ポスチャと脆弱性管理では、脆弱性スキャン、侵入テストと修復、クラウド リソースのセキュリティ構成の追跡、レポート、修正など、クラウド のセキュリティ体制を評価および改善するための制御に重点を置いています。
PV-1: セキュリティで保護された構成を定義して確立する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2、CM-6 | 1.1 |
セキュリティ原則: クラウド内のさまざまなリソースの種類のセキュリティ構成基準を定義します。 または、構成管理ツールを使用して、リソースのデプロイの前またはデプロイ中に構成基準を自動的に確立し、デプロイ後に環境を既定で準拠させることができます。
Azure ガイダンス: Microsoft クラウド セキュリティ ベンチマークとサービス ベースラインを使用して、それぞれの Azure オファリングまたはサービスの構成基準を定義します。 Azure リソース全体で必要になる可能性がある重要なセキュリティ制御と構成については、Azure リファレンス アーキテクチャとクラウド導入フレームワークランディング ゾーン アーキテクチャを参照してください。
Azure ランディング ゾーン (およびブループリント) を使用して、Azure Resource Manager テンプレート、Azure RBAC コントロール、Azure Policy などのサービスとアプリケーション環境の構成を設定することで、ワークロードのデプロイを高速化します。
Azure の実装と追加のコンテキスト:
- エンタープライズ規模のランディングゾーンにおけるガードレールの実装の図
- Microsoft Defender for Cloud でのセキュリティ ポリシーの操作
- チュートリアル: ポリシーを作成して管理し、コンプライアンスを適用する
- Azure ブループリント
AWS ガイダンス: MICROSOFT Cloud Security Benchmark - AWS とその他の入力のマルチクラウド ガイダンスを使用して、それぞれの AWS オファリングまたはサービスの構成ベースラインを定義します。 AWS リソース全体で必要になる可能性がある重要なセキュリティコントロールと構成については、AWS Well-Architectured Framework のセキュリティの柱とその他の柱を参照してください。
AWS ランディングゾーン定義で AWS CloudFormation テンプレートと AWS Config ルールを使用して、サービスとアプリケーション環境のデプロイと構成を自動化します。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: GCP とその他の入力に関するマルチクラウド ガイダンスである Microsoft Cloud Security Benchmark を使用して、それぞれの GCP オファリングまたはサービスの構成基準を定義します。 Google Cloud デプロイの基礎ブループリントとランディング ゾーン設計の柱を参照してください。
Google Cloud 用の Terraform ブループリント モジュールを使用し、ネイティブの Google Cloud Deployment Manager を使用して、サービスとアプリケーション環境のデプロイと構成を自動化します。
GCP の実装と追加のコンテキスト:
- Google Cloud でのランディング ゾーンの設計。 Google Cloud 用の Terraform ブループリントとモジュール。 https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
- セキュリティ基盤のブループリント
- Google Cloud デプロイメント マネージャー
顧客のセキュリティ利害関係者 (詳細情報):
PV-2: セキュリティで保護された構成を監査して適用する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2、CM-6 | 2.2 |
セキュリティ原則: 定義された構成基準から逸脱した場合に継続的に監視し、アラートを生成します。 準拠していない構成を拒否するか、構成をデプロイして、ベースライン構成に従って目的の構成を適用します。
Azure ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するように Azure Policy を構成します。 Azure Monitor を使用して、リソースで構成の偏差が検出されたときにアラートを作成します。
Azure Policy [deny] ルールと [deploy if not exist] ルールを使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
Azure Policy でサポートされていないリソース構成の監査と適用の場合は、カスタム スクリプトを記述するか、サード パーティ製ツールを使用して構成の監査と適用を実装することが必要になる場合があります。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Config ルールを使用して、AWS リソースの構成を監査します。 また、AWS Config ルールに関連付けられている AWS Systems Manager Automation を使用して、構成の誤差を解決することもできます。 リソースで構成の偏差が検出されたときに、Amazon CloudWatch を使用してアラートを作成します。
