Automation 用の Azure セキュリティ ベースライン
このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Automation に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと Automation に適用される関連ガイダンスによって定義されたセキュリティ制御によってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、[クラウド ポータルのMicrosoft Defender] ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークの制御と推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。
注意
Automation に適用されない機能は除外されています。 Automation が Microsoft クラウド セキュリティ ベンチマークに完全にマップされる方法については、 完全な Automation セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Automation の影響の大きい動作をまとめたものです。これにより、セキュリティに関する考慮事項が高まる可能性があります。
| サービス動作属性 | 値 |
|---|---|
| 製品カテゴリ | MGMT/ガバナンス |
| お客様は HOST/OS にアクセスできます | アクセス権なし |
| サービスは顧客の仮想ネットワークにデプロイできます | True |
| 顧客のコンテンツを保存する | True |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
機能
Virtual Network 統合
説明: サービスは、顧客のプライベート Virtual Network (VNet) へのデプロイをサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: サービスを仮想ネットワークにデプロイします。 リソースにプライベート IP を割り当てます (該当する場合)。 これは、セキュリティの観点から推奨される構成です。ただし、これには、現在クラウド ジョブをサポートしていない Azure 仮想ネットワークに接続されている Hybrid Runbook Worker & 構成する必要があります。
リファレンス: Azure Private Linkを使用してネットワークをAzure Automationに安全に接続する
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
機能
Azure Private Link
説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG やAzure Firewallと混同しないように)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Private Link機能をサポートするすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。
リファレンス: Azure Private Linkを使用してネットワークをAzure Automationに安全に接続する
パブリック ネットワーク アクセスの無効化
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG またはAzure Firewallではなく) または [パブリック ネットワーク アクセスの無効化] トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: Azure Automation サービスでは、組み込みのAzure Policyを使用してパブリック ネットワーク アクセスを無効にすることも、PowerShell コマンドレットを使用することもできます - パブリック ネットワーク アクセス フラグを設定する
構成ガイダンス: PowerShell コマンドレットまたはパブリック ネットワーク アクセス用の切り替えスイッチを使用して、パブリック ネットワーク アクセスを無効にします。
リファレンス: Automation アカウントでパブリック ネットワーク アクセスを無効にする必要がある
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元的な ID および認証システムを使用する
機能
データ プレーン アクセスに必要な Azure AD Authentication
説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: 拡張機能ベースの (v2) ユーザー Hybrid Runbook Worker 機能Azure Automation、Azure Arc 対応サーバーに登録されているサーバーを介して Azure または Azure 以外のコンピューターで Runbook を直接実行するために使用され、Azure AD 認証を使用します。
構成ガイダンス: 既定のデプロイでこれが有効になっているので、追加の構成は必要ありません。
リファレンス: Azure Automation アカウント認証の概要
データ プレーン アクセスのローカル認証方法
説明: ローカルユーザー名やパスワードなど、データ プレーンアクセスでサポートされるローカル認証方法。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: Azure Automation サービスでは、エージェント ベース (v1) ウィンドウまたは Linux Hybrid Runbook worker を介したデータ プレーン アクセス用の証明書ベースのローカル認証方法がサポートされていますが、これはハイブリッド ワーカーをオンボードするための推奨されるアプローチではありません。 推奨される方法として、拡張機能ベース (v2) ハイブリッド Runbook worker のインストール方法を使用します。 ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な場合は Azure AD を使用して認証します。
構成ガイダンス: データ プレーン へのアクセスに対するローカル認証方法の使用を制限します。 代わりに、データ プレーン アクセスを制御するための既定の認証方法として、Azure Active Directory (Azure AD) を使います。
リファレンス: エージェントベースの Windows Hybrid Runbook Worker を Automation にデプロイする
IM-3: アプリケーション ID を安全かつ自動的に管理する
機能
マネージド ID
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能に関するメモ: アカウントがポータルで作成されている場合、システム マネージド ID は既定で作成されますが、API/コマンドレットを使用してアカウントが作成される場合は既定では作成されません。 アカウント作成後も有効にできます。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: マネージド ID
サービス プリンシパル
