注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
攻撃者が脆弱なサービスや設定を悪用するのを防ぐために、Azure リソースのセキュリティ構成を確立、実装、およびアクティブに管理 (追跡、レポート、修正) します。
7.1:すべての Azure リソースに対してセキュリティで保護された構成を確立する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.1 | 5.1 | カスタマー |
Azure Policy エイリアスを使用して、Azure リソースの構成を監査または適用するカスタム ポリシーを作成します。 組み込みの Azure Policy 定義を使用することもできます。
また、Azure Resource Manager には JavaScript Object Notation (JSON) でテンプレートをエクスポートする機能があります。これは、構成が組織のセキュリティ要件を満たす/超えているか確認する必要があります。
Azure リソースのセキュリティで保護された構成基準として、Azure Security Center からの推奨事項を使用することもできます。
7.2:セキュリティで保護されたオペレーティング システムの構成を確立する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.2 | 5.1 | カスタマー |
Azure Security Center の推奨事項を使用して、すべてのコンピューティング リソースのセキュリティ構成を維持します。 さらに、カスタム オペレーティング システム イメージまたは Azure Automation State 構成を使用して、組織に必要なオペレーティング システムのセキュリティ構成を確立できます。
7.3:セキュリティで保護された Azure リソースの構成を維持する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.3 | 5.2 | カスタマー |
Azure Policy [deny] と [deploy if not exist] を使用して、Azure リソース全体にセキュリティで保護された設定を適用します。 さらに、Azure Resource Manager テンプレートを使用して、組織に必要な Azure リソースのセキュリティ構成を維持することもできます。
7.4:セキュリティで保護されたオペレーティング システムの構成を維持する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.4 | 5.2 | シェアード |
Azure コンピューティング リソースで脆弱性評価を実行する方法については、Azure Security Center の推奨事項に従ってください。 さらに、Azure Resource Manager テンプレート、カスタム オペレーティング システム イメージ、または Azure Automation State 構成を使用して、組織で必要なオペレーティング システムのセキュリティ構成を維持できます。 Azure Automation Desired State Configuration と組み合わせた Microsoft 仮想マシン テンプレートは、セキュリティ要件の満たすのに役立ちます。
また、Microsoft によって公開された Azure Marketplace 仮想マシン イメージは、Microsoft によって管理および管理されることに注意してください。
7.5:Azure リソースの構成を安全に格納する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.5 | 5.3 | カスタマー |
Azure DevOps を使用して、カスタム Azure ポリシー、Azure Resource Manager テンプレート、Desired State Configuration スクリプトなどのコードを安全に格納および管理します。 Azure DevOps で管理するリソースにアクセスするには、Azure DevOps と統合されている場合は Azure Active Directory (Azure AD) で定義されている特定のユーザー、組み込みのセキュリティ グループ、または TFS と統合されている場合は Active Directory にアクセス許可を付与または拒否できます。
7.6: カスタム オペレーティング システム イメージを安全に格納する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.6 | 5.3 | カスタマー |
カスタム イメージを使用する場合は、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、承認されたユーザーのみがイメージにアクセスできることを確認します。 共有イメージ ギャラリーを使用すると、組織内のさまざまなユーザー、サービス プリンシパル、または AD グループにイメージを共有できます。 コンテナー イメージの場合は、それらを Azure Container Registry に格納し、Azure RBAC を利用して、承認されたユーザーのみがイメージにアクセスできるようにします。
7.7: Azure リソース用の構成管理ツールをデプロイする
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.7 | 5.4 | カスタマー |
Azure Policy を使用して、Azure リソースの標準的なセキュリティ構成を定義して実装します。 Azure Policy エイリアスを使用して、Azure リソースのネットワーク構成を監査または適用するカスタム ポリシーを作成します。 また、特定のリソースに関連する組み込みのポリシー定義を使用することもできます。 さらに、Azure Automation を使用して構成の変更をデプロイすることもできます。
7.8: オペレーティング システム用の構成管理ツールを展開する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.8 | 5.4 | カスタマー |
Azure Automation State Configuration は、任意のクラウドまたはオンプレミスのデータセンターの Desired State Configuration (DSC) ノードの構成管理サービスです。 マシンを簡単にオンボードし、宣言型構成を割り当てて、指定した目的の状態に対する各マシンのコンプライアンスを示すレポートを表示できます。
7.9: Azure リソースの自動構成監視を実装する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.9 | 5.5 | カスタマー |
Azure Security Center を使用して、Azure リソースのベースライン スキャンを実行します。 さらに、Azure Policy を使用して、Azure リソース構成のアラートと監査を行います。
7.10: オペレーティング システムの自動構成監視を実装する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.10 | 5.5 | カスタマー |
Azure Security Center を使用して、コンテナーの OS と Docker 設定のベースライン スキャンを実行します。
7.11: Azure シークレットを安全に管理する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.11 | 13.1 | カスタマー |
マネージド サービス ID を Azure Key Vault と組み合わせて使用して、クラウド アプリケーションのシークレット管理を簡素化し、セキュリティで保護します。
7.12: ID を安全かつ自動的に管理する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.12 | 4.1 | カスタマー |
マネージド ID を使用して、Azure AD で自動的にマネージド ID を Azure サービスに提供します。 マネージド ID を使用すると、コードに資格情報を含めずに、Key Vault を含む Azure AD 認証をサポートする任意のサービスに対して認証を行えます。
7.13: 意図しない資格情報の公開を排除する
| Azure ID | CIS IDの一覧 | 責任 |
|---|---|---|
| 7.13 | 18.1, 18.7 | カスタマー |
資格情報スキャナーを実装して、コード内の資格情報を識別します。 資格情報スキャナーでは、検出された資格情報を Azure Key Vault などのより安全な場所に移動することも推奨されます。
次のステップ
- 次のセキュリティ コントロールを参照してください: マルウェア防御