セキュリティ制御 v3: ネットワーク セキュリティ
ネットワーク セキュリティでは、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部からの攻撃の防止と軽減、DNS の保護など、Azure ネットワークをセキュリティで保護するためのコントロールを対象とします。
NS-1: ネットワーク セグメント化の境界を確立する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12、13.4、4.4 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
セキュリティ原則: 仮想ネットワークのデプロイが、GS-2 セキュリティ コントロールで定義されている企業のセグメント化戦略に沿っていることを確認します。 組織のリスクを高める可能性があるワークロードは、分離された仮想ネットワーク内に置く必要があります。 リスクの高いワークロードの例を次に示します。
- 機密性の高いデータを格納または処理するアプリケーション。
- 公衆、または組織外のユーザーがアクセスできる外部ネットワークに接続するアプリケーション。
- セキュリティで保護されていないアーキテクチャを使用しているアプリケーションや、簡単に修復できない脆弱性を含んでいるアプリケーション。
企業のセグメント化戦略を強化するには、ネットワーク制御を使用して内部リソース間のトラフィックを制限または監視します。 適切に定義された特定のアプリケーション (3 層アプリなど) では、これは、ネットワーク トラフィックのポート、プロトコル、送信元 IP、宛先 IP を制限することにより、"既定で拒否、例外的に許可" という安全性の高いアプローチになります。 相互にやり取りしている多くのアプリケーションとエンドポイントがある場合は、トラフィックをブロックすると適切に拡張できなくなり、トラフィックの監視しか行えなくなる場合があります。
Azure ガイダンス: 仮想ネットワーク (VNet) を Azure ネットワークの基本的なセグメント化アプローチとして作成します。これにより、VM などのリソースを、ネットワーク境界内の VNet にデプロイできます。 ネットワークをさらにセグメント化するために、より小規模なサブネットワーク用に VNet 内にサブネットを作成できます。
ネットワーク層制御としてネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスでトラフィックを制限または監視します。
また、アプリケーション セキュリティグループ (ASG) を使用して、複雑な構成を簡略化することもできます。 ネットワーク セキュリティ グループの明示的な IP アドレスに基づいてポリシーを定義する代わりに、ASG を使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、仮想マシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。
実装と追加のコンテキスト:
- Azure Virtual Network の概念とベスト プラクティス
- 仮想ネットワーク サブネットの追加、変更、削除
- セキュリティ規則を使用してネットワーク セキュリティ グループを作成する方法
- アプリケーション セキュリティ グループの概要と使用
顧客のセキュリティ上の利害関係者 (詳細):
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12、4.4 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
セキュリティ原則: リソースのプライベート アクセス ポイントを確立することで、クラウド サービスをセキュリティで保護します。 また、可能な場合は、パブリック ネットワークからのアクセスを無効または制限する必要があります。
Azure ガイダンス: Private Link 機能をサポートしているすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。 また、可能な場合は、サービスへのパブリック ネットワーク アクセスを無効または制限する必要があります。
特定のサービスでは、サービスの VNet 統合をデプロイすることもできます。この場合、サービスのプライベート アクセス ポイントを確立するために VNET を制限できます。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
NS-3: エンタープライズ ネットワークのエッジでファイアウォールをデプロイする
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4、4.8、13.10 | AC-4、SC-7、CM-7 | 1.1、1.2、1.3 |
セキュリティ原則: ファイアウォールをデプロイして、外部ネットワークとの間のネットワーク トラフィックに対して高度なフィルター処理を実行します。 また、内部セグメント間のファイアウォールを使用して、セグメント化戦略をサポートすることもできます。 必要に応じて、セキュリティ制御の目的で、ネットワーク トラフィックがネットワーク アプライアンスを通過するように強制する必要がある場合は、サブネットのカスタム ルートを使用してシステム ルートをオーバーライドします。
少なくとも、既知の問題のある IP アドレスと、リモート管理 (RDP や SSH など) やイントラネット プロトコル (SMB や Kerberos など) などの危険度の高いプロトコルをブロックします。
Azure ガイダンス: Azure Firewall を使用して、多数のエンタープライズ セグメントまたはスポーク (ハブ/スポーク トポロジ内) に対して、完全にステートフルなアプリケーション レイヤーのトラフィック制限 (URL フィルタリングなど) や中央管理を提供します。
