Container Instances の Azure セキュリティ ベースライン
このセキュリティ ベースラインは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスをContainer Instancesに適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure でクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークによって定義されたセキュリティ コントロールと、Container Instancesに適用できる関連ガイダンスによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、クラウドダッシュボードのMicrosoft Defenderの規制コンプライアンスセクションに表示されます。
機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するために、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。
注意
Container Instancesに適用されない機能は除外されています。 microsoft クラウド セキュリティ ベンチマークに完全にマップContainer Instances方法については、セキュリティ ベースライン マッピング ファイルContainer Instances完全に参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Container Instancesの影響が大きい動作をまとめたものです。その結果、セキュリティ上の考慮事項が増える可能性があります。
| サービス動作属性 | 値 |
|---|---|
| 製品カテゴリ | コンピューティング、コンテナー |
| お客様は HOST/OS にアクセスできます | アクセス権なし |
| サービスは顧客の仮想ネットワークにデプロイできます | はい |
| 保存時に顧客のコンテンツを保存する | False |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
特徴
Virtual Network 統合
説明: サービスは、顧客のプライベート Virtual Network (VNet) へのデプロイをサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: サービスを仮想ネットワークにデプロイします。 パブリック IP をリソースに直接割り当てる強い理由がない限り、(該当する場合は) プライベート IP をリソースに割り当てます。
リファレンス: コンテナー インスタンスをVirtual Networkにデプロイする
ネットワーク セキュリティ グループのサポート
説明: サービス ネットワーク トラフィックは、そのサブネットでのネットワーク セキュリティ グループルールの割り当てを尊重します。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: NSG ルールを使用してサブネットまたはその他のネットワーク リソースへのコンテナー アクセスを制御する
注: ネットワーク・コンテナー・グループ内のコンテナー・インスタンスの前にAzure Load Balancerを配置することはサポートされていません。
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
特徴
Azure Private Link
説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG またはAzure Firewallと混同しないでください)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
パブリック ネットワーク アクセスの無効化
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG やAzure Firewallではなく) を使用するか、[パブリック ネットワーク アクセスを無効にする] トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元的な ID および認証システムを使用する
特徴
データ プレーン アクセスに必要なAzure AD Authentication
説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
機能に関するメモ: ユーザーは、ARM 内のリソースに安全にアクセスするために、使用またはシステム割り当てマネージド ID を作成できます
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
データ プレーン アクセスのローカル認証方法
説明: ローカル ユーザー名やパスワードなど、データ プレーン アクセスでサポートされるローカル認証方法。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-3: アプリケーション ID を安全かつ自動的に管理する
特徴
マネージド ID
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure リソースのマネージド ID を使用して、コード内のシークレットや資格情報を保持することなく、他の Azure サービスと対話するAzure Container Instancesでコードを実行します。 この機能により、Azure Active Directory で自動管理される ID が Azure Container Instances のデプロイに提供されます。
リファレンス: Azure Container Instancesでマネージド ID を使用する方法
サービス プリンシパル
説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-7: 条件に基づいてリソースへのアクセスを制限する
特徴
データ プレーンの条件付きアクセス
説明: データ プレーン アクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: この機能構成に関する現在の Microsoft ガイダンスはありません。 組織でこのセキュリティ機能を構成するかどうかを確認し、確認してください。
IM-8: 資格情報とシークレットの公開を制限する
特徴
サービス資格情報とシークレットは、Azure Key Vaultでの統合とストレージをサポートします
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vaultのネイティブな使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-7: Just Enough Administration (最小限の特権の原則) に従う
特徴
Azure RBAC for Data Plane
説明: Azure Role-Based Access Control (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Container InstancesでAzure Container Registryなどのクラウドベースのプライベート レジストリを使用する場合は、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure コンテナー レジストリ内のデータとリソースへのアクセスを管理します。
リファレンス: Azure Container Instancesのセキュリティに関する推奨事項
PA-8: クラウド プロバイダーサポートのアクセス プロセスを決定する
特徴
カスタマー ロックボックス
説明: Microsoft サポート へのアクセスには、カスタマー ロックボックスを使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
データの保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-4: 保存データ暗号化を既定で有効にする
特徴
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされ、保存中の顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Microsoft |
構成ガイダンス: サービスによって自動的に構成されていないプラットフォームマネージド (Microsoft マネージド) キーを使用して、保存データの暗号化を有効にします。
リファレンス: Azure Container Instances - デプロイ データの暗号化
DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する
特徴
CMK を使用した保存データの暗号化
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって格納される顧客コンテンツでサポートされます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 これらのサービスに対してカスタマー マネージド キーを使用して、保存データの暗号化を有効にして実装します。
リファレンス: Azure Container Instances - デプロイ データの暗号化
DP-6: セキュア キー管理プロセスの使用
特徴
Azure Key Vault でのキー管理
説明: このサービスは、顧客キー、シークレット、または証明書に対する Azure Key Vault統合をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Key Vaultを使用して、コンテナー インスタンスのカスタマー マネージド キーベースの暗号化に使用される暗号化キーのライフサイクルを作成および制御します。
リファレンス: Key Vault リソースを作成する
DP-7: セキュリティで保護された証明書管理プロセスを使用する
特徴
Azure Key Vault での証明書管理
説明: このサービスは、顧客証明書に対して Azure Key Vault 統合をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
特徴
Azure Policy のサポート
説明: サービス構成は、Azure Policyを使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure Container Instancesでは、2 つの機能 (プライベート仮想ネットワークでの CMK とデプロイ) のポリシーの構成がサポートされます
構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するようにAzure Policyを構成します。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。 Azure Policy [deny] および [deploy if not exists] 効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
リファレンス: Azure Container Instancesの組み込み定義をAzure Policyする
ログと脅威検出
詳細については、 Microsoft クラウド セキュリティ ベンチマーク「ログ記録と脅威検出」を参照してください。
LT-4: セキュリティ調査のためにログ記録を有効にする
特徴
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Log Analytics ワークスペースは、Azure リソースだけでなく、他のクラウド内のオンプレミスのリソースやリソースからログ データを格納およびクエリするための一元的な場所を提供します。 Azure Container Instances には、ログとイベント データを Azure Monitor ログに送信するための組み込みサポートが含まれています。
リファレンス: Azure Monitor ログを使用したコンテナー グループとインスタンスのログ記録
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。
BR-1:定期的な自動バックアップを保証する
特徴
Azure Backup
説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
機能ノート: ステートレス アプリケーションには ACI をお勧めします。バックアップ サービスは提供していません。 お客様は、AZ サポートをサポートするリージョンを選択して、同じリージョンでのデプロイをバックアップできます。 リージョン間では、複数のリージョンに ACI にアプリをデプロイし、Traffic Manager を使用してトラフィックをルーティングしてディザスター リカバリーのユース ケースを処理することで、バックアップとディザスター リカバリー ソリューションを設計する必要があります。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
サービス ネイティブ バックアップ機能
説明: サービスは独自のネイティブ バックアップ機能をサポートします (Azure Backupを使用していない場合)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
次のステップ
- Microsoft クラウド セキュリティ ベンチマークの概要を確認する
- Azure セキュリティ ベースラインの詳細について学習する