events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
中継デバイスのセキュリティは、特権アクセスをセキュリティで保護するうえで重要な要素です。
中継局は、ユーザーまたは管理者のエンドツーエンド セッションのゼロ信頼保証のチェーンへのリンクを追加します。そのため、セッションでゼロ トラストのセキュリティ保証を維持 (または改善) する必要があります。 中継局の例としては、仮想プライベートネットワーク (VPN)、ジャンプ サーバー、仮想デスクトップ インフラストラクチャ (VDI)、およびアクセス プロキシによるアプリケーションの発行などがあります。
中継局に対して、格納された資格情報を使用して特権をエスカレートしたり、企業ネットワークへのネットワーク リモート アクセスを取得したり、ゼロ トラスのアクセスの決定に使用されている場合にそのデバイスで信頼を悪用するために、攻撃者は、攻撃をしかけます。 特に、これらのデバイスのセキュリティ体制を厳密に維持していない組織では、中継局をターゲットにすることは、あまり一般的ではありませんでした。 たとえば、 VPN デバイスから収集された資格情報などです。
中継局は目的とテクノロジによって異なりますが、通常はリモート アクセス、セッション セキュリティ、またはその両方を提供します。
リソース インターフェイスを介して元のデバイスやアカウントからセキュリティ保証を確実に維持するには、中継局および軽減オプションのリスク プロファイルを理解する必要があります。
中継局のタイプごとに固有の機能が実行されるため、それぞれに異なるセキュリティ アプローチが必要です。ただし、アプライアンス、ファームウェア、オペレーティング システム、アプリケーションにセキュリティ更新プログラムを迅速に適用するなどの重要な共通点があります。
攻撃者のチャンスは、攻撃オペレーターが以下をターゲットにできる、利用可能な攻撃サーフェスで表されます。
攻撃者の価値は、攻撃者が中継局を侵害することによって得られる内容で表されます。 不正アクセスは、アプリケーション/VM、またはクラウド サービスの顧客インスタンスの管理者を完全に制御できる攻撃者として定義されます。
攻撃の次の段階で、攻撃者が中継局から収集できる内容は次のとおりです。
これらの保証を確立するには、セキュリティ制御を組み合わせる必要があります。その中には、多くの中継局に共通するものと、中継局の種類に固有のものがあります。
中継局とは、ユーザーまたはデバイスへのインターフェイスを提示し、次のインターフェイスへのアクセスを可能にする、ゼロ トラスト チェーン内のリンクです。 セキュリティ コントロールは、着信接続、中継局デバイス/アプリケーション/サービス自体のセキュリティ、および (該当する場合) 次のインターフェイスに対するゼロ トラストのセキュリティ シグナルを提供する必要があります。
中継局の共通セキュリティ要素は、エンタープライズ レベルと特殊レベルで適切なセキュリティの検疫を維持することに重点を置いており、特権セキュリティに関する追加の制限があります。
これらのセキュリティ コントロールは、すべての種類の中継局に適用する必要があります。
特権中継局には、追加のセキュリティ制御が必要です。
このセクションには、各種類の中継局に固有のセキュリティ ガイダンスが含まれています。
セキュリティのユースケースに対して明示的に設計されたある種の中継局は、Privileged Identity Management/Privileged Access Management (PIM/PAM) ソリューションです。
PIM/PAM ソリューションは、特殊化されたプロファイルまたは特権プロファイルで対応する機密性の高いアカウントのセキュリティ保証を高めるように設計されており、通常は、まず IT 管理者に注目します。
特徴は PIM/PAM ベンダー間で異なりますが、多くのソリューションは次のようなセキュリティ機能を提供します。
サービス アカウントの管理とパスワードのローテーションを簡略化する (非常に重要な機能)
ジャストインタイム (JIT) アクセスの高度なワークフローを提供する
管理セッションの記録と監視
重要
PIM/PAM 機能は、一部の攻撃に対して優れた軽減策となりますが、多くの特権アクセスのリスクには対応しません。特に、デバイスが侵害されるリスクがあります。 一部のベンダーは、PIM/PAM ソリューションが 「シルバーブレット」ソリューションであり、デバイスのリスクを軽減できることを示していますが、お客様のインシデントを調査した経験により、これが実際には機能しないことが一貫して実証されています。
ワークステーションまたはデバイスを制御している攻撃者は、ユーザーがログオンしている間、これらの資格情報 (およびそれらに割り当てられている特権) を使用できます (また、後で使用するために資格情報を盗み出すことがよくあります)。 PIM/PAM ソリューションだけでは、これらのデバイスのリスクを一貫性をもって確実に確認し軽減することはできません。そのため、相互に補完する個別のデバイスとアカウント保護が必要です。
