Container Registry 用の Azure セキュリティ ベースライン
このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Container Registry に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Container Registry に適用される関連ガイダンスによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項については、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。
Note
機能 Container Registry には適用されませんが、除外されています。 Container Registry を Microsoft クラウド セキュリティ ベンチマークに完全にマップする方法については、 完全な Container Registry セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Container Registry の影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | Value |
|---|---|
| 製品カテゴリ | コンピューティング、コンテナー |
| 顧客が HOST または OS にアクセスできる | アクセス許可なし |
| サービスを顧客の仮想ネットワークにデプロイできる | False |
| 顧客のコンテンツを保存する | True |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
機能
Virtual Network 統合
[説明]: サービスは顧客のプライベート仮想ネットワーク (VNet) へのデプロイをサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
ネットワーク セキュリティ グループのサポート
[説明]: サービスのネットワーク トラフィックは、サブネットに対するネットワーク セキュリティ グループのルール割り当てに従います。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
機能
Azure Private Link
[説明]: ネットワーク トラフィックをフィルター処理するための、サービスのネイティブ IP フィルタリング機能 (NSG または Azure Firewall とは異なります)。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: Private Link 機能をサポートするすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。
リファレンス: Azure Private Link を使用して Azure コンテナー レジストリにプライベートに接続する
パブリック ネットワーク アクセスの無効化
[説明]: サービスは、サービス レベルの IP ACL フィルタリング規則 (NSG または Azure Firewall ではなく) を使用した、または "パブリック ネットワーク アクセスを無効にする" トグル スイッチを使用した、パブリック ネットワーク アクセスの無効化をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: サービス レベルの IP ACL フィルター規則を使用するか、サービスの "パブリック ネットワーク アクセスを無効にする" 設定を有効にして、パブリック ネットワーク アクセスを無効にします。
リファレンス: パブリック ネットワーク アクセスを許可する
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.ContainerRegistry:
| Name (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については以下を参照してください: https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元的な ID および認証システムを使用する
機能
データ プレーン アクセスに必要な Azure AD Authentication
[説明]: サービスはデータ プレーン アクセスに Azure AD 認証を使用することをサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: azure コンテナー レジストリを使用した Authenticate
データ プレーン アクセスのローカル認証方法
[説明]: ローカル ユーザー名やパスワードなど、データ プレーン アクセスでサポートされるローカル認証方法。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
機能に関する注意事項: ローカル認証の方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証を行います。
構成ガイダンス: データ プレーン アクセスに対するローカル認証方法の使用を制限します。 代わりに、データ プレーン アクセスを制御するための既定の認証方法として、Azure Active Directory (Azure AD) を使います。
リファレンス: リポジトリ スコープのアクセス許可を持つトークンを作成する
IM-3: アプリケーション ID を安全かつ自動的に管理する
機能
マネージド ID
[説明]: データ プレーン アクションでマネージド ID を使用した認証がサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: 可能な場合は、サービス プリンシパルではなく Azure マネージド ID を使用します。これは、Azure Active Directory (Azure AD) 認証をサポートする Azure サービスとリソースに対して認証できます。 マネージド ID の資格情報は、プラットフォームによって完全に管理、ローテーション、保護されており、ソース コードまたは構成ファイル内でハードコーディングされた資格情報を使用せずに済みます。
リファレンス: Azure マネージド ID を使用して Azure コンテナー レジストリに対して認証を行う
サービス プリンシパル
[説明]: データ プレーンはサービス プリンシパルを使用した認証をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
追加のガイダンス: サービス プリンシパルは認証のパターンとしてサービスによってサポートされていますが、可能な場合はマネージド ID を使用することをお勧めします。
リファレンス: サービス プリンシパルを使用した Azure Container Registry 認証
IM-7: 条件に基づいてリソースへのアクセスを制限する
機能
データ プレーンへの条件付きアクセス
[説明]: データ プレーン アクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する
機能
ローカル管理者アカウント
[説明]: サービスにはローカル管理者アカウントという概念があります。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
機能に関する注意事項: ローカル認証の方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証を行います。
構成ガイダンス: 日常的な管理操作に必要ない場合は、緊急使用のみを目的としてローカル管理者アカウントを無効または制限します。 各コンテナー レジストリには管理者ユーザー アカウントが含まれており、このアカウントは既定で無効になっています。
リファレンス: azure コンテナー レジストリを使用した Authenticate
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
機能
データ プレーン用の Azure RBAC
[説明]: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure Container Registry のロールとアクセス許可
PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する
機能
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して、各 Microsoft のデータ アクセス要求を確認し、承認または拒否します。
リファレンス: Microsoft Azure 用Customer Lockbox
データ保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-1:機密データを検出、分類、ラベル付けする
機能
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
DP-2: 機密データをターゲットにした異常と脅威を監視する
機能
データ漏えい/損失防止
説明: サービスは、機密データの移動 (顧客のコンテンツ内) を監視するための DLP ソリューションをサポートしています。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: コンテナー レジストリのエクスポートを無効にして、データ プレーン ('docker pull') 経由でのみデータにアクセスできるようにします。 これにより、"acr import" または "acr transfer" を使用してデータをレジストリから移動できなくなります。
リファレンス: Container レジストリでエクスポートが無効になっている必要がある
DP-3: 転送中の機密データの暗号化
機能
転送中データの暗号化
[説明]: サービスはデータ プレーンの転送中データの暗号化をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure Container Registry で TLS 1.2 を有効にする方法
DP-4: 保存データ暗号化を既定で有効にする
機能
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされており、保存中のお客様のコンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: プラットフォーム マネージド キーを使用した Encrypt レジストリ
DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する
機能
CMK を使用した保存データの暗号化
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって保存される顧客コンテンツでサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 それらのサービスでカスタマー マネージド キーを使って、保存データ暗号化を有効にして実装します。
リファレンス: カスタマー マネージド キーを使用した Encrypt レジストリ
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.ContainerRegistry:
| Name (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/acr/CMK をご覧ください。 | Audit、Deny、Disabled | 1.1.2 |
DP-6: セキュア キー管理プロセスの使用
機能
Azure Key Vault でのキー管理
説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault 統合がサポートされます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
機能
Azure Policy のサポート
[説明]: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するように Azure Policy を構成します。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。 Azure Policy [deny] 効果と [deploy if not exists] 効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
リファレンス: Azure Policy を使用した Azure コンテナー レジストリの監査コンプライアンス
ログと脅威検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
機能
サービス/製品のオファリングのための Microsoft Defender
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: Microsoft Defender for Cloud 組み込みの脅威検出機能を使用し、Container Registry リソースに対して Microsoft Defender を有効にします。 Microsoft Defender for Container Registry は、別のレイヤーのセキュリティ インテリジェンスを提供します。 コンテナー レジストリ リソースにアクセスしたり悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を検出します。
リファレンス: Microsoft Defender for Containers の概要
LT-4: セキュリティ調査のためのログを有効にする
機能
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: Container Registry の Azure リソース ログを有効にします。 リソース ログとログ データの収集は、Microsoft Defender for Cloud と Azure Policy を使用して有効にすることができます。 これらのログは、セキュリティ インシデントを調査したり、フォレンジック演習を実行したりするために重要な場合があります。
リファレンス: Monitor Azure Container Registry
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと復旧を参照してください。
BR-1:定期的な自動バックアップを保証する
機能
Azure Backup
説明: サービスは Azure Backup サービスによってバックアップできます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
サービス ネイティブ バックアップ機能
[説明]: サービスは独自のネイティブ バックアップ機能 (Azure Backup を使用しない場合) をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。