このセキュリティ ベースラインは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスをVirtual WANに適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと、Virtual WANに適用できる関連ガイダンスによって定義されたセキュリティ コントロールによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。
注意
Virtual WANに適用されない機能は除外されています。 microsoft クラウド セキュリティ ベンチマークに完全にマップVirtual WAN方法については、完全なVirtual WANセキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Virtual WANの影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が高まる可能性があります。
| サービス動作属性 | 値 |
|---|---|
| 製品カテゴリ | ネットワーク |
| お客様は HOST/OS にアクセスできます | アクセス権なし |
| サービスは顧客の仮想ネットワークにデプロイできます | False |
| 保存中の顧客コンテンツを格納します | False |
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-8: 資格情報とシークレットの公開を制限する
機能
Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vaultのネイティブな使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: シークレットと資格情報は、コードファイルや構成ファイルに埋め込むのではなく、Azure Key Vault などのセキュリティで保護された場所に格納されていることを確認します。
データの保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-3: 転送中の機密データの暗号化
機能
転送中データの暗号化
説明: サービスでは、データ プレーンの転送中のデータ暗号化がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 共有 |
構成ガイダンス: 転送中のネイティブ データ暗号化機能が組み込まれているサービスでセキュリティで保護された転送を有効にします。 Microsoft Azure Virtual WANでは、カスタム ルーティング機能が提供され、ExpressRoute トラフィックの暗号化が提供されます。 すべてのルート管理は仮想ハブ ルーターによって提供されます。これにより、仮想ネットワーク間のトランジット接続も可能になります。 ExressRoute トラフィックを Virtual WAN で暗号化すると、パブリック インターネットを経由したり、パブリック IP アドレスを使用したりすることなく、ExpressRoute を経由してオンプレミス ネットワークと Azure 仮想ネットワークの間で暗号化されたトランジットを提供できます。
参照: 転送中の暗号化
DP-6: セキュア キー管理プロセスの使用
機能
Azure Key Vault でのキー管理
説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 共有 |
構成ガイダンス: Azure Key Vaultを使用して、暗号化キーのライフ サイクルを作成および制御します。 Virtual WANのサイト間 VPN では、Azure Key Vaultで顧客によって検出、作成、管理される事前共有キー (PSK) が使用されます。 コード内で資格情報を特定する資格情報スキャナーを実装します。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
機能
Azure Policy のサポート
説明: サービス構成は、Azure Policyを使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 共有 |
構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するためのAzure Policyを構成します。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。 Azure Policy [deny] と [deploy if not exists] 効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
ログと脅威検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
機能
サービス/製品のオファリングのための Microsoft Defender
説明: サービスには、セキュリティの問題を監視してアラートを生成するためのオファリング固有のMicrosoft Defender ソリューションがあります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
LT-4: セキュリティ調査のためのログを有効にする
特徴
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントや Log Analytics ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Virtual Wan サービスと関連リソースのリソース ログを有効にします。 Virtual WANではさまざまなリソース ログを使用でき、Azure portalを使用してVirtual WAN リソース用に構成できます。 Log Analytics への送信、イベント ハブへのストリーム、またはストレージ アカウントへの単純なアーカイブから選ぶことができます。 リソース ログは、ExpressRoute と P2S/S2S の両方の VPN でサポートされています。
リファレンス: リソース ログ
次のステップ
- Microsoft クラウド セキュリティ ベンチマークの概要を参照してください
- Azure セキュリティ ベースラインの詳細について学習する