ハブ/スポークの設定など、複雑なネットワーク トポロジがある場合は、トラフィックが目的のルートを通過できるように、ユーザー定義ルート (UDR) を作成する必要が生じることがあります。 たとえば、UDR を使用して、特定の Azure Firewall またはネットワーク仮想アプライアンスを通じてエグレス インターネット トラフィックをリダイレクトすることができます。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
NS-4: 侵入検出および侵入防止システム (IDS/IPS) をデプロイする
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.2、13.3、13.7、13.8 | SC-7、SI-4 | 11.4 |
セキュリティ原則: ネットワーク侵入検出および侵入防止システム (IDS/IPS) を使用して、ワークロード相互のネットワーク トラフィックとペイロード トラフィックを検査します。 SIEM ソリューションに高品質のアラートを提供できるように、IDS/IPS が常に調整されていることを確認します。
より詳細なホスト レベルの検出と防止機能については、ホスト ベースの IDS/IPS またはホストベースのエンドポイントでの検出と対応 (EDR) ソリューションをネットワーク IDS/IPS と組み合わせて使用します。
Azure ガイダンス: ネットワークで Azure Firewall の IDPS 機能を使用して、既知の悪意のある IP アドレスやドメインに対するトラフィックのアラートやブロックを行います。
より詳細なホスト レベルの検出と防止機能については、ホストベースの IDS/IPS や、Microsoft Defender for Endpoint などのホストベースのエンドポイントの検出と対応 (EDR) ソリューションを、ネットワーク IDS/IPS と組み合わせて VM レベルでデプロイします。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
NS-5: DDoS 保護をデプロイする
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.10 | SC-5、SC-7 | 1.1、1.2、1.3、6.6 |
セキュリティ原則: 分散型サービス拒否 (DDoS) 保護をデプロイして、ネットワークとアプリケーションを攻撃から保護します。
Azure ガイダンス: パブリック ネットワークに公開されているリソースを保護するために、VNet で DDoS 標準保護プランを有効にします。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
NS-6: Web アプリケーション ファイアウォールをデプロイする
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1、1.2、1.3 |
セキュリティ原則: Web アプリケーション ファイアウォール (WAF) をデプロイし、アプリケーション固有の攻撃から Web アプリケーションと API を保護するように適切なルールを構成します。
Azure ガイドライン: Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) の Web Application Firewall (WAF) 機能を使用して、ネットワークのエッジでのアプリケーション層の攻撃からアプリケーション、サービス、API を保護します。 ニーズと脅威の状況に応じて、WAF を "検出" または "防止モード" に設定します。 組み込みのルールセット (OWASP 上位 10 の脆弱性など) を選択し、アプリケーションに合わせて調整します。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
NS-7: ネットワーク セキュリティの構成を簡略化する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4、4.8 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
セキュリティ原則: 複雑なネットワーク環境を管理する場合は、ツールを使用して、ネットワーク セキュリティ管理を簡略化し、一元化し、強化します。
Azure ガイダンス: 次の機能を使用して、NSG と Azure Firewall ルールの実装と管理を簡略化します。
- Microsoft Defender for Cloud アダプティブ ネットワークのセキュリティ強化機能を使用して、脅威インテリジェンスとトラフィック分析の結果に基づいてポート、プロトコル、送信元 IP をさらに制限する NSG セキュリティ強化機能ルールを推奨します。
- Azure Firewall Manager を使用して、仮想ネットワークのファイアウォール ポリシーとルート管理を一元化します。 ファイアウォール規則とネットワーク セキュリティ グループの実装を簡略化するために、Azure Firewall Manager ARM (Azure Resource Manager) テンプレートを使用することもできます。
実装と追加のコンテキスト:
- Microsoft Defender for Cloud でのアダプティブ ネットワークのセキュリティ強化
- Azure Firewall Manager
- Azure Firewall とファイアウォール ポリシーを作成する - ARM テンプレート
顧客のセキュリティ上の利害関係者 (詳細):
NS-8: セキュリティで保護されていないサービスとプロトコルを検出して無効にする
