 以外のウイルス対策ソフトウェアを使用して Azure Local で機能の問題が発生するまれな場合は、次のパスを除外できます。
- C:\Agents\*
- C:\CloudContent\*
- C:\CloudDeployment\*
- C:\ClusterStorage\*
- C:\EceStore\*
- C:\MASLogs\*
- C:\NugetStore\*
- C:\deploymentpackage\*
- C:\ProgramData\GuestConfig\extension_logs\*
注
Microsoft Defender ウイルス対策機能を削除する場合は、セキュリティ ベースラインの as-isから機能に関連付けられている設定のままにします。 これらの設定を削除する必要はありません。
Microsoft Defender for Cloud (プレビュー)
Microsoft Defender for Cloud は、高度な脅威保護機能を備えたセキュリティ態勢管理ソリューションです。 インフラストラクチャのセキュリティ状態を評価し、ワークロードを保護し、セキュリティ アラートを生成し、攻撃を修復して将来の脅威に対処するための、具体的なレコメンデーションに従うためのツールを提供します。 これらすべてのサービスは、Azure サービスによる自動プロビジョニングと保護を通じて、デプロイのオーバーヘッドなしでクラウド内で高速に実行されます。
基本的な Defender for Cloud プランでは、追加費用なしで、Azure Local システムのセキュリティ態勢を改善するためのレコメンデーションを入手できます。 有料の Defender for Servers プランでは、個々のマシンや Arc VM のセキュリティ アラートなど、強化されたセキュリティ機能が利用できます。
詳細については、以下を参照してください。