AWS Config でサポートされていないリソース構成の監査と適用の場合は、カスタム スクリプトを記述するか、サードパーティのツールを使用して構成の監査と適用を実装することが必要になる場合があります。
また、AWS アカウントを Microsoft Defender for Cloud にオンボードすることで、構成の誤差を一元的に監視することもできます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Security Command Center を使用して GCP を構成します。 Operations Suite の Google Cloud Monitoring を使用して、リソースで構成の偏差が検出されたときにアラートを作成します。
組織を管理するには、組織ポリシーを使用して、組織のクラウド リソースを一元化し、プログラムによって制御します。 組織のポリシー管理者は、リソース階層全体で制約を構成できます。
組織ポリシーでサポートされていないリソース構成の監査と適用の場合は、カスタム スクリプトを記述するか、サード パーティ製ツールを使用して構成の監査と適用を実装することが必要になる場合があります。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PV-3: コンピューティング リソースのセキュリティで保護された構成を定義して確立する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
セキュリティ原則: VM やコンテナーなどのコンピューティング リソースのセキュリティで保護された構成基準を定義します。 デプロイ後に環境を既定で準拠できるように、構成管理ツールを使用して、コンピューティング リソースのデプロイ前またはデプロイ中に構成基準を自動的に確立します。 または、事前構成済みのイメージを使用して、コンピューティング リソース イメージ テンプレートに目的の構成基準を構築します。
Azure ガイダンス: コンピューティング リソースの構成基準を定義するためのベンチマークとして、(Windows と Linux の両方の) Azure 推奨オペレーティング システムのセキュリティ ベースラインを使用します。
さらに、カスタム VM イメージ (Azure Image Builder を使用) またはコンテナー イメージと Azure Automanage Machine Configuration (旧称 Azure Policy ゲスト構成) と Azure Automation State Configuration を使用して、目的のセキュリティ構成を確立できます。
Azure の実装と追加のコンテキスト:
- Linux OS のセキュリティ構成基準
- Windows OS のセキュリティ構成基準
- コンピューティング リソースのセキュリティ構成に関する推奨事項
- Azure Automation State Configuration の概要
AWS ガイダンス: EC2 構成ベースラインを定義するためのベンチマークとして、マーケットプレース上の信頼できるソースからの EC2 AWS Machine Images (AMI) を使用します。
さらに、EC2 Image Builder を使用して、Systems Manager エージェントを使用してカスタム AMI テンプレートを構築し、目的のセキュリティ構成を確立できます。 注: AWS Systems Manager エージェントは、AWS によって提供される一部の Amazon Machine Images (API) にプレインストールされています。
EC2 インスタンス、AWS Lambda、またはコンテナー環境内で実行されているワークロード アプリケーションの場合は、AWS System Manager AppConfig を使用して目的の構成基準を確立できます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: コンピューティング リソースの構成基準を定義するためのベンチマークとして、Google Cloud で推奨されるオペレーティング システムのセキュリティ ベースライン (Windows と Linux の両方) を使用します。
さらに、Packer Image Builder を使用してカスタム VM イメージを使用することも、Google Cloud Build コンテナー イメージを使用してコンテナー イメージを使用して、目的の構成基準を確立することもできます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PV-4: コンピューティング リソースのセキュリティで保護された構成を監査して適用する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
セキュリティ原則: コンピューティング リソースで定義された構成基準から逸脱した場合に、継続的に監視し、アラートを生成します。 準拠していない構成を拒否するか、コンピューティング リソースに構成をデプロイして、ベースライン構成に従って目的の構成を適用します。
