注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
ネットワーク セキュリティの対象は、Azure ネットワークのセキュリティと保護のためのコントロールです。 これには、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部攻撃の防止と軽減、DNS のセキュリティ保護が含まれます。
該当する組み込みの Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブ: ネットワーク セキュリティ」の詳細を参照してください。
NS-1: 内部トラフィックのセキュリティを実装する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-1の | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4、CA-3、SC-7 |
すべての Azure 仮想ネットワークが、ビジネス リスクに合わせたエンタープライズ セグメント化原則に従っていることを確認します。 組織のリスクが高くなる可能性があるシステムは、独自の仮想ネットワーク内に分離し、ネットワーク セキュリティ グループ (NSG) または Azure Firewall のいずれかで十分にセキュリティ保護する必要があります。
アプリケーションとエンタープライズ セグメント化戦略に基づいて、ネットワーク セキュリティ グループの規則に基づいて内部リソース間のトラフィックを制限または許可します。 特定の明確に定義されたアプリケーション (3 層アプリなど) の場合、これは高度にセキュリティで保護された "既定では拒否、例外による許可" アプローチになります。 多くのアプリケーションとエンドポイントが相互にやり取りしている場合、これは適切にスケーリングされない可能性があります。 また、多数のエンタープライズ セグメントまたはスポーク (ハブ/スポーク トポロジ内) で中央管理が必要な状況でも、Azure Firewall を使用できます。
Azure Security Center Adaptive Network Hardening を使用して、外部ネットワーク トラフィック ルールに基づいてポートとソース IP を制限するネットワーク セキュリティ グループ構成を推奨します。
Azure Sentinel を使用して、SSL/TLSv1、SMBv1、LM/NTLMv1、wDigest、Unsigned LDAP Binds、Kerberos の脆弱な暗号など、従来の安全でないプロトコルの使用を検出します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
NS-2: プライベート ネットワークを接続する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-2 | なし | CA-3、AC-17、MA-4 |
Azure ExpressRoute または Azure 仮想プライベート ネットワーク (VPN) を使用して、コロケーション環境で Azure データセンターとオンプレミス インフラストラクチャの間にプライベート接続を作成します。 ExpressRoute 接続はパブリック インターネット経由ではなく、一般的なインターネット接続よりも信頼性が高く、速度が速く、待機時間が短くなります。 ポイント対サイト VPN とサイト間 VPN の場合、これらの VPN オプションと Azure ExpressRoute の任意の組み合わせを使用して、オンプレミスのデバイスまたはネットワークを仮想ネットワークに接続できます。
Azure 内の 2 つ以上の仮想ネットワークを一緒に接続するには、仮想ネットワーク ピアリングまたは Private Link を使用します。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure バックボーン ネットワーク上に保持されます。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-3 | 14.1 | AC-4、CA-3、SC-7 |
Azure Private Link を使用して、インターネットを通過することなく、仮想ネットワークから Azure サービスへのプライベート アクセスを有効にします。 Azure Private Link がまだ使用できない場合は、Azure Virtual Network サービス エンドポイントを使用します。 Azure Virtual Network サービス エンドポイントは、Azure バックボーン ネットワーク経由の最適化されたルートを介して、サービスへの安全なアクセスを提供します。
プライベート アクセスは、Azure サービスによって提供される認証とトラフィック セキュリティに加えて、追加の多層防御手段です。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
NS-4: 外部ネットワーク攻撃からアプリケーションとサービスを保護する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | SC-5、SC-7 |
分散型サービス拒否 (DDoS) 攻撃、アプリケーション固有の攻撃、迷惑で悪意のある可能性のあるインターネット トラフィックなど、外部ネットワークからの攻撃から Azure リソースを保護します。 Azure には、次のネイティブ機能が含まれています。
Azure Firewall を使用して、インターネットやその他の外部の場所からの悪意のある可能性のあるトラフィックからアプリケーションとサービスを保護します。
アプリケーション層攻撃からアプリケーション、サービス、API を保護するには、Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) の Web アプリケーション ファイアウォール (WAF) 機能を使用します。
Azure 仮想ネットワークで DDoS 標準保護を有効にして、DDoS 攻撃から資産を保護します。
Azure Security Center を使用して、上記に関連する構成ミスのリスクを検出します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
NS-5: 侵入検出/侵入防止システム (IDS/IPS) を展開する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Azure Firewall の脅威インテリジェンス ベースのフィルター処理を使用して、既知の悪意のある IP アドレスとドメインとの間のトラフィックをアラートまたはブロックします。 この IP アドレスとドメインのソースは、Microsoft の脅威インテリジェンス フィードです。 ペイロード検査が必要な場合は、Azure Firewall Premium IDPS 機能を使用するか、ペイロード検査機能を使用して Azure Marketplace からサードパーティの侵入検出/侵入防止システム (IDS/IPS) をデプロイできます。 または、ネットワーク ベースの IDS/IPS と組み合わせて、または代わりに、ホスト ベースの IDS/IPS またはホストベースのエンドポイントの検出と応答 (EDR) ソリューションを使用できます。
注: IDS/IPS の使用に関する規制またはその他の要件がある場合は、SIEM ソリューションに高品質のアラートを提供するように常に調整されていることを確認してください。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
NS-6: ネットワーク セキュリティ規則を簡略化する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
サービス タグとアプリケーション セキュリティ グループ (ASG) を利用して、ネットワーク セキュリティ規則を簡略化します。
Virtual Network サービス タグを使用して、ネットワーク セキュリティ グループまたは Azure Firewall でネットワーク アクセス制御を定義します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 ルールの送信元または宛先フィールドにサービス タグ名を指定することで、対応するサービスのトラフィックを許可または拒否できます。 Microsoft は、サービス タグに含まれるアドレス プレフィックスを管理し、アドレスの変更に合じてサービス タグを自動的に更新します。
また、アプリケーション セキュリティ グループを使用して、複雑なセキュリティ構成を簡略化することもできます。 アプリケーション セキュリティ グループでは、ネットワーク セキュリティ グループ内の明示的な IP アドレスに基づいてポリシーを定義する代わりに、アプリケーションの構造の自然な拡張機能としてネットワーク セキュリティを構成できます。これにより、仮想マシンをグループ化し、それらのグループに基づいてネットワーク セキュリティ ポリシーを定義できます。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| NS-7 | なし | SC-20、SC-21 |
DNS セキュリティのベストプラクティスに従い、デングリング DNS、DNS アンプ攻撃、DNS ポイズニング、スプーフィングなどの一般的な攻撃を緩和するために行動してください。
Azure DNS を権限のある DNS サービスとして使用する場合は、Azure RBAC とリソース ロックを使用して、DNS ゾーンとレコードが偶発的または悪意のある変更から保護されていることを確認します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):