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4、4.8 | CM-2、CM-6、CM-7 | 4.1、A2.1、A2.2、A2.3 |
セキュリティ原則: OS、アプリケーション、またはソフトウェア パッケージ レイヤーで、セキュリティで保護されていないサービスとプロトコルを検出して無効にします。 セキュリティで保護されていないサービスとプロトコルを無効にできない場合は、補完的な制御をデプロイします。
Azure ガイダンス: Azure Sentinel の組み込みの安全でないプロトコルのブックを使用して、セキュリティで保護されていないサービスとプロトコル (SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、未署名の LDAP バインド、Kerberos の脆弱な暗号など) の使用を検出します。 適切なセキュリティ標準を満たしていない安全でないサービスとプロトコルを無効にします。
注: セキュリティで保護されていないサービスまたはプロトコルを無効にできない場合は、ネットワーク セキュリティ グループ、Azure Firewall、または Azure Web Application Firewall を介してリソースへのアクセスをブロックするなどの補完的な制御を使用して、攻撃対象領域を減らします。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
NS-9: オンプレミスまたはクラウド ネットワークをプライベートに接続する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.7 | CA-3、AC-17、AC-4 | 該当なし |
セキュリティ原則: クラウド サービス プロバイダー データセンターやコロケーション環境のオンプレミス インフラストラクチャなど、さまざまなネットワーク間のセキュリティで保護された通信にプライベート接続を使用します。
Azure ガイダンス: クラウド サービス プロバイダー データセンターやコロケーション環境のオンプレミス インフラストラクチャなど、さまざまなネットワーク間のセキュリティで保護された通信にプライベート接続を使用します。
軽量のサイト間接続またはポイント対サイト接続の場合、Azure 仮想プライベート ネットワーク (VPN) を使用して、オンプレミス サイトまたはエンド ユーザー デバイスから Azure 仮想ネットワークへの安全な接続を作成します。
エンタープライズ レベルのハイパフォーマンス接続の場合は、Azure ExpressRoute (または Virtual WAN) を使用して、Azure データセンターと共用環境のオンプレミス インフラストラクチャを接続します。
2 つ以上の Azure 仮想ネットワークを接続するには、仮想ネットワーク ピアリングを使用します。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure のバックボーン ネットワーク上に保持されます。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
NS-10: ドメイン ネーム システム (DNS) のセキュリティを確保する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.9、9.2 | SC-20、SC-21 | なし |
セキュリティ原則: ドメイン ネーム システム (DNS) のセキュリティ構成が既知のリスクから保護していることを確認します。
- クライアント (オペレーティング システムやアプリケーションなど) が正しい解決結果を確実に受け取るようにするために、クラウド環境全体で信頼された権限と再帰的な DNS サービスを使用します。
- プライベート ネットワークの DNS 解決プロセスをパブリック ネットワークから分離できるよう、パブリック DNS 解決とプライベート DNS 解決を分離します。
- DNS セキュリティ戦略に、ダングリング DNS、DNS アンプ攻撃、DNS ポイズニング、スプーフィングなどの一般的な攻撃に対する軽減策も含まれていることを確認します。
Azure ガイダンス: VM のオペレーティング システムやアプリケーションなど、ワークロードの再帰 DNS 設定で Azure 再帰 DNS または信頼された外部 DNS サーバーを使用します。
プライベート DNS ゾーン設定に Azure プライベート DNS を使用します。この場合、DNS 解決プロセスは仮想ネットワークから出ることはありません。 カスタム DNS を使用して、クライアントへの信頼された解決のみを許可する DNS 解決を制限します。
ワークロードまたは DNS サービスへの次のセキュリティ上の脅威に対して高度に保護できるように、Azure Defender for DNS を使用します。
- Azure リソースからのデータ流出 (DNS トンネリングを使用)
- コマンドおよびコントロール サーバーと通信するマルウェア
- 悪意のあるドメインとの通信 (フィッシング、クリプト マイニングなど)
- 悪意のある DNS リゾルバとの通信での DNS 攻撃
カスタム ドメインを DNS レジストラーから削除せずに App Service Web サイトを使用停止した場合は、Azure Defender for App Service を使用して、未解決の DNS レコードを検出することもできます。
実装と追加のコンテキスト:
- Azure DNS の概要
- セキュリティで保護されたドメイン ネーム システム (DNS) 展開ガイド:
- Azure プライベート DNS
- Azure Defender for DNS
- 未解決の DNS エントリを防止し、サブドメインの引き継ぎを回避します。
顧客のセキュリティ上の利害関係者 (詳細):