Azure でのガバナンス、セキュリティ、コンプライアンス

企業ポリシーを確立し、ガバナンス戦略を計画するときは、選択肢がいくつかあります。 Azure Policy、Azure Blueprints、Microsoft Defender for Cloud などのツールやサービスを使用できます。 これらのツールを使用すると、組織のガバナンスの決定が強制および自動化されます。 ガバナンスの計画を開始する前に、ガバナンス ベンチマーク ツールを使用して、組織のクラウド ガバナンスへのアプローチにおける可能性のあるギャップを特定します。 ガバナンス プロセスの開発に関する詳細については、管理方法に関するページを参照してください。

Azure Blueprint

Azure Blueprints を使用すると、クラウド アーキテクトや中央の情報テクノロジ グループは、反復可能な一連の Azure リソースを定義することができます。 Azure リソースは、組織の標準、パターン、要件の設定と遵守に役立ちます。 Azure Blueprints を使用する開発チームは、新しい環境を迅速に構築して作成することができます。 開発チームは、自分たちが組織のコンプライアンス内で構築を行っていると信じています。開発と配信を迅速化するために、ネットワークなどの一連の組み込みコンポーネントを使用しているためです。

ブループリントは、次のようなさまざまなリソース テンプレートやその他の成果物のデプロイを宣言によって調整する手法です。

• ロールの割り当て
• ポリシーの割り当て
• Azure Resource Manager のテンプレート
• リソース グループ

ブループリントを作成する

ブループリントを作成するには:

1. [Blueprints:Getting started] (ブループリント: 作業の開始) に移動します。
2. [ブループリントの作成] セクションで、 [作成] を選択します。
3. ブループリントの一覧をフィルター処理して、適切なブループリントを選択します。
4. ブループリントの名前を入力し、適切な定義の場所を選択します。
5. [次へ :アーティファクト] を選択し、ブループリントに含まれるアーティファクトを確認します。
6. [下書きの保存] を選択します。

1. Azure portal で [ブループリント: はじめに] に移動します。
2. [ブループリントの作成] セクションで、 [作成] を選択します。
3. ブループリントの一覧をフィルター処理して、適切なブループリントを選択します。
4. ブループリントの名前を入力し、適切な定義の場所を選択します。
5. [次へ :アーティファクト] を選択し、ブループリントに含まれるアーティファクトを確認します。
6. [下書きの保存] を選択します。

ブループリントを発行する

ブループリント アーティファクトをサブスクリプションに対して発行するには、次のようにします。

1. [Blueprints:ブループリントの定義] に移動します。
2. 前の手順で作成したブループリントを選択します。
3. ブループリントの定義を確認し、 [ブループリントを発行する] を選択します。
4. [バージョン] (1.0 など) と [変更に関するメモ] を入力し、 [発行] を選択します。

1. Azure portal で [ブループリント: ブループリントの定義] に移動します。
2. 前の手順で作成したブループリントの定義を選択します。
3. ブループリントの定義を確認し、 [ブループリントを発行する] を選択します。
4. [バージョン] (1.0 など) と [変更に関するメモ] を入力し、 [発行] を選択します。

詳細情報

詳細については、次を参照してください。

• Azure Blueprint
• クラウド導入フレームワーク:リソースの整合性の意思決定ガイド
• 標準ベースのブループリント サンプル

Azure Policy

Azure Policy は、ポリシーの作成、割り当て、管理に役立ちます。 これらのポリシーによってリソースにルールが適用されるため、それらのリソースは会社の標準とサービス レベル アグリーメントに準拠した状態に保たれます。 企業ポリシーに準拠していないリソースを特定するために、Azure Policy によってリソースがスキャンされます。 たとえば、環境内で特定のサイズの仮想マシン (VM) のみを実行できるポリシーを作成できます。 このポリシーを実装すると、Azure Policy によって、お使いの環境内の既存の VM と新たにデプロイした VM が評価されます。 ポリシーを評価することによって、コンプライアンス イベントが生成され、監視とレポートに使用されます。

一般的なポリシーを使用して、次を行います。

• リソースおよびリソース グループにタグ付けを適用します。
• デプロイされたリソースのリージョンを制限します。
• 特定のリソースのコストの高い SKU を制限します。
• Azure マネージド ディスクなどの重要なオプション機能の使用を監査します。

アクション

組み込みのポリシーを管理グループ、サブスクリプション、またはリソース グループに割り当てます。

ポリシーを適用する

リソース グループにポリシーを適用するには:

1. Azure Policy に移動します。
2. [ポリシーを割り当てる] を選択します。

詳細情報

詳細については、次を参照してください。

• Azure Policy
• クラウド導入フレームワーク: 企業ポリシーを定義する
• Microsoft Cloud for Sovereignty ポリシー ポートフォリオ

Microsoft Defender for Cloud

Microsoft Defender for Cloud は、ガバナンス戦略において重要な役割を果たします。 次の機能により、セキュリティを常に把握できます。

• ワークロード間で統合されたセキュリティ ビューの提供
• ファイアウォールやその他のパートナー ソリューションを含むさまざまなソースからのセキュリティ データの収集、検索、分析
• 攻撃を受ける前に問題を修復するための実行可能なセキュリティの推奨事項の提供
• セキュリティ標準への確実な準拠を目的とした、ハイブリッド クラウドのワークロードへのセキュリティ ポリシーの適用

セキュリティ ポリシーや推奨事項などのセキュリティ機能の多くは、無料でご利用いただけます。 Just-In-Time VM アクセスのようなより高度な機能の一部と、ハイブリッド ワークロードのサポートは、Defender for Cloud Standard レベルでご利用いただけます。 Just In Time VM アクセスでは、Azure VM 上の管理ポートに対するアクセスを制御することで、ネットワーク攻撃対象領域を縮小できます。

ヒント

各サブスクリプションでは、既定で、クラウドの Defender が有効になっています。 Defender for Cloud がエージェントをインストールし、データの収集を開始できるようにするには、仮想マシンからデータ収集を有効にすることをお勧めします。

Defender for Cloud を探索するには、 Azure portalに移動します。

詳細情報

詳細については、次のリソースを参照してください。

• Microsoft Defender for Cloud
• Just In Time VM アクセス
• Defender for Cloud の価格レベル
• クラウド導入フレームワーク:セキュリティ ベースライン規範