Azure Data Explorer 用の Azure セキュリティ ベースライン
このセキュリティ ベースラインは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Azure Data Explorerに適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと Azure Data Explorerに適用される関連ガイダンスによって定義されたセキュリティ制御によってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、[クラウド ポータルのMicrosoft Defender] ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークの制御と推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。
注意
Azure Data Explorerに適用されない機能は除外されています。 Azure Data Explorerが Microsoft クラウド セキュリティ ベンチマークに完全にマップされる方法については、完全な Azure Data Explorer セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Azure Data Explorerの影響の大きい動作をまとめたものです。これにより、セキュリティに関する考慮事項が高まる可能性があります。
| サービス動作属性 | 値 |
|---|---|
| 製品カテゴリ | 分析、データベース |
| お客様は HOST/OS にアクセスできます | アクセス権なし |
| サービスは顧客の仮想ネットワークにデプロイできます | ○ |
| 顧客のコンテンツを保存する | ○ |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
機能
Virtual Network 統合
説明: サービスは、顧客のプライベート Virtual Network (VNet) へのデプロイをサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: プライベート エンドポイントを使用してクラスターへのネットワーク アクセスをセキュリティで保護することを強くお勧めします。 このオプションには、"仮想ネットワーク インジェクション" よりも多くの利点があります。これにより、デプロイ プロセスが簡単になり、仮想ネットワークの変更に対する堅牢性が向上するなど、メンテナンスのオーバーヘッドが削減されます。
構成ガイダンス: Virtual Network (VNet) 内のサブネットに Azure Data Explorer クラスターをデプロイします。 これにより、NSG ルールを実装して Azure Data Explorer クラスター トラフィックを制限し、オンプレミス ネットワークを Azure Data Explorer クラスターのサブネットに接続できます。
リファレンス: Azure Data Explorer クラスターをVirtual Networkにデプロイする
ネットワーク セキュリティ グループのサポート
説明: サービス ネットワーク トラフィックは、サブネット上のネットワーク セキュリティ グループルールの割り当てを尊重します。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure Data Explorerがお客様の仮想ネットワークに挿入された場合に備えて、ネットワーク セキュリティ グループルールを構成することがサポートされており、必要です。 Azure Data Explorerを仮想ネットワークに挿入することはお勧めしません。 プライベート エンドポイント ベースのネットワーク セキュリティ実装である Azure Data Explorerのプライベート エンドポイントに従うことをお勧めします。
構成ガイダンス: Azure Data Explorerを仮想ネットワークに挿入する場合 (プライベート エンドポイントベースのソリューションを強くお勧めします)、クラスターのデプロイにサブネット委任を使用する必要があります。 そのためには、サブネット内にクラスターを作成する前に、サブネットを Microsoft.Kusto/clusters に委任する必要があります。
クラスターのサブネットでサブネットの委任を有効にすることにより、サービスがネットワーク インテント ポリシーの形式でデプロイの事前条件を定義できるようになります。 サブネットでクラスターを作成すると、次のセクションに記載されている NSG 構成が自動的に作成されます。
リファレンス: ネットワーク セキュリティ グループの規則を構成する
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
機能
Azure Private Link
説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG やAzure Firewallと混同しないように)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: プライベート エンドポイントを使用してクラスターへのネットワーク アクセスをセキュリティで保護することを強くお勧めします。 このオプションには、仮想ネットワーク統合に比して多くの利点があり、その結果、デプロイ プロセスが簡単になり、仮想ネットワークの変更に対する堅牢性が高まるなど、メンテナンスオーバーヘッドが削減されます。
リファレンス: Azure Data Explorerのプライベート エンドポイント
パブリック ネットワーク アクセスの無効化
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG またはAzure Firewallではなく) または [パブリック ネットワーク アクセスの無効化] トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: サービス レベルの IP ACL フィルタリング規則またはパブリック ネットワーク アクセス用の切り替えスイッチを使用して、パブリック ネットワーク アクセスを無効にします。
リファレンス: Azure Data Explorer クラスターへのパブリック アクセスを制限する
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元的な ID および認証システムを使用する
機能
データ プレーン アクセスに必要な Azure AD Authentication
説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: データ プレーンアクセスを制御するための既定の認証方法として Azure Active Directory (Azure AD) を使用します。
リファレンス: Azure Data Explorer アクセスのために Azure Active Directory (Azure AD) で認証する方法
データ プレーン アクセスのローカル認証方法
説明: ローカルユーザー名やパスワードなど、データ プレーンアクセスでサポートされるローカル認証方法。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-3: アプリケーション ID を安全かつ自動的に管理する
機能
マネージド ID
説明: データ プレーン アクションでは、マネージド ID を使用した認証がサポートされます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能に関するメモ: Azure Data Explorerでは、Azure Active Directory ID を使用してデータ プレーンで認証を行うことができます。 これは、システムとユーザーのマネージド ID がサポートされていることを意味します。 さらに、Azure Data Explorer では、インジェストとクエリの他のサービスで認証するためにマネージド ID の使用がサポートされています。 詳細については、 マネージド ID の概要に関するページを参照してください。
構成ガイダンス: 既定のデプロイでこれが有効になっているので、追加の構成は必要ありません。
リファレンス: Azure Active Directory 認証
サービス プリンシパル
説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能に関するメモ: Azure Data Explorer では、サービス プリンシパルを含むすべての Azure Active Directory ID の種類がサポートされています
構成ガイダンス: 既定のデプロイでこれが有効になっているので、追加の構成は必要ありません。
リファレンス: アプリケーションを使用した Azure Active Directory 認証
IM-7: 条件に基づいてリソースへのアクセスを制限する
機能
データ プレーンへの条件付きアクセス