各 PIM/PAM ベンダーの機能は、それらをセキュリティで保護する方法が異なります。そのため、ベンダー固有のセキュリティ構成に関するレコメンデーションとベストプラクティスを確認し従ってください。
注意
内部的なリスクを軽減するために、ビジネスに不可欠なワークフローに 2 人目のユーザーを設定してください (内部の脅威によって衝突する可能性のコストと摩擦が増えます)。
仮想プライベート ネットワーク (VPN) は、リモート エンドポイントへの完全なネットワーク アクセスを提供する中継局であり、通常はエンドユーザーの認証を必要とし、受信ユーザー セッションを認証するために資格情報をローカルに保存できます。
注意
このガイダンスでは、データセンターやアプリケーションの接続に通常使用される「サイト間」の VPN ではなく、ユーザーが使用する「ポイント対サイト」の VPN についてのみ説明します。
VPN は、エンタープライズ ネットワークへのリモート接続を確立し、ユーザーと管理者がリソースにアクセスできるようにします。
VPN 中継局における最も重大なリスクは、メンテナンスの軽視、構成の問題、および資格情報のローカル保存です。
マイクロソフトでは、VPN 中継局用に制御を組み合わせることをお勧めします。
Microsoft Entra アプリケーション プロキシと同様のサードパーティの機能を使用すると、オンプレミスまたはクラウド内の IaaS VM でホストされているレガシ アプリケーションやその他のアプリケーションへのリモートアクセスが可能になります。
このソリューションは、従来のエンドユーザーの生産性向上アプリケーションをインターネットを介して認定ユーザーに公開する場合に適しています。 また、一部の管理アプリケーションの発行にも使用できます。
Microsoft Entra アプリケーション プロキシは、最新のゼロ トラスト ポリシーの実施を既存のアプリケーションに効果的に適合させます。 詳細については、「Microsoft Entra アプリケーション プロキシのセキュリティに関する考慮事項」をご覧ください。
Microsoft Entra アプリケーション プロキシは、Microsoft Defender for Cloud Apps と統合して、アプリの条件付きアクセス制御セッションのセキュリティを次のように追加することもできます。
詳細については、「Microsoft Entra アプリ用の Defender for Cloud Apps アプリの条件付きアクセス制御のデプロイ」をご覧ください。
Microsoft Entra アプリケーション プロキシを使用してアプリケーションを公開するときは、アプリケーションの所有者がセキュリティ チームと連携して最小限の特権を遵守し、各アプリケーションへのアクセスを必要とするユーザーのみが使用できるようにすることをお勧めします。 この方法でより多くのアプリをデプロイすると、エンドユーザーのポイント対サイト VPN の使用状況をオフセットできる場合があります。
このシナリオは、1 つまたは複数のアプリケーションを実行する完全なデスクトップ環境を提供します。 このソリューションには、次のようなさまざまなバリエーションがあります。
もっとも一般的な構成は次のとおりです。
Azure Bastion は、ブラウザーと Azure portal を使用して Azure リソースへの安全なアクセスを提供するように設計された中継局です。 Azure Bastion は、リモート デスクトップ プロトコル (RDP) と Secure Shell (SSH) プロトコルをサポートするアクセス リソースを Azure に提供します。
Azure Bastion は、IT 運用担当者と IT の外部のワークロード管理者が、環境への完全な VPN 接続を必要とせずに、Azure でホストされているリソースを管理するために使用できる柔軟なソリューションを提供します。
Azure Bastion にアクセスするには Azure portal を使用します。そのため、Azure portal インターフェイス では、内部のリソースおよびそれを使用するロールに対して適切な レベルのセキュリティ が必要であり、これは通常は特権レベルまたは特殊化されたレベルです。
その他のガイダンスについては、Azure Bastion のドキュメントを参照してください。
events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録トレーニング
モジュール
Azure portal で直接、VM に安全かつシームレスに接続できる Azure Bastion について説明します。 Azure Bastion で管理ジャンプ ボックスを置き換えられるかどうかを判断します。
認定資格
Microsoft Certified: Identity and Access Administrator Associate - Certifications
ID ソリューションの現代化、ハイブリッド ソリューションの実装、ID ガバナンスの実装を行う Microsoft Entra ID の機能を実証します。