サービスの有効化フレームワーク
事業部門からワークロードを Azure にデプロイするように要求される場合、適切なガバナンス、セキュリティ、コンプライアンスのレベルを達成する方法を決定するために、各ワークロードを可視化する必要があります。 新しいサービスが必要な場合、それを許可する必要があります。
Azure サービスのエンタープライズ セキュリティの準備状況を評価するためのフレームワークを次の表に示します。
セキュリティ
カテゴリ | 条件 |
---|---|
ネットワーク エンドポイント | - サービスには、仮想ネットワークの外部からアクセスできるパブリック エンドポイントがありますか? - 仮想ネットワーク サービス エンドポイントをサポートしていますか。 - Azure サービスとサービス エンドポイントは直接対話できますか。 - Azure Private Link エンドポイントをサポートしていますか。 - 仮想ネットワーク内にデプロイできますか。 |
データの流出防止 | - サービスとしてのプラットフォーム (PaaS) サービスには、Azure ExpressRoute Microsoft ピアリングに個別の Border Gateway Protocol (BGP) コミュニティがありますか。 - ExpressRoute によって、サービスのルート フィルターは公開されますか。 - サービスは Private Link エンドポイントをサポートしていますか。 |
管理およびデータ プレーン操作にネットワーク トラフィック フローを適用する | - サービスに出入りするトラフィックを検査することはできますか。 - ユーザー定義のルーティングを使用してトラフィックを強制的にトンネリングできますか? - 管理操作に Azure 共有パブリック IP 範囲は使用されますか。 - 管理トラフィックは、ホストで公開されているリンクローカル エンドポイントを介して送信されていますか。 |
保存時のデータの暗号化 | - 暗号化は既定で適用されますか。 - 暗号化を無効にすることはできますか。 - 暗号化は、Microsoft マネージド キーとカスタマー マネージド キーのどちらを使用して実行されますか。 |
転送中のデータの暗号化 | - サービスへのトラフィックはプロトコル レベル (SSL または TLS など) で暗号化されていますか。 - HTTP エンドポイントはありますか。また、それらを無効にすることはできますか。 - 基となるサービス通信は暗号化されていますか。 - 暗号化は、Microsoft マネージド キーとカスタマー マネージド キーのどちらを使用して実行されますか。 独自の暗号化をサポートしていますか。 |
ソフトウェアのデプロイ | - アプリケーション ソフトウェアまたはサード パーティ製品をサービスにデプロイすることはできますか。 - ソフトウェアのデプロイはどのように行われ、管理されていますか。 - ソース コードの整合性を制御するためにポリシーを適用できますか? - ソフトウェアがデプロイ可能な場合、マルウェア対策機能、脆弱性管理、およびセキュリティ監視ツールを使用できますか? - そのサービスでは、そのような機能が、Azure Kubernetes Service (AKS) の場合のようにネイティブで提供されていますか。 |
ID 管理とアクセス管理
カテゴリ | 条件 |
---|---|
認証とアクセス制御 | - すべてのコントロール プレーン操作は Microsoft Entra ID によって管理されますか。 AKS の場合のように、入れ子にされたコントロール プレーンがありますか。 - データ プレーンへのアクセスを提供するにはどのような方法がありますか。 - データ プレーンは Microsoft Entra ID と統合されますか。 - Azure サービス間の認証では、マネージド ID やサービス プリンシパルが使用されますか。 - 適用可能なキーまたは Shared Access Signature はどのように管理されますか。 - アクセスはどのような方法で取り消すことができますか。 |
職務の分離 | サービスでは、Microsoft Entra ID 内のコントロール プレーンとデータ プレーンの操作は分離されますか。 |
多要素認証と条件付きアクセス | ユーザーからサービスへの対話に多要素認証は適用されますか? |
ガバナンス
カテゴリ | 条件 |
---|---|
データのエクスポートとインポート | このサービスでは、安全かつ暗号化された状態でデータをインポートおよびエクスポートできますか。 |
データのプライバシーと使用状況 | - Microsoft のエンジニアはデータにアクセスできますか。 - Microsoft サポートによるサービスの操作は監査されますか。 |
データの保存場所 | データはサービス デプロイ リージョンに含まれていますか? |
操作
カテゴリ | 条件 |
---|---|
監視 | サービスは Azure Monitor と統合されますか。 |
バックアップ管理 | - どのワークロード データをバックアップする必要がありますか。 - バックアップはどのようにキャプチャされますか。 - バックアップはどのくらいの頻度で実行できますか。 - バックアップはどのくらいの期間保持できますか。 - バックアップは暗号化されていますか。 - バックアップ暗号化は、Microsoft マネージド キーとカスタマー マネージド キーのどちらを使用して実行されますか。 |
障害復旧 | - このサービスはリージョン冗長の方法でどのように使用できますか? - 達成可能な復旧時間と復旧ポイントの目標は何ですか? |
SKU | - 使用可能な SKU は何ですか。 それらにどのような違いがありますか。 - Premium SKU のセキュリティに関連する機能はありますか。 |
容量管理 | - 容量はどのように監視されますか。 - 水平スケールの単位は何ですか。 |
パッチと更新プログラムの管理 | - サービスには、アクティブな更新が必要ですか? それとも、更新は自動的に行われますか? - 適用される更新の頻度はどのくらいですか。 それを自動化できますか? |
Audit | - 入れ子になったコントロール プレーン操作はキャプチャされますか。 たとえば、AKS や Azure Databricks など。 - 主要なデータ プレーン アクティビティは記録されますか。 |
構成管理 | すべてのリソースにタグをサポートし、put スキーマを用意しますか。 |
Azure サービスのコンプライアンス
カテゴリ | 条件 |
---|---|
サービスの構成証明、認定、および外部監査 | サービスは PCI、ISO、または SOC に準拠していますか。 |
サービスの提供状況 | - このサービスは一般提供されていますか。 - このサービスは、どのリージョンで利用できますか。 - このサービスはどのようなデプロイ スコープですか。 地域サービスとグローバル サービスのどちらですか? |
サービス レベル アグリーメント (SLA) | - サービス可用性の SLA はどのようなものですか。 - 該当する場合、パフォーマンスの SLA はどのようなものですか。 |