資産資産管理では、セキュリティ担当者のアクセス許可に関する推奨事項、資産インベントリへのセキュリティ アクセス、サービスとリソースの承認の管理 (インベントリ、追跡、および正しい) など、Azure リソースに対するセキュリティの可視性とガバナンスを確保するための制御について説明します。
AM-1: 資産インベントリとそのリスクを追跡する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1, 1.5, 2.1, 2.4 | CM-8、PM-5 | 2.4 |
セキュリティ原則: クエリで資産インベントリを追跡し、すべてのクラウド リソースを検出します。 サービスの性質、場所、またはその他の特性に基づいて資産にタグを付け、グループ化することで、資産を論理的に整理します。 セキュリティ組織が資産の継続的に更新されたインベントリにアクセスできることを確認します。
セキュリティの分析情報とリスクを一元的に集計することで、セキュリティ組織がクラウド資産のリスクを監視できることを確認する
Azure ガイダンス: Microsoft Defender for Cloud インベントリ機能と Azure Resource Graph では、Azure サービス、アプリケーション、ネットワーク リソースなど、サブスクリプション内のすべてのリソースを照会して検出できます。 タグと Azure の他のメタデータ (名前、説明、カテゴリ) を使用して、組織の分類に従って資産を論理的に整理します。
セキュリティ組織が、Azure 上の資産の継続的に更新されたインベントリにアクセスできることを確認します。 多くの場合、セキュリティ チームは、新たなリスクに対する組織の潜在的な露出を評価し、継続的なセキュリティ改善への入力として、このインベントリを必要とします。
Microsoft Defender for Cloud を使用してセキュリティ リスクを監視できるように、セキュリティ組織に Azure テナントとサブスクリプションのセキュリティ閲覧者のアクセス許可が付与されていることを確認します。 セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に広く適用することも、管理グループまたは特定のサブスクリプションにスコープを設定することもできます。
注: ワークロードとサービスを可視化するには、追加のアクセス許可が必要になる場合があります。
実装と追加のコンテキスト:
- Azure Resource Graph エクスプローラーを使用してクエリを作成する方法
- Microsoft Defender for Cloud 資産インベントリ管理
- 資産のタグ付けの詳細については、リソースの名前付けとタグ付けの決定ガイドを参照してください
- セキュリティ閲覧者ロールの概要
顧客のセキュリティ利害関係者 (詳細情報):
AM-2: 承認済みサービスのみを使用する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5, 2.6 , 2.7, 4.8 | CM-8、PM-5 | 6.3 |
セキュリティ原則: ユーザーが環境内でプロビジョニングできるサービスを監査および制限することで、承認されたクラウド サービスのみを使用できることを確認します。
Azure ガイダンス: Azure Policy を使用して、ユーザーが環境内でプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。
実装と追加のコンテキスト:
- Azure Policy の構成と管理
- Azure Policy を使用して特定のリソースの種類を拒否する方法
- Azure Resource Graph エクスプローラーを使用してクエリを作成する方法
顧客のセキュリティ利害関係者 (詳細情報):
AM-3: アセット ライフサイクル管理のセキュリティを確保する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1, 2.1 | CM-8、CM-7 | 2.4 |
セキュリティ原則: 資産のセキュリティ属性または構成は、資産のライフサイクル中に常に更新されるようにします。
Azure ガイダンス: 影響が大きい可能性のある変更のために、資産ライフサイクル管理プロセスに対処するセキュリティ ポリシー/プロセスを確立または更新します。 これらの変更には、ID プロバイダーとアクセスの変更、データの機密性、ネットワーク構成、管理特権の割り当てが含まれます。
Azure リソースが不要になったら削除します。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
AM-4: アセット管理へのアクセスを制限する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | なし |
セキュリティ原則: クラウド内の資産が誤ってまたは悪意を持って変更されないように、ユーザーの資産管理機能へのアクセスを制限します。
Azure ガイダンス: Azure Resource Manager は、Azure のデプロイと管理サービスです。 Azure でリソース (資産) を作成、更新、削除できる管理レイヤーが用意されています。 Azure AD 条件付きアクセスを使用して、"Microsoft Azure Management" アプリの "アクセスのブロック" を構成することで、ユーザーが Azure Resource Manager と対話する機能を制限します。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
AM-5: 仮想マシンで承認済みアプリケーションのみを使用する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5, 2.6, 2.7, 4.8 | CM-8、CM-7、CM-10、CM-11 | 6.3 |
セキュリティ原則: 許可リストを作成して承認されたソフトウェアのみが実行されるようにし、承認されていないソフトウェアが環境内で実行されないようにします。
Azure ガイダンス: Microsoft Defender for Cloud 適応型アプリケーション制御を使用して、アプリケーションの許可リストを検出して生成します。 また、ASC アダプティブ アプリケーション制御を使用して、承認されたソフトウェアのみが実行され、承認されていないすべてのソフトウェアが Azure Virtual Machines での実行をブロックされるようにすることもできます。
Azure Automation Change Tracking と Inventory を使用して、Windows および Linux VM からのインベントリ情報の収集を自動化します。 ソフトウェア名、バージョン、発行元、更新時刻は、Azure portal から入手できます。 ソフトウェアのインストール日やその他の情報を取得するには、ゲスト レベルの診断を有効にして、Windows イベント ログを Log Analytics ワークスペースに転送します。
スクリプトの種類に応じて、オペレーティング システム固有の構成またはサード パーティのリソースを使用して、Azure コンピューティング リソースでスクリプトを実行するユーザーの機能を制限できます。
また、サードパーティのソリューションを使用して、未承認のソフトウェアを検出して特定することもできます。
実装と追加のコンテキスト:
- Microsoft Defender for Cloud アダプティブ アプリケーション制御を使用する方法
- Azure Automation の変更の追跡とインベントリについて
- Windows 環境で PowerShell スクリプトの実行を制御する方法
顧客のセキュリティ利害関係者 (詳細情報):