Azure ガイダンス: Microsoft Defender for Cloud と Azure Automanage Machine Configuration (旧称 Azure Policy Guest Configuration) を使用して、VM、コンテナーなどの Azure コンピューティング リソースの構成偏差を定期的に評価して修復します。 さらに、Azure Resource Manager テンプレート、カスタム オペレーティング システム イメージ、または Azure Automation State Configuration を使用して、オペレーティング システムのセキュリティ構成を維持できます。 Azure Automation State Configuration と組み合わせた Microsoft VM テンプレートは、セキュリティ要件の満たす、および維持するために役立ちます。 Azure Automation の Change Tracking とインベントリを使用して、Azure、オンプレミス、およびその他のクラウド環境でホストされている仮想マシンの変更を追跡し、ディストリビューション パッケージ マネージャーによって管理されるソフトウェアの運用上および環境上の問題を特定するのに役立ちます。 ゲスト構成証明エージェントを仮想マシンにインストールして、機密仮想マシンでのブート整合性を監視します。
注: Microsoft によって発行された Azure Marketplace VM イメージは、Microsoft によって管理および管理されます。
Azure の実装と追加のコンテキスト:
- Microsoft Defender for Cloud の脆弱性評価の推奨事項を実装する方法
- ARM テンプレートから Azure 仮想マシンを作成する方法
- Azure Automation State Configuration の概要
- Azure portal で Windows 仮想マシンを作成する
- Microsoft Defender for Cloud のコンテナー のセキュリティ
- 変更履歴とインベントリの概要
- 機密 VM のゲスト証明
AWS ガイダンス: AWS System Manager の State Manager 機能を使用して、EC2 インスタンスの構成偏差を定期的に評価して修復します。 さらに、CloudFormation テンプレート、カスタム オペレーティング システム イメージを使用して、オペレーティング システムのセキュリティ構成を維持できます。 SYSTEMS Manager と組み合わせた AMI テンプレートは、セキュリティ要件の満たす、および維持するために役立ちます。
また、次の方法を使用して、Azure Automation State Configuration を通じてオペレーティング システム構成のドリフトを一元的に監視および管理し、該当するリソースを Azure セキュリティ ガバナンスにオンボードすることもできます。
- AWS アカウントを Microsoft Defender for Cloud にオンボードする
- サーバーに Azure Arc を使用して EC2 インスタンスを Microsoft Defender for Cloud に接続する
EC2 インスタンス、AWS Lambda、またはコンテナー環境内で実行されているワークロード アプリケーションの場合は、AWS System Manager AppConfig を使用して、目的の構成基準を監査して適用できます。
注: AWS Marketplace のアマゾン ウェブ サービスによって公開された API は、アマゾン ウェブ サービスによって管理および管理されます。
AWS の実装と追加のコンテキスト:
- AWS System Manager ステートマネージャー
- AWS アカウントを Microsoft Defender for Cloud に接続する
- Azure Automation State Configuration を有効にする
GCP ガイダンス: VM マネージャーと Google Cloud Security Command Center を使用して、コンピューティング エンジン インスタンス、コンテナー、およびサーバーレス コントラクトの構成偏差を定期的に評価して修復します。 さらに、Deployment Manager VM テンプレート、カスタム オペレーティング システム イメージを使用して、オペレーティング システムのセキュリティ構成を維持できます。 Deployment Manager VM テンプレートと VM Manager を組み合わせて使用すると、セキュリティ要件を満たして維持することができます。
また、次の方法を使用して、Azure Automation State Configuration を通じてオペレーティング システム構成のドリフトを一元的に監視および管理し、該当するリソースを Azure セキュリティ ガバナンスにオンボードすることもできます。
- GCP プロジェクトを Microsoft Defender for Cloud にオンボードする
- Azure Arc for Servers を使用して GCP VM インスタンスを Microsoft Defender for Cloud に接続する
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PV-5: 脆弱性評価を実行する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3、RA-5 | 6.1, 6.2, 6.6 |
