Important
このセキュリティ ベースラインは、以前のバージョンの Microsoft Cloud Security Benchmark (v1.0) に基づいており、古いガイダンスが含まれている可能性があります。 最新のセキュリティ ガイダンスについては、 Traffic Manager のドキュメントを参照してください。
このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Traffic Manager に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Traffic Manager に適用される関連ガイダンスによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために、有料の Microsoft Defender プランが必要になる場合があります。
注
Traffic Manager に適用できない機能は除外されています。 Traffic Manager を Microsoft クラウド セキュリティ ベンチマークに完全にマップする方法については、 Traffic Manager のセキュリティ ベースライン マッピング ファイル全体を参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Traffic Manager の影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 価値 |
|---|---|
| 製品カテゴリ | ネットワーク |
| お客様は HOST/OS にアクセスできます | アクセス許可なし |
| サービスは顧客の仮想ネットワークにデプロイできます | いいえ |
| 顧客のコンテンツを静止状態で保存する | いいえ |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワークセグメント化の境界を確立する
Features
仮想ネットワーク統合
説明: サービスは、顧客のプライベート仮想ネットワーク (VNet) へのデプロイをサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
NS-2: ネットワーク制御によるクラウド サービスのセキュリティ保護
Features
Azure Private Link
説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG または Azure Firewall と混同しないでください)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
資産管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みサービスのみを使用する
Features
Azure Policy のサポート
説明: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するように Azure Policy を構成します。 Azure Monitor を使用して、リソースで構成の偏差が検出されたときにアラートを作成します。 Azure Policy の [拒否] および [存在しない場合はデプロイ] の効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
リファレンス: Azure Policy
ログ記録と脅威の検出
詳細については、 Microsoft クラウド セキュリティ ベンチマーク「ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
Features
Microsoft Defender サービス/製品提供
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
LT-4: セキュリティ調査のためにログ記録を有効にする
Features
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Traffic Manager の Azure リソース ログを有効にします。 Azure Traffic Manager のリソース ログからは、Traffic Manager プロファイル リソースの動作に関する分析情報が提供されます。 たとえば、プロファイルのログ データを使用すると、個々のプローブがエンドポイントに対してタイムアウトした理由を判断できます。