events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
ネットワーク セキュリティでは、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部からの攻撃の防止と軽減、DNS の保護など、Azure ネットワークをセキュリティで保護するためのコントロールを対象とします。
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
3.12、13.4、4.4 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
セキュリティ原則: 仮想ネットワークのデプロイが、GS-2 セキュリティ コントロールで定義されている企業のセグメント化戦略に沿っていることを確認します。 組織のリスクを高める可能性があるワークロードは、分離された仮想ネットワーク内に置く必要があります。 リスクの高いワークロードの例を次に示します。
企業のセグメント化戦略を強化するには、ネットワーク制御を使用して内部リソース間のトラフィックを制限または監視します。 適切に定義された特定のアプリケーション (3 層アプリなど) では、これは、ネットワーク トラフィックのポート、プロトコル、送信元 IP、宛先 IP を制限することにより、"既定で拒否、例外的に許可" という安全性の高いアプローチになります。 相互にやり取りしている多くのアプリケーションとエンドポイントがある場合は、トラフィックをブロックすると適切に拡張できなくなり、トラフィックの監視しか行えなくなる場合があります。
Azure ガイダンス: 仮想ネットワーク (VNet) を Azure ネットワークの基本的なセグメント化アプローチとして作成します。これにより、VM などのリソースを、ネットワーク境界内の VNet にデプロイできます。 ネットワークをさらにセグメント化するために、より小規模なサブネットワーク用に VNet 内にサブネットを作成できます。
ネットワーク層制御としてネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスでトラフィックを制限または監視します。
また、アプリケーション セキュリティグループ (ASG) を使用して、複雑な構成を簡略化することもできます。 ネットワーク セキュリティ グループの明示的な IP アドレスに基づいてポリシーを定義する代わりに、ASG を使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、仮想マシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
3.12、4.4 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
セキュリティ原則: リソースのプライベート アクセス ポイントを確立することで、クラウド サービスをセキュリティで保護します。 また、可能な場合は、パブリック ネットワークからのアクセスを無効または制限する必要があります。
Azure ガイダンス: Private Link 機能をサポートしているすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。 また、可能な場合は、サービスへのパブリック ネットワーク アクセスを無効または制限する必要があります。
特定のサービスでは、サービスの VNet 統合をデプロイすることもできます。この場合、サービスのプライベート アクセス ポイントを確立するために VNET を制限できます。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.4、4.8、13.10 | AC-4、SC-7、CM-7 | 1.1、1.2、1.3 |
セキュリティ原則: ファイアウォールをデプロイして、外部ネットワークとの間のネットワーク トラフィックに対して高度なフィルター処理を実行します。 また、内部セグメント間のファイアウォールを使用して、セグメント化戦略をサポートすることもできます。 必要に応じて、セキュリティ制御の目的で、ネットワーク トラフィックがネットワーク アプライアンスを通過するように強制する必要がある場合は、サブネットのカスタム ルートを使用してシステム ルートをオーバーライドします。
少なくとも、既知の問題のある IP アドレスと、リモート管理 (RDP や SSH など) やイントラネット プロトコル (SMB や Kerberos など) などの危険度の高いプロトコルをブロックします。
Azure ガイダンス: Azure Firewall を使用して、多数のエンタープライズ セグメントまたはスポーク (ハブ/スポーク トポロジ内) に対して、完全にステートフルなアプリケーション レイヤーのトラフィック制限 (URL フィルタリングなど) や中央管理を提供します。
ハブ/スポークの設定など、複雑なネットワーク トポロジがある場合は、トラフィックが目的のルートを通過できるように、ユーザー定義ルート (UDR) を作成する必要が生じることがあります。 たとえば、UDR を使用して、特定の Azure Firewall またはネットワーク仮想アプライアンスを通じてエグレス インターネット トラフィックをリダイレクトすることができます。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
13.2、13.3、13.7、13.8 | SC-7、SI-4 | 11.4 |
セキュリティ原則: ネットワーク侵入検出および侵入防止システム (IDS/IPS) を使用して、ワークロード相互のネットワーク トラフィックとペイロード トラフィックを検査します。 SIEM ソリューションに高品質のアラートを提供できるように、IDS/IPS が常に調整されていることを確認します。
より詳細なホスト レベルの検出と防止機能については、ホスト ベースの IDS/IPS またはホストベースのエンドポイントでの検出と対応 (EDR) ソリューションをネットワーク IDS/IPS と組み合わせて使用します。
Azure ガイダンス: ネットワークで Azure Firewall の IDPS 機能を使用して、既知の悪意のある IP アドレスやドメインに対するトラフィックのアラートやブロックを行います。
より詳細なホスト レベルの検出と防止機能については、ホストベースの IDS/IPS や、Microsoft Defender for Endpoint などのホストベースのエンドポイントの検出と対応 (EDR) ソリューションを、ネットワーク IDS/IPS と組み合わせて VM レベルでデプロイします。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