セキュリティ原則: クラウド リソースの脆弱性評価を、固定スケジュールまたはオンデマンドですべてのレベルで実行します。 スキャン結果を追跡して比較し、脆弱性が修復されたことを確認します。 評価には、Azure サービスの脆弱性、ネットワーク、Web、オペレーティング システム、構成の誤りなど、あらゆる種類の脆弱性が含まれている必要があります。
脆弱性スキャナーによって使用される特権アクセスに関連する潜在的なリスクに注意してください。 スキャンに使用される管理アカウントをセキュリティで保護するには、特権アクセス セキュリティのベスト プラクティスに従ってください。
Azure ガイダンス: Azure 仮想マシン、コンテナー イメージ、および SQL サーバーで脆弱性評価を実行するための Microsoft Defender for Cloud の推奨事項に従います。 Microsoft Defender for Cloud には、仮想マシン用の脆弱性スキャナーが組み込まれています。 ネットワーク デバイスとアプリケーション (Web アプリケーションなど) で脆弱性評価を実行するには、サード パーティのソリューションを使用します
一貫した間隔でスキャン結果をエクスポートし、その結果を以前のスキャンと比較して、脆弱性が修復されたことを確認します。 Microsoft Defender for Cloud によって提案された脆弱性管理の推奨事項を使用する場合は、選択したスキャン ソリューションのポータルにピボットして、スキャンデータの履歴を表示できます。
リモート スキャンを実行する場合は、永続的な管理アカウントを 1 つ使用しないでください。 スキャン アカウントの JIT (Just-In-Time) プロビジョニング手法の実装を検討します。 スキャン アカウントの資格情報は、保護、監視、および脆弱性スキャンにのみ使用する必要があります。
注: Microsoft Defender サービス (Defender for Servers、コンテナー、App Service、データベース、DNS を含む) には、特定の脆弱性評価機能が組み込まれています。 Azure Defender サービスから生成されたアラートは、Microsoft Defender for Cloud 脆弱性スキャン ツールの結果と共に監視および確認する必要があります。
注: Microsoft Defender for Cloud で電子メール通知を設定してください。
Azure の実装と追加のコンテキスト:
- Microsoft Defender for Cloud の脆弱性評価の推奨事項を実装する方法
- 仮想マシン用の統合された脆弱性スキャナー
- SQL の脆弱性評価
- Microsoft Defender for Cloud の脆弱性スキャン結果のエクスポート
AWS ガイダンス: Amazon Inspector を使用して、Amazon Elastic Container Registry (Amazon ECR) に存在する Amazon EC2 インスタンスとコンテナー イメージをスキャンして、ソフトウェアの脆弱性と意図しないネットワーク露出を検出します。 ネットワーク デバイスとアプリケーション (Web アプリケーションなど) で脆弱性評価を実行するには、サード パーティのソリューションを使用します
コントロール ES-1 の「エンドポイントの検出と応答 (EDR) を使用する」を参照して、AWS アカウントを Microsoft Defender for Cloud にオンボードし、EC2 インスタンスに Microsoft Defender for Endpoint が統合された Microsoft Defender for Servers をデプロイします。 Microsoft Defender for servers は、VM にネイティブの脅威と脆弱性管理機能を提供します。 脆弱性スキャンの結果は、Microsoft Defender for Cloud ダッシュボードに統合されます。
脆弱性の結果の状態を追跡して、誤検知と見なされた場合に適切に修復または抑制されるようにします。
リモート スキャンを実行する場合は、永続的な管理アカウントを 1 つ使用しないでください。 スキャン アカウントの一時的なプロビジョニング手法を実装することを検討してください。 スキャン アカウントの資格情報は、保護、監視、および脆弱性スキャンにのみ使用する必要があります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Microsoft Defender for Cloud または Google Cloud Security Command Center からの推奨事項に従って、コンピューティング エンジン インスタンスに対して脆弱性評価を実行します。 Security Command Center には、ネットワーク デバイスとアプリケーションに脆弱性評価が組み込まれています (Web セキュリティ スキャナーなど)
一貫した間隔でスキャン結果をエクスポートし、その結果を以前のスキャンと比較して、脆弱性が修復されたことを確認します。 Security Command Center で推奨される脆弱性管理の推奨事項を使用する場合は、選択したスキャン ソリューションのポータルにピボットして、スキャン履歴データを表示できます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PV-6: 脆弱性を迅速かつ自動的に修復する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3、RA-5、SI-2: 欠陥の修復 | 6.1, 6.2, 6.5, 11.2 |