説明: データ プレーンアクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: ワークロード内の Azure Active Directory (Azure AD) 条件付きアクセスに適用できる条件と条件を定義します。 特定の場所からのアクセスのブロックや許可、危険なサインイン動作のブロック、特定のアプリケーションに対するorganizationマネージド デバイスの要求など、一般的なユース ケースを検討してください。
リファレンス: Azure Data Explorer を使用した条件付きアクセス
IM-8: 資格情報とシークレットの公開を制限する
機能
Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vaultのネイティブな使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する
機能
ローカル 管理 アカウント
説明: サービスには、ローカル管理アカウントの概念があります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
PA-7: Just Enough Administration (最小限の特権の原則) に従う
機能
Azure RBAC for Data Plane
説明: Azure Role-Based Access Control (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
機能に関するメモ: Azure Data Explorerでは、ロールベースのアクセス制御モデルを使用して、データ プレーン (データベースとテーブル) へのアクセスを制御できます。 このモデルでは、プリンシパル (ユーザー、グループ、およびアプリ) がロールにマッピングされます。 プリンシパルは、割り当てられたロールに従ってリソースにアクセスできます。 ただし、Azure Data Explorer データ プレーンは、コントロール プレーンの Azure RBAC から切り離されています。
参照: Azure Data Explorer データベースのアクセス許可を管理する
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する
機能
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
データの保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-1:機密データを検出、分類、ラベル付けする
機能
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure Data Explorerは Microsoft Purview でサポートされています。
構成ガイダンス: Azure Data Explorerは Microsoft Purview でサポートされています。 Azure Purview を使用して、Azure Data Explorerに存在する機密データをスキャン、分類、ラベル付けできます。
DP-2: 機密データをターゲットにした異常と脅威を監視する
機能
データ漏えい/損失防止
説明: サービスでは、(顧客のコンテンツ内の) 機密データの移動を監視するための DLP ソリューションがサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: データ流出などのリスクを軽減するには、クラスターの送信アクセスを制限することが重要です。 悪意のあるアクターは、ストレージ アカウントへの外部テーブルを作成し、大量のデータを抽出する可能性があります。 コールアウト ポリシーを定義することで、クラスター レベルで送信アクセスを制御できます。 コールアウト ポリシーを管理すると、指定した SQL、ストレージ、またはその他のエンドポイントへの送信アクセスを許可できます。
リファレンス: Azure Data Explorer クラスターからの送信アクセスを制限する
DP-3: 転送中の機密データの暗号化
機能
転送中データの暗号化
説明: サービスでは、データ プレーンの転送中のデータ暗号化がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
DP-4: 保存データ暗号化を既定で有効にする
機能
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされており、保存中のすべての顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure Data Explorer でのデータ暗号化
DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する
機能
CMK を使用した保存データの暗号化
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって格納される顧客コンテンツでサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: 暗号化キーをさらに制御するために、データ暗号化に使用するカスタマー マネージド キーを指定できます。 独自のキーを使用して、ストレージ レベルでデータの暗号化を管理できます。 カスタマー マネージド キーは、すべてのデータの暗号化と暗号化解除に使用されるルート暗号化キーの保護とアクセス制御を行うために使用されます。 カスタマー マネージド キーを使用すると、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟に行うことができます。 また、データを保護するために使われる暗号化キーを監査することもできます。
リファレンス: カスタマー マネージド キーの構成を使用した暗号化
DP-7: セキュリティで保護された証明書管理プロセスを使用する
機能
Azure Key Vault での証明書管理
説明: このサービスでは、顧客証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
機能
Azure Policy のサポート
説明: サービス構成は、Azure Policyを使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するためのAzure Policyを構成します。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。 Azure Policy [deny] と [deploy if not exists] 効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
リファレンス: Azure Data Explorer の規制コンプライアンスコントロールのAzure Policy
ログと脅威検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
機能
サービス/製品のオファリングのための Microsoft Defender
説明: サービスには、セキュリティの問題を監視してアラートを生成するためのオファリング固有のMicrosoft Defender ソリューションがあります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
LT-4: セキュリティ調査のためのログを有効にする
特徴
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントや Log Analytics ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Data Explorerでは、インジェスト、コマンド、クエリ、テーブルに関する分析情報に診断ログを使用します。 操作ログを Azure Storage、イベント ハブ、または Log Analytics にエクスポートして、インジェスト、コマンド、およびクエリの状態を監視することができます。 Azure Storage と Azure Event Hubs からのログを Azure Data Explorer クラスター内のテーブルにルーティングして詳細な分析を行うことができます。
リファレンス: 診断ログを使用して Azure Data Explorerインジェスト、コマンド、クエリ、およびテーブルを監視する
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。
BR-1:定期的な自動バックアップを保証する
機能
Azure Backup
説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
サービス ネイティブ バックアップ機能
説明: サービスでは、独自のネイティブ バックアップ機能がサポートされます (Azure Backupを使用していない場合)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
次のステップ
- Microsoft クラウド セキュリティ ベンチマークの概要を参照してください
- Azure セキュリティ ベースラインの詳細について学習する