次の方法で共有


セキュリティ制御: ネットワーク セキュリティ

最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。

ネットワーク セキュリティに関する推奨事項では、Azure サービスへのアクセスを許可または拒否するネットワーク プロトコル、TCP/UDP ポート、およびネットワーク接続されたサービスを指定することに重点を置いています。

1.1:仮想ネットワーク内の Azure リソースを保護する

Azure ID CISのID 責任
1.1 9.2, 9.4, 14.1, 14.2, 14.3 カスタマー

すべての仮想ネットワーク サブネットデプロイに、アプリケーションの信頼されたポートとソースに固有のネットワーク アクセス制御を使用してネットワーク セキュリティ グループが適用されていることを確認します。 使用可能な場合は、Private Link でプライベート エンドポイントを使用して、VNet ID をサービスに拡張することで、Azure サービス リソースを仮想ネットワークにセキュリティで保護します。 プライベート エンドポイントとプライベート リンクが使用できない場合は、サービス エンドポイントを使用します。 サービス固有の要件については、その特定のサービスのセキュリティに関する推奨事項を参照してください。

または、特定のユース ケースがある場合は、Azure Firewall を実装することで要件を満たすことができます。

1.2:仮想ネットワーク、サブネット、NIC の構成とトラフィックを監視してログに記録する

Azure ID CISのID 責任
1.2 9.3, 12.2, 12.8 カスタマー

Azure Security Center を使用し、ネットワーク保護に関する推奨事項に従って、Azure のネットワーク リソースをセキュリティで保護します。 NSG フロー ログを有効にし、トラフィック監査のためにストレージ アカウントにログを送信します。 また、NSG フロー ログを Log Analytics ワークスペースに送信し、Traffic Analytics を使用して、Azure クラウド内のトラフィック フローに関する分析情報を提供することもできます。 Traffic Analytics のいくつかの利点は、ネットワーク アクティビティを視覚化し、ホット スポットを特定し、セキュリティ上の脅威を特定し、トラフィック フロー パターンを理解し、ネットワークの構成ミスを特定できることです。

1.3:重要な Web アプリケーションを保護する

Azure ID CISのID 責任
1.3 9.5 カスタマー

受信トラフィックの追加検査のために、重要な Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 WAF の診断設定を有効にし、ストレージ アカウント、イベント ハブ、または Log Analytics ワークスペースにログを取り込みます。

1.4:既知の悪意のある IP アドレスとの通信を拒否する

Azure ID CISのID 責任
1.4 12.3 カスタマー

Azure Virtual Networks で DDoS Standard 保護を有効にして、DDoS 攻撃から保護します。 Azure Security Center 統合脅威インテリジェンスを使用して、既知の悪意のある IP アドレスとの通信を拒否します。

脅威インテリジェンスを有効にし、悪意のあるネットワーク トラフィックに対して "アラートと拒否" に構成して、組織の各ネットワーク境界に Azure Firewall をデプロイします。

Azure Security Center Just In Time Network アクセスを使用して、エンドポイントの公開を承認された IP アドレスに制限するように NSG を一定期間構成します。

Azure Security Center Adaptive Network Hardening を使用して、実際のトラフィックと脅威インテリジェンスに基づいてポートとソース IP を制限する NSG 構成を推奨します。

1.5:ネットワーク パケットを記録する

Azure ID CISのID 責任
1.5 12.5 カスタマー

Network Watcher パケット キャプチャを有効にして、異常なアクティビティを調査します。

1.6: ネットワークベースの侵入検出/侵入防止システム (IDS/IPS) を展開する

Azure ID CISのID 責任
1.6 12.6, 12.7 カスタマー

ペイロード検査機能を備えた IDS/IPS 機能をサポートするオファーを Azure Marketplace から選択します。 ペイロード検査に基づく侵入検出や防止が必要でない場合は、脅威インテリジェンスを備えた Azure Firewall を使用できます。 Azure Firewall 脅威インテリジェンス ベースのフィルター処理では、既知の悪意のある IP アドレスとドメインとの間のトラフィックを警告および拒否できます。 この IP アドレスとドメインのソースは、Microsoft の脅威インテリジェンス フィードです。

悪意のあるトラフィックを検出または拒否するために、組織の各ネットワーク境界に、選択したファイアウォール ソリューションをデプロイします。

1.7: Web アプリケーションへのトラフィックを管理する

Azure ID CISのID 責任
1.7 12.9, 12.10 カスタマー

信頼された証明書に対して HTTPS/TLS が有効になっている Web アプリケーション用の Azure Application Gateway をデプロイします。

1.8: ネットワーク セキュリティ規則の複雑さと管理オーバーヘッドを最小限に抑える

Azure ID CISのID 責任
1.8 1.5 カスタマー

仮想ネットワーク サービス タグを使用して、ネットワーク セキュリティ グループまたは Azure Firewall でネットワーク アクセス制御を定義します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 ルールの適切な送信元または宛先フィールドにサービス タグ名 (ApiManagement など) を指定することで、対応するサービスのトラフィックを許可または拒否できます。 Microsoft は、サービス タグに含まれるアドレス プレフィックスを管理し、アドレスの変更に合じてサービス タグを自動的に更新します。

また、アプリケーション セキュリティ グループを使用して、複雑なセキュリティ構成を簡略化することもできます。 アプリケーション セキュリティ グループを使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、バーチャルマシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。

1.9: ネットワーク デバイスの標準的なセキュリティ構成を維持する

Azure ID CISのID 責任
1.9 11.1 カスタマー

Azure Policy を使用して、ネットワーク リソースの標準的なセキュリティ構成を定義して実装します。

また、Azure Blueprints を使用して、Azure Resources Manager テンプレート、Azure RBAC コントロール、ポリシーなどの主要な環境成果物を 1 つのブループリント定義にパッケージ化することで、大規模な Azure デプロイを簡略化することもできます。 ブループリントを新しいサブスクリプションに適用し、バージョン管理によって制御と管理を微調整できます。

1.10: トラフィック構成規則を文書化する

Azure ID CISのID 責任
1.10 11.2 カスタマー

ネットワーク セキュリティとトラフィック フローに関連する NSG やその他のリソースにタグを使用します。 個々の NSG ルールの場合は、[説明] フィールドを使用して、ネットワークとの間のトラフィックを許可するルールのビジネス ニーズや期間 (など) を指定します。

タグ付けに関連する組み込みの Azure Policy 定義 ("タグとその値を要求する" など) を使用して、すべてのリソースがタグ付きで作成されていることを確認し、タグ付けされていない既存のリソースについて通知します。

Azure PowerShell または Azure CLI を使用して、タグに基づいてリソースを検索したり、アクションを実行したりできます。

1.11: 自動ツールを使用してネットワーク リソース構成を監視し、変更を検出する

Azure ID CISのID 責任
1.11 11.3 カスタマー

Azure アクティビティ ログを使用してリソース構成を監視し、Azure リソースへの変更を検出します。 重要なリソースへの変更が発生したときにトリガーされるアラートを Azure Monitor 内に作成します。

次のステップ