13.10 | SC-5、SC-7 | 1.1、1.2、1.3、6.6 |
セキュリティ原則: 分散型サービス拒否 (DDoS) 保護をデプロイして、ネットワークとアプリケーションを攻撃から保護します。
Azure ガイダンス: パブリック ネットワークに公開されているリソースを保護するために、VNet で DDoS 標準保護プランを有効にします。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
13.10 | SC-7 | 1.1、1.2、1.3 |
セキュリティ原則: Web アプリケーション ファイアウォール (WAF) をデプロイし、アプリケーション固有の攻撃から Web アプリケーションと API を保護するように適切なルールを構成します。
Azure ガイドライン: Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) の Web Application Firewall (WAF) 機能を使用して、ネットワークのエッジでのアプリケーション層の攻撃からアプリケーション、サービス、API を保護します。 ニーズと脅威の状況に応じて、WAF を "検出" または "防止モード" に設定します。 組み込みのルールセット (OWASP 上位 10 の脆弱性など) を選択し、アプリケーションに合わせて調整します。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.4、4.8 | AC-4、SC-2、SC-7 | 1.1、1.2、1.3 |
セキュリティ原則: 複雑なネットワーク環境を管理する場合は、ツールを使用して、ネットワーク セキュリティ管理を簡略化し、一元化し、強化します。
Azure ガイダンス: 次の機能を使用して、NSG と Azure Firewall ルールの実装と管理を簡略化します。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.4、4.8 | CM-2、CM-6、CM-7 | 4.1、A2.1、A2.2、A2.3 |
セキュリティ原則: OS、アプリケーション、またはソフトウェア パッケージ レイヤーで、セキュリティで保護されていないサービスとプロトコルを検出して無効にします。 セキュリティで保護されていないサービスとプロトコルを無効にできない場合は、補完的な制御をデプロイします。
Azure ガイダンス: Azure Sentinel の組み込みの安全でないプロトコルのブックを使用して、セキュリティで保護されていないサービスとプロトコル (SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、未署名の LDAP バインド、Kerberos の脆弱な暗号など) の使用を検出します。 適切なセキュリティ標準を満たしていない安全でないサービスとプロトコルを無効にします。
注: セキュリティで保護されていないサービスまたはプロトコルを無効にできない場合は、ネットワーク セキュリティ グループ、Azure Firewall、または Azure Web Application Firewall を介してリソースへのアクセスをブロックするなどの補完的な制御を使用して、攻撃対象領域を減らします。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
12.7 | CA-3、AC-17、AC-4 | 該当なし |
セキュリティ原則: クラウド サービス プロバイダー データセンターやコロケーション環境のオンプレミス インフラストラクチャなど、さまざまなネットワーク間のセキュリティで保護された通信にプライベート接続を使用します。
Azure ガイダンス: クラウド サービス プロバイダー データセンターやコロケーション環境のオンプレミス インフラストラクチャなど、さまざまなネットワーク間のセキュリティで保護された通信にプライベート接続を使用します。
軽量のサイト間接続またはポイント対サイト接続の場合、Azure 仮想プライベート ネットワーク (VPN) を使用して、オンプレミス サイトまたはエンド ユーザー デバイスから Azure 仮想ネットワークへの安全な接続を作成します。
エンタープライズ レベルのハイパフォーマンス接続の場合は、Azure ExpressRoute (または Virtual WAN) を使用して、Azure データセンターと共用環境のオンプレミス インフラストラクチャを接続します。
2 つ以上の Azure 仮想ネットワークを接続するには、仮想ネットワーク ピアリングを使用します。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure のバックボーン ネットワーク上に保持されます。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
4.9、9.2 | SC-20、SC-21 | なし |
セキュリティ原則: ドメイン ネーム システム (DNS) のセキュリティ構成が既知のリスクから保護していることを確認します。
Azure ガイダンス: VM のオペレーティング システムやアプリケーションなど、ワークロードの再帰 DNS 設定で Azure 再帰 DNS または信頼された外部 DNS サーバーを使用します。
プライベート DNS ゾーン設定に Azure プライベート DNS を使用します。この場合、DNS 解決プロセスは仮想ネットワークから出ることはありません。 カスタム DNS を使用して、クライアントへの信頼された解決のみを許可する DNS 解決を制限します。
ワークロードまたは DNS サービスへの次のセキュリティ上の脅威に対して高度に保護できるように、Azure Defender for DNS を使用します。
カスタム ドメインを DNS レジストラーから削除せずに App Service Web サイトを使用停止した場合は、Azure Defender for App Service を使用して、未解決の DNS レコードを検出することもできます。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録トレーニング
モジュール
Windows Server IaaS VM ネットワーク セキュリティを実装する - Training
Windows Server IaaS VM ネットワーク セキュリティを実装する
認定資格
Microsoft Certified: Azure Network Engineer Associate - Certifications
Azure ネットワーク インフラストラクチャ、負荷分散トラフィック、ネットワーク ルーティングなどの設計、実装、メンテナンスのデモを行います。