セキュリティ原則: パッチと更新プログラムを迅速かつ自動的にデプロイして、クラウド リソースの脆弱性を修復します。 適切なリスクベースのアプローチを使用して、脆弱性の修復に優先順位を付けます。 たとえば、より高い価値資産のより深刻な脆弱性は、より高い優先順位として対処する必要があります。
Azure ガイダンス: Azure Automation Update Management またはサードパーティ ソリューションを使用して、最新のセキュリティ更新プログラムが Windows および Linux VM にインストールされていることを確認します。 Windows VM の場合は、Windows Update が有効になっており、自動的に更新されるように設定されていることを確認します。
サード パーティ製ソフトウェアの場合は、サード パーティのパッチ管理ソリューションまたは Microsoft System Center Updates Publisher for Configuration Manager を使用します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Systems Manager - Patch Manager を使用して、最新のセキュリティ更新プログラムがオペレーティング システムとアプリケーションにインストールされていることを確認します。 Patch Manager では、パッチ ベースラインがサポートされており、システムの承認済みパッチと拒否されたパッチの一覧を定義できます。
また、Azure Automation Update Management を使用して、AWS EC2 Windows および Linux インスタンスのパッチと更新プログラムを一元的に管理することもできます。
サード パーティ製ソフトウェアの場合は、サード パーティのパッチ管理ソリューションまたは Microsoft System Center Updates Publisher for Configuration Manager を使用します。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud VM Manager OS パッチ管理またはサードパーティソリューションを使用して、最新のセキュリティ更新プログラムが Windows および Linux VM にインストールされていることを確認します。 Windows VM では、Windows Update が有効になっており、自動的に更新されるように設定されていることを確認します。
サード パーティ製ソフトウェアの場合は、サード パーティのパッチ管理ソリューションまたは Microsoft System Center Updates Publisher を使用して構成管理を行います。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PV-7: 定期的なレッド チーム操作を実施する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8、RA-5 | 6.6, 11.2, 11.3 |
セキュリティ原則: 実際の攻撃をシミュレートして、組織の脆弱性をより完全に把握できるようにします。 レッド チームの運用と侵入テストは、従来の脆弱性スキャン アプローチを補完してリスクを発見します。
業界のベスト プラクティスに従って、この種のテストを設計、準備、実施し、環境に損害や中断が生じないようにします。 これには、テストの範囲と制約について、関連する利害関係者やリソース所有者と話し合うことを常に含める必要があります。
Azure ガイダンス: 必要に応じて、Azure リソースに対して侵入テストまたは赤いチーム アクティビティを実施し、すべての重要なセキュリティ結果を確実に修復します。
Microsoft クラウド侵入テストの契約規則に従って、侵入テストが Microsoft ポリシーに違反しないようにします。 Microsoft が管理するクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming とライブ サイト侵入テストの Microsoft の戦略と実行を使用します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: 必要に応じて、AWS リソースに対して侵入テストまたは赤いチームアクティビティを実施し、すべての重要なセキュリティ結果の修復を確認します。
侵入テストの AWS カスタマー サポート ポリシーに従って、侵入テストが AWS ポリシーに違反しないようにします。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: 必要に応じて、GCP リソースに対して侵入テストまたは赤いチーム アクティビティを実施し、すべての重要なセキュリティ結果を確実に修復します。
侵入テストの GCP カスタマー サポート ポリシーに従って、侵入テストが GCP ポリシーに違反しないようにします。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):