説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-8: 資格情報とシークレットの公開を制限する
機能
Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vaultのネイティブな使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: Azure Automationのセキュリティで保護された資産には、資格情報、証明書、接続、暗号化された変数が含まれます。 これらの資産は、各 Automation アカウント用に生成された一意のキーを使って暗号化され、Automation に保存されます。 Automation では、キーはシステムによって管理される Key Vault サービスに格納されます。 セキュリティで保護された資産を保存する前に、Automation によって Key Vault からキーが読み込まれ、それを使用して資産が暗号化されます。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure Automationで資格情報を管理する
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-7: Just Enough Administration (最小限の特権の原則) に従う
機能
データ プレーン用の Azure RBAC
説明: Azure Role-Based Access Control (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能に関するメモ: Automation は Azure RBAC と統合され、そのリソースを管理します。 RBAC を使用して、ロールの割り当てによって Azure リソースへのアクセスを管理します。 ロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。 特定のリソースには、定義済みの組み込みロールがあります。 Azure CLI、Azure PowerShell、Azure portal などのツールを使用して、これらのロールのインベントリを作成したりクエリを実行できます。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure Automationでロールのアクセス許可とセキュリティを管理する
PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する
機能
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
機能メモ: Lockbox は Azure Automation に実装されていません。代わりに、Azure Automation サービスは、自動化リソースを暗号化する前に、カスタマー マネージド キーを使用して Runbook スクリプトと DSC 構成を暗号化します。
/en-us/azure/automation/whats-new-archive#added-capability-to-keep-automation-runbooks-and-dsc-scripts-encrypted-by-default
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
データの保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-3: 転送中の機密データの暗号化
機能
転送中データの暗号化
説明: サービスでは、データ プレーンの転送中のデータ暗号化がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: tls 1.2 for Azure Automation
DP-4: 保存データ暗号化を既定で有効にする
機能
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされており、保存中のすべての顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: Azure Automationのセキュリティで保護された資産には、資格情報、証明書、接続、暗号化された変数が含まれます。 これらの資産は、Azure Automation で複数のレベルの暗号化を使用して保護されます。 既定では、Azure Automation アカウントは Microsoft のマネージド キーを使用します。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Microsoft マネージド キー
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.Automation:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する
機能
CMK を使用した保存データの暗号化
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって格納される顧客コンテンツでサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 それらのサービスでカスタマー マネージド キーを使って、保存データ暗号化を有効にして実装します。
リファレンス: Azure Automationでのセキュリティで保護された資産の暗号化
DP-6: セキュア キー管理プロセスの使用
機能
Azure Key Vault でのキー管理
説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure Automationでは、Automation Runbook で使用されるカスタムのシークレットを格納するためにネイティブにKey Vaultとの統合はサポートされていませんが、Automation Runbook コード内から Key Vault コマンドレットを使用してKey Vaultにアクセスできます。
構成ガイダンス: Azure Key Vaultを使用して、キーの生成、配布、ストレージなど、暗号化キーのライフ サイクルを作成および制御します。 定義されたスケジュールに基づいて、またはキーの廃止や侵害が発生した場合に、Azure Key Vault とサービスのキーをローテーションして取り消します。 ワークロード、サービス、またはアプリケーション レベルでカスタマー マネージド キー (CMK) を使用する必要がある場合は、キー管理のベスト プラクティスに従ってください。キー階層を使用して、キー コンテナーにキー暗号化キー (KEK) を使用して個別のデータ暗号化キー (DEK) を生成します。 キーが Azure Key Vaultに登録され、サービスまたはアプリケーションのキー ID を介して参照されていることを確認します。 独自のキー (BYOK) をサービスに持ち込む必要がある場合 (オンプレミスの HSM から Azure Key Vaultに HSM で保護されたキーをインポートする場合など)、最初のキー生成とキー転送を実行するための推奨ガイドラインに従ってください。
DP-7: セキュリティで保護された証明書管理プロセスを使用する
機能
Azure Key Vault での証明書管理
