Network Watcher 用の Azure セキュリティ ベースライン

  • [アーティクル]

このセキュリティ ベースラインは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスをNetwork Watcherに適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと、Network Watcherに適用できる関連ガイダンスによって定義されたセキュリティ制御によってグループ化されます。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、[クラウド ポータルのMicrosoft Defender] ページの [規制コンプライアンス] セクションに一覧表示されます。

機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークの制御と推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。

注意

Network Watcherに適用されない機能は除外されています。 Network Watcherが Microsoft クラウド セキュリティ ベンチマークに完全にマップされる方法については、完全なNetwork Watcherセキュリティ ベースライン マッピング ファイルを参照してください。

セキュリティ プロファイル

セキュリティ プロファイルは、Network Watcherの影響の大きい動作をまとめたものです。これにより、セキュリティに関する考慮事項が高まる可能性があります。

サービス動作属性
製品カテゴリ ネットワーク
お客様は HOST/OS にアクセスできます アクセス権なし
サービスは顧客の仮想ネットワークにデプロイできます False
顧客のコンテンツを保存する False

ID 管理

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。

IM-1: 一元的な ID および認証システムを使用する

機能

データ プレーン アクセスに必要な Azure AD Authentication

説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: Network Watcher データにアクセスするには、既定の認証方法として Azure Active Directory (Azure AD) を使用します。 Network Watcherには、きめ細かいアクセス許可制御を可能にする Azure RBAC ロールがいくつか組み込まれています。

リファレンス: Network Watcher機能を使用するために必要な Azure ロールベースのアクセス制御アクセス許可

IM-7: 条件に基づいてリソースへのアクセスを制限する

機能

データ プレーンへの条件付きアクセス

説明: データ プレーンアクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

特権アクセス

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。

PA-7: Just Enough Administration (最小限の特権の原則) に従う

機能

Azure RBAC for Data Plane

説明: Azure Role-Based Access Control (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: Network Watcherには、ユーザーがNetwork Watcherにアクセスするためのロールベースのアクセス許可をきめ細かく制御できる、複数の組み込みの Azure RBAC ロールがあります。

リファレンス: Network Watcher機能を使用するために必要な Azure ロールベースのアクセス制御アクセス許可

データの保護

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。

DP-3: 転送中の機密データの暗号化

機能

転送中データの暗号化

説明: サービスでは、データ プレーンの転送中のデータ暗号化がサポートされています。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True True Microsoft

構成ガイダンス: 既定のデプロイでこれが有効になっているので、追加の構成は必要ありません。

参照: 転送中のデータ

DP-4: 保存データ暗号化を既定で有効にする

機能

プラットフォーム キーを使用した保存データの暗号化

説明: プラットフォーム キーを使用した保存データの暗号化がサポートされています。保存中の顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

機能に関するメモ: Azure Network Watcher では、お客様の選択に応じ Log Analytics ワークスペースにデータを格納する接続モニター サービスを除き、顧客データは保存されません。

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

アセット管理

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。

AM-2: 承認済みのサービスのみを使用する

機能

Azure Policy のサポート

説明: サービス構成は、Azure Policyを使用して監視および適用できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するためのAzure Policyを構成します。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。 Azure Policy [deny] と [deploy if not exists] 効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。

リファレンス: Azure Virtual Networkの組み込み定義をAzure Policyする

ログと脅威検出

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。

LT-1: 脅威検出機能を有効にする

機能

サービス/製品のオファリングのための Microsoft Defender

説明: サービスには、セキュリティの問題を監視してアラートを生成するためのオファリング固有のMicrosoft Defender ソリューションがあります。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

LT-4: セキュリティ調査のためのログを有効にする

機能

Azure リソース ログ

説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントや Log Analytics ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

次のステップ