Azure で運用可能なセキュリティのチェックリスト

Azure では、クラウド アプリケーションをすばやく簡単に、高いコスト効率でデプロイできます。 アプリケーションをデプロイする前に、チェックリストを用意すると便利です。 チェックリストは、必須および推奨のセキュリティ アクションの一覧に照らしてアプリケーションを評価する際に役立ちます。

はじめに

Azure では、アプリケーションのデプロイに使用できるインフラストラクチャ サービスのスイートが提供されます。 Azure で運用可能なセキュリティとは、ユーザーのデータ、アプリケーション、および Microsoft Azure にあるその他の資産を保護するために使用できる、サービス、コントロール、機能を指します。

クラウド プラットフォームから最大限のメリットを得るには、Azure サービスを使用し、チェックリストに従うことをお勧めします。 起動の前に時間とリソースを費やしてアプリケーションの運用の準備状況を評価している組織は、それをしない組織よりも満足度が高くなっています。 この作業を実行するときに、チェックリストは、アプリケーションが一貫して総合的に評価されることを保証する非常に重要なメカニズムとなります。

チェック リスト

このチェックリストは、Azure に高度なエンタープライズ アプリケーションをデプロイするときにさまざまな運用上のセキュリティについて検討する企業を支援するためのものです。 組織がセキュリティで保護されたクラウド移行と運用の戦略を構築する際にも使用できます。

チェックリストのカテゴリ	説明
セキュリティ ロールとアクセス制御	Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、特定のスコープ内のユーザー、グループ、アプリケーションにアクセス許可を割り当てるために使用するユーザーの仕様を提供します。
データの保護と格納	管理プレーンのセキュリティを使用して、Azure ロールベースのアクセス制御 (Azure RBAC) でストレージ アカウントをセキュリティで保護します。 データ プレーンのセキュリティを使用して、Shared Access Signature (SAS) と Stored Access Policy でデータへのアクセスを保護します。 転送レベルの暗号化の使用 - HTTPS と、Azure ファイル共有用の SMB (サーバー メッセージ ブロック プロトコル) 3.0 で使用される暗号化を使用します。 クライアント側の暗号化を使用して、暗号化キーを単独で制御する必要がある場合にストレージ アカウントに送信するデータを保護します。 Storage Service Encryption (SSE) を使用して Azure Storage 内のデータを自動的に暗号化し、Linux VM 用の Azure Disk Encryption および Windows VM 用の Azure Disk Encryption を使用して OS とデータ ディスクの仮想マシン ディスク ファイルを暗号化します。 Azure Storage Analytics を使用して承認の種類を監視します。Blob Storage の場合と同様に、ユーザーが Shared Access Signature またはストレージ アカウント キーを使用していたかどうかを確認できます。 クロス オリジン リソース共有 (CORS) を使用して、別のドメインからストレージ リソースにアクセスします。
セキュリティ ポリシーと推奨事項	Microsoft Defender For Cloud を使用してエンドポイント ソリューションをデプロイします。 Web アプリケーション ファイアウォール (WAF) を追加して Web アプリケーションを保護します。 Azure Firewall を使用してセキュリティ保護を強化します。 Azure サブスクリプションのセキュリティ連絡先の詳細を適用します。 Microsoft Security Response Center (MSRC) は、顧客データが違法に、または許可されていない当事者によってアクセスされたことを検出すると、ユーザーに連絡します。
ID およびアクセス管理	Microsoft Entra ID を使用して、オンプレミスのディレクトリとクラウド ディレクトリを同期します。 シングル サインオンを使用して、ユーザーは、Azure AD 内の組織アカウントに基づいて SaaS アプリケーションにアクセスできます。 パスワード リセット登録アクティビティ レポートを使用して、登録しているユーザーを監視します。 ユーザーの多要素認証 (MFA) を有効にします。 開発者は、Microsoft セキュリティ開発ライフサイクル (Security Development Lifecycle: SDL) などのセキュリティで保護された ID 機能をアプリに使用します。 Microsoft Entra ID P1 または P2 の異常レポートと Microsoft Entra ID Protection 機能を使用して、不審なアクティビティを能動的に監視します。
継続的なセキュリティの監視	Malware Assessment ソリューションである Azure Monitor ログを使用して、お使いのインフラストラクチャ内のマルウェア対策保護の状態についてレポートします。 Update Management を使用して、潜在的なセキュリティの問題に全体でどの程度さらされているか、これらの更新プログラムが環境にとって重要かどうか、その重要度はどの程度かを判断します。 Microsoft Entra管理センターでは、組織のディレクトリの整合性とセキュリティを可視化できます。
Microsoft Defender for Cloud の検出機能	クラウド セキュリティ態勢管理 (CSPM) を使用して、セキュリティを効率的かつ効果的に改善するのに役立つガイダンスを強化します。 アラートを使用して、クラウド、ハイブリッド、またはオンプレミス環境で脅威が識別されたときに通知を受け取ります。 セキュリティ ポリシー、イニシアチブ、推奨事項を使用して、セキュリティ体制を改善します。

まとめ

多くの組織は、Azure にクラウド アプリケーションをうまくデプロイし、運用してきました。 提供しているチェックリストでは、デプロイの成功とストレスのない運用の可能性を高めるのに役立ついくつかの基本的なチェックリストを強調しています。 Azure での既存および新規のアプリケーション デプロイでは、これらの運用と戦略を検討することを強くお勧めします。

次のステップ

Azure のセキュリティの詳細については、次の記事を参照してください。

• クラウドにおける共同責任。
• Azure のエンドツーエンド セキュリティ。
• Azure でのランサムウェア対策