ランディング ゾーンにゼロ トラストプラクティスを組み込む

ゼロ トラスト は、次のセキュリティ原則に従うために、製品とサービスを設計と実装に組み込むセキュリティ戦略です。

• 明示的に確認する: 常に、使用可能なすべてのデータ ポイントに基づいてアクセスを認証および承認します。

• 最小限の特権アクセスを使用する: ユーザーを十分なアクセスに制限し、ツールを使用して、アダプティブ リスクベースのポリシーに関する考慮事項を含む Just-In-Time アクセスを提供します。

• 侵害を想定する: 爆発半径とセグメントアクセスを最小限に抑え、積極的に脅威を探し、防御を継続的に改善します。

組織がゼロ トラスト戦略に準拠している場合は、ゼロ トラスト固有の展開目標をランディング ゾーンの設計領域に組み込む必要があります。 ランディング ゾーンは Azure のワークロードの基盤であるため、ゼロ トラスト導入のためにランディング ゾーンを準備することが重要です。

この記事では、ゼロ トラスト プラクティスをランディング ゾーンに統合するためのガイダンスを提供し、ゼロ トラスト原則への準拠でランディング ゾーン外のソリューションが必要な場合について説明します。

ゼロ トラストの柱とランディング ゾーンの設計領域

Azure ランディング ゾーンのデプロイでゼロ トラスト プラクティスを実装する場合は、まず、各ランディング ゾーン設計領域のゼロ トラスト ガイダンスを検討する必要があります。

ランディング ゾーンの設計に関する考慮事項と、各領域での重要な決定に関するガイダンスについては、 Azure ランディング ゾーンの設計領域に関するページを参照してください。

ゼロ トラスト モデルには、概念とデプロイ目標によって編成された柱があります。 詳細については、「 ゼロ トラスト ソリューションの展開」を参照してください。

これらの柱は、組織がゼロ トラストの原則に沿うのに役立つ特定の展開目標を提供します。 これらの目標は、技術的な構成を超えています。 たとえば、ネットワークの柱には、ネットワークセグメント化のための展開目標があります。 この目的は、Azure で分離ネットワークを構成する方法に関する情報を提供するのではなく、アーキテクチャ パターンを作成するためのガイダンスを提供します。 デプロイ目標を実装する際に考慮すべき設計上の決定事項は他にもあります。

次の図は、ランディング ゾーンの設計領域を示しています。

次の表は、ゼロ トラストの柱と、アーキテクチャに示されている設計領域を関連付けます。

伝説	ランディング ゾーンの設計領域	ゼロ トラストの柱
	Azure の請求と Microsoft Entra テナント	アイデンティティの柱
	ID とアクセス管理	アイデンティティの柱、 アプリケーションの柱、 データの柱
	リソースの編成	アイデンティティの柱
	ガバナンス	可視性、自動化、オーケストレーションの柱
	管理	エンドポイントの柱、 アプリケーションの柱、 データの柱、 インフラストラクチャの柱
	ネットワーク トポロジと接続	ネットワークの柱
	セキュリティ	すべてのゼロトラストの柱
	プラットフォームの自動化と DevOps	可視性、自動化、オーケストレーションの柱

ゼロ トラスト展開目標の一部がランディング ゾーンに含まれているわけではありません。 ゼロ トラストデプロイの目標の多くは、個々のワークロードを設計して Azure にリリースすることです。

次のセクションでは、各柱を確認し、デプロイ目標を実装するための考慮事項と推奨事項を示します。

セキュリティで保護された ID

ID をセキュリティで保護するための展開目標の詳細については、「 ゼロ トラストによる ID のセキュリティ保護」を参照してください。 これらのデプロイ目標を実装するために、ID フェデレーション、条件付きアクセス、ID ガバナンス、リアルタイム データ操作を適用できます。

ID に関する考慮事項

• Azure ランディング ゾーン参照実装を使用して、既存の ID プラットフォームを Azure に拡張するリソースをデプロイし、Azure のベスト プラクティスを実装して ID プラットフォームを管理できます。

• Microsoft Entra テナントでは、ゼロ トラスト プラクティスのコントロールの多くを構成できます。 Microsoft Entra ID を使用する Microsoft 365 やその他のクラウド サービスへのアクセスを制御することもできます。

• Azure ランディング ゾーンの要件を超える構成要件を計画する必要があります。

ID に関する推奨事項

• Azure リソースを超える Microsoft Entra ID で ID を管理するための計画を策定します。 たとえば、次を使用できます。

  • オンプレミス ID システムとのフェデレーション。
  • 条件付きアクセス ポリシー。
  • 承認のためのユーザー、デバイス、場所、または動作情報。

• ドメイン コントローラーなどの ID リソース用の個別のサブスクリプションを使用して Azure ランディング ゾーンをデプロイすると、リソースへのアクセスをより安全に行うことができます。