説明: このサービスでは、顧客証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure Automationのセキュリティで保護された資産には、資格情報、証明書、接続、暗号化された変数が含まれます。 これらの資産は、各 Automation アカウント用に生成された一意のキーを使って暗号化され、Automation に保存されます。 Automation では、キーはシステムによって管理される Key Vault サービスに格納されます。 セキュリティで保護された資産を保存する前に、Automation によって Key Vault からキーが読み込まれ、それを使用して資産が暗号化されます。
構成ガイダンス: Azure Key Vaultを使用して、証明書の作成、インポート、ローテーション、失効、ストレージ、消去など、証明書のライフサイクルを作成および制御します。 キー サイズが不十分、有効期間が過度に長い、安全でない暗号化など、セキュリティで保護されていないプロパティを使用せずに、証明書の生成が定義された標準に従っていることを確認します。 定義されたスケジュールまたは証明書の有効期限に基づいて、Azure Key Vaultと Azure サービス (サポートされている場合) で証明書の自動ローテーションを設定します。 アプリケーションで自動ローテーションがサポートされていない場合は、Azure Key Vault とアプリケーションで手動の方法を使用してローテーションされていることを確認します。
リファレンス: Azure Automationで証明書を管理する
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
機能
Azure Policy のサポート
説明: サービス構成は、Azure Policyを使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure Automationの組み込み定義をAzure Policyする
ログと脅威検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
機能
サービス/製品のオファリングのための Microsoft Defender
説明: サービスには、セキュリティの問題を監視してアラートを生成するためのオファリング固有のMicrosoft Defender ソリューションがあります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
LT-4: セキュリティ調査のためのログを有効にする
機能
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントや Log Analytics ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure Automationは、Runbook ジョブの状態とジョブ ストリームを Log Analytics ワークスペースに送信できます。 個々のジョブのジョブ ログとジョブ ストリームは、Azure portal や PowerShell を使って確認できます。
構成ガイダンス: サービスのリソース ログを有効にします。 リソース ログの内容は、Azure サービスとリソースの種類によって異なります。 Azure Automation では、Runbook ジョブの状態とジョブ ストリームを Log Analytics ワークスペースに送信できます。 個々のジョブのジョブ ログとジョブ ストリームは、Azure portal や PowerShell を使って確認できます。
リファレンス: Azure Automation診断ログを Azure Monitor に転送する
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。
BR-1:定期的な自動バックアップを保証する
機能
Azure Backup
説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
機能ノート: Azure BackupによるバックアップAzure Automationはサポートされていません。 Runbook や資産などの Automation 構成の有効なバックアップが保持されていることを確認する必要があります。
Azure Resource Manager を使用して、Automation アカウントと関連リソースをデプロイできます。 Azure Resource Manager テンプレートをエクスポートして、Automation アカウントと関連リソースを復元するためのバックアップとして使用できます。 Automation を使用して、Azure Resource Manager テンプレートのエクスポート API を定期的に呼び出します。
この機能の構成については、(Automation Data Backup) [/azure/automation/automation/automation-managing-data#data-backup] に従います。 organizationがこのセキュリティ機能を構成する必要があるかどうかを確認して判断してください。 Automation アカウントの設定 (ディザスター リカバリー)[/azure/automation/automation-disaster-recovery?tabs=win-hrw%2Cps-script%2Coption-one] に関するガイダンスを活用することもできます。
ソース管理の統合機能を使用して、ソース管理リポジトリ内のスクリプトで Automation アカウントの Runbook を最新の状態に維持することもできます。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
サービス ネイティブ バックアップ機能
説明: サービスでは、独自のネイティブ バックアップ機能がサポートされます (Azure Backupを使用していない場合)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
機能ノート: Azure Automationでは、ネイティブ バックアップ メカニズムは提供されません。 Runbook や資産などの Automation 構成の有効なバックアップが保持されていることを確認する必要があります。
Azure Resource Manager を使用して、Automation アカウントと関連リソースをデプロイできます。 Azure Resource Manager テンプレートをエクスポートして、Automation アカウントと関連リソースを復元するためのバックアップとして使用できます。 Automation を使用して、Azure Resource Manager テンプレートのエクスポート API を定期的に呼び出します。
ソース管理の統合機能を使用して、ソース管理リポジトリ内のスクリプトで Automation アカウントの Runbook を最新の状態に維持することもできます。
organizationがこのセキュリティ機能を構成する必要があるかどうかを確認して判断してください。 Automation アカウントの ディザスター リカバリー の設定に関するガイダンスを活用することもできます。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
次の手順
- Microsoft クラウド セキュリティ ベンチマークの概要を参照してください
- Azure セキュリティ ベースラインの詳細について学習する