• 可能な場合は、Microsoft Entra マネージド ID を使用します。

セキュリティで保護されたエンドポイント

エンドポイントをセキュリティで保護するための展開目標については、「 ゼロ トラストによるエンドポイントのセキュリティ保護」を参照してください。 これらの展開目標を実装するには、次の操作を行います。

• エンドポイントをクラウド ID プロバイダーに登録して、クラウドマネージド準拠のエンドポイントとアプリを介してのみリソースにアクセスできるようにします。

• Bring Your Own Device (BYOD) プログラムに登録されている会社のデバイスと個人のデバイスの両方に、データ損失防止 (DLP) とアクセス制御を適用します。

• エンドポイントの脅威検出を使用した認証のデバイス リスクを監視します。

エンドポイントに関する考慮事項

• エンドポイント展開の目的は、ラップトップ、デスクトップ コンピューター、モバイル デバイスなどのエンド ユーザーのコンピューティング デバイスを対象としています。

• エンドポイントにゼロ トラスト プラクティスを採用する場合は、Azure と Azure の外部にソリューションを実装する必要があります。

• Microsoft Intune やその他のデバイス管理ソリューションなどのツールを使用して、展開の目的を実現できます。

• Azure Virtual Desktop など、Azure にエンドポイントがある場合は、クライアント エクスペリエンスを Intune に登録し、Azure のポリシーと制御を適用してインフラストラクチャへのアクセスを制限できます。

エンドポイントの推奨事項

• Azure ランディング ゾーンを実装する計画に加えて、ゼロ トラスト プラクティスを使用してエンドポイントを管理するための計画を策定します。

• デバイスとサーバーの詳細については、「 セキュリティで保護されたインフラストラクチャ」を参照してください。

セキュリティで保護されたアプリケーション

アプリケーションをセキュリティで保護するための展開目標の詳細については、「 ゼロ トラストを使用したアプリケーションのセキュリティ保護」を参照してください。 これらの展開目標を実装するには、次の操作を行います。

• API を使用して、アプリケーションを可視化します。

• 機密情報を保護するためのポリシーを適用します。

• アダプティブ アクセス制御を適用します。

• シャドウ IT のリーチを制限します。

アプリケーションに関する検討事項

• アプリケーションの展開の目的は、組織内のサード パーティアプリケーションとファーストパーティ アプリケーションの両方の管理に重点を置いて行います。

• この目標は、セキュリティで保護されたアプリケーション インフラストラクチャには対応していません。 代わりに、アプリケーション 、特にクラウド アプリケーションの消費のセキュリティ保護に対処します。

• Azure ランディング ゾーンのプラクティスでは、アプリケーション目標の詳細な制御は提供されません。 これらのコントロールは、アプリケーション構成の一部として構成されます。

アプリケーションの推奨事項

• Microsoft Defender for Cloud Apps を使用して、アプリケーションへのアクセスを管理します。

• Defender for Cloud Apps に含まれている標準化されたポリシーを使用して、プラクティスを適用します。

• アプリケーション アクセスのプラクティスにアプリケーションをオンボードする計画を立てる。 組織がホストするアプリケーションは、サードパーティのアプリケーションを信頼する以上に信頼しないでください。

データをセキュリティで保護する

データをセキュリティで保護するための展開目標の詳細については、「 ゼロ トラストによるデータのセキュリティ保護」を参照してください。 これらの目標を実装するには、次の操作を行います。

• データを分類してラベル付けします。
• アクセス制御を有効にします。
• データ損失保護を実装します。

データ リソースのログ記録と管理の詳細については、 Azure ランディング ゾーンのリファレンス実装に関するページを参照してください。

ゼロ トラスト アプローチには、データに対する広範な制御が含まれます。 Microsoft Purview は、実装の立場から、データ ガバナンス、保護、およびリスク管理のためのツールを提供します。 クラウド規模の分析デプロイの一部として Microsoft Purview を使用して、大規模に実装できるソリューションを提供できます。

データに関する考慮事項

• ランディング ゾーン サブスクリプションの民主化の原則に従って、データ リソースのアクセスとネットワークの分離を作成し、ログ記録のプラクティスを確立することもできます。

  参照実装には、データ リソースのログ記録と管理のための ポリシー があります。

• デプロイの目標を満たすためには、Azure リソースのセキュリティ保護以外の他の制御が必要です。 ゼロ トラスト データ セキュリティには、データの分類、秘密度のラベル付け、データ アクセスの制御が含まれます。 また、データベースとファイル システムを超えて拡張されます。 Microsoft Teams、Microsoft 365 グループ、および SharePoint のデータを保護する方法を検討する必要があります。

データのレコメンデーション

• Microsoft Purview には、データ ガバナンス、保護、およびリスク管理のためのツールが用意されています。

• クラウド規模の分析デプロイの一部として Microsoft Purview を実装し、大規模なワークロードを実装します。

セキュリティで保護されたインフラストラクチャ

インフラストラクチャをセキュリティで保護するための展開目標については、「 ゼロ トラストを使用したインフラストラクチャのセキュリティ保護」を参照してください。 これらの目標を実装するには、次の操作を行います。

• ワークロードの異常な動作を監視します。
• インフラストラクチャ ID を管理します。
• 人のアクセスを制限する。
• リソースをセグメント化します。

インフラストラクチャに関する考慮事項

• インフラストラクチャの展開の目的は次のとおりです。

  • Azure リソースの管理。
  • オペレーティング システム環境の管理。
  • システムへのアクセス。
  • ワークロード固有のコントロールの適用。

• ランディング ゾーン サブスクリプション モデルを使用して、Azure リソースに明確なセキュリティ境界を作成し、リソース レベルで必要に応じて制限付きアクセス許可を割り当てることができます。

• 組織は、管理のためにワークロードを整理する必要があります。

インフラストラクチャの推奨事項

• 標準の Azure ランディング ゾーン ポリシー を使用して、非準拠のデプロイとリソースをブロックし、ログ 記録パターンを適用します。

• Microsoft Entra ID で Privileged Identity Management を 構成して、高い特権ロールへの Just-In-Time アクセスを提供します。

• ランディング ゾーンの Defender for Cloud で Just-In-Time アクセス を構成して、仮想マシンへのアクセスを制限します。

• Azure にデプロイされている個々のワークロードを監視および管理する計画を作成します。

ネットワークのセキュリティ保護

ネットワークをセキュリティで保護するための展開目標については、「 ゼロ トラストによるネットワークのセキュリティ保護」を参照してください。 これらの目標を実装するには、次の操作を行います。

• ネットワークのセグメント化を実装します。
• クラウドネイティブ のフィルター処理を使用します。
• 最小アクセス権限を実装します。

ネットワークに関する考慮事項

• プラットフォーム リソースがゼロ トラスト セキュリティ モデルをサポートしていることを確認するには、HTTPS トラフィック検査が可能なファイアウォールをデプロイし、中央ハブから ID と管理ネットワーク リソースを分離する必要があります。

• 接続サブスクリプションのネットワーク リソースに加えて、スポーク仮想ネットワーク内の個々のワークロードをマイクロセグメント化する計画を作成する必要があります。 たとえば、トラフィック パターンを定義し、ワークロード ネットワークごとにきめ細かいネットワーク セキュリティ グループを作成できます。

ネットワークの推奨事項

• Azure ランディング ゾーンをデプロイするには、次のゼロ トラスト固有のデプロイ ガイドを使用します。

  • ゼロ トラスト ネットワークの原則を使用した Azure ランディング ゾーン ポータル アクセラレータのデプロイ
  • ゼロ トラスト ネットワークの原則を使用してネットワークを展開する
  • ゼロ トラスト ネットワークの原則を使用した Azure ランディング ゾーンの Terraform デプロイ

• アプリケーションの配信にゼロ トラスト原則を適用する方法については、 Web アプリケーションのゼロ トラスト ネットワークを参照してください。

• ワークロード ネットワークの計画を作成する方法については、「 Azure でのゼロ トラストデプロイ計画」を参照してください。

可視性、自動化、オーケストレーション

可視性、自動化、オーケストレーションの展開目標については、「ゼロ トラストを使用した 可視性、自動化、オーケストレーション」を参照してください。 これらの目標を実装するには、次の操作を行います。

• 可視性を確立します。
• 自動化を有効にします。
• 継続的な改善を実践することで、追加のコントロールを有効にします。

可視性、自動化、オーケストレーションに関する考慮事項

• Azure ランディング ゾーン参照の実装には、Azure 環境での可視性を迅速に確立するために使用できる Microsoft Sentinel のデプロイが含まれています。

• リファレンス実装では Azure ログのポリシーが提供されますが、他のサービスには追加の統合が必要です。

• シグナルを送信するには、Azure DevOps や GitHub などの自動化ツールを構成する必要があります。

可視性、自動化、オーケストレーションに関する推奨事項

• Azure ランディング ゾーンの一部として Microsoft Sentinel をデプロイします。

• Microsoft Entra ID とツールからのシグナルを Microsoft 365 に Microsoft Sentinel ワークスペースに統合する計画を作成します。

• 脅威ハンティング演習と継続的なセキュリティ強化を実施するための計画を作成します。

次のステップ

• Azure 向け Microsoft クラウド導入フレームワークのセキュリティ
• Azure サービスにゼロ トラスト原則を適用する
• ゼロ トラストのセキュリティ体制を評価する