概要

完了

このモジュールでは、脆弱性や進化するセキュリティの脅威から保護するために、Azure コンピューティング リソースの高度なセキュリティ対策を計画して実装する方法について説明しました。

重要な学習

複数の Azure コンピューティング サービスにわたる包括的なセキュリティ戦略について説明しました。

リモート アクセスをセキュリティで保護する

• Azure Bastion では、仮想マシンをパブリック インターネットに公開することなく、4 つの SKU レベルで安全な RDP/SSH アクセスを提供します。
  • 開発者 SKU: 開発/テスト シナリオのコスト効率の高いオプション (2 つの同時接続)
  • Basic SKU: 標準のセキュリティで保護されたリモート アクセス (ネイティブ クライアントのサポートなし)
  • Standard SKU: ネイティブ クライアントのサポートや共有可能なリンクを含む強化された機能
  • Premium SKU: セッション記録、プライベートのみのデプロイ、カスタム ポートのサポートなどの高度な機能
• Just-In-Time (JIT) VM アクセス は、仮想マシンへの時間制限付きアクセスを提供することで攻撃対象領域を削減します

Azure Kubernetes Service (AKS) のセキュリティ

• OIDC フェデレーションを使用したワークロード ID は、Azure リソースにセキュリティで保護された認証を提供します (非推奨のポッドマネージド ID に代わるもの)
• ネットワーク ポリシーによるネットワーク分離によってポッド間通信が制御される
• ポッド セキュリティ標準では、 ポッド レベルでセキュリティ ポリシーが適用されます
• AKS 自動 では、運用準備が簡単なクラスター構成が提供されます
• Azure Linux 2.0 のサポートが 2025 年 11 月 30 日に終了する場合は、Azure Linux 3 を使用する必要があります

コンテナーのセキュリティと監視

• Microsoft Defender for Containers は、次の 5 つのコア ドメインにわたる包括的な脅威保護を提供します。
  • クラウド セキュリティ体制管理
  • Microsoft Defender 脆弱性管理 (MDVM) を利用した脆弱性評価
  • 実行時の脅威検出
  • Kubernetes 環境のセキュリティ強化
  • ソフトウェア サプライ チェーンの保護
• コンテナーの分析情報 (Azure Monitor の機能) は、コンテナー ワークロードのパフォーマンスと正常性の監視を提供します
• ゲートデプロイ (GA) により、脆弱なイメージが運用環境にデプロイされるのを防ぎます
• ランタイム コンテナー スキャン (GA) は、継続的な脆弱性評価を提供します

コンテナー レジストリのセキュリティ

• Azure Container Registry (ACR) では、きめ細かなアクセス制御のための 7 つの組み込み RBAC ロールがサポートされています
• 認証方法には、 Microsoft Entra ID、リポジトリ スコープのアクセス許可、および管理者アカウントが含まれます
• Microsoft Entra ID との統合 により、一元化された ID 管理が可能

データ保護

• Azure Disk Encryption (ADE) は、BitLocker (Windows) と dm-crypt (Linux) を使用して VM ディスクを暗号化します
• ホストでの暗号化は 、VM データのエンドツーエンドの暗号化を提供します
• 機密ディスク暗号化 は、ハードウェア ベースのセキュリティを使用して機密性の高いワークロードを保護します
• Azure Key Vault は 、一元化されたキーと証明書の管理として機能します
• DEK/KEK 階層を使用したエンベロープ暗号化により、階層化されたデータ保護が提供されます

API のセキュリティ

• Azure API Management のセキュリティ ベースラインは、Microsoft Cloud セキュリティ ベンチマークに準拠しています (v2 プレビューが利用可能)
• Virtual Network 統合 により、内部または外部のネットワーク構成が可能
• プライベート エンドポイントは、 パブリックに公開することなく安全なアクセスを提供します
• Microsoft Entra ID 統合 により、API の OAuth 2.0 認証が有効になります
• マネージド ID を使用すると、 Key Vault などの Azure リソースへのセキュリティで保護されたアクセスが簡略化されます

適用されるベスト プラクティス

このモジュールでは、セキュリティのベスト プラクティスを適用する方法について学習しました。

• AKS 認証に非推奨のポッド マネージド ID ではなくワークロード ID を使用する
• 可能な限り、ローカル認証方法で Microsoft Entra ID 認証を有効にする
• 詳細なアクセス許可制御のために Azure RBAC を使用して 最小限の特権アクセス を実装する
• マネージド ID を使用して、コードまたは構成に資格情報を格納しないようにする
• すべての機密データ の保存時の暗号化 と 転送中の暗号化 を有効にする
• プライベート エンドポイントをデプロイして、パブリック インターネットからトラフィックを保護する
• Microsoft Defender for Containers と Container Insights を使用して包括的な可視性を監視する
• ネットワーク ポリシーを適用して AKS クラスターにマイクロセグメント化を適用する
• アプリケーション コードではなく Azure Key Vault にシークレットとキー を格納する
• Azure Policy を使用してリソース間でセキュリティ構成を適用する

次のステップ

Azure セキュリティの専門知識を引き続き強化するには:

• 統合セキュリティ管理 のために Microsoft Defender for Cloud を探索する
• サービス固有のガイダンスに関して Azure セキュリティ ベースライン を確認する
• 環境内に Microsoft Cloud Security Benchmark コントロールを実装する
• 使用中のデータを保護するための Azure コンフィデンシャル コンピューティング について説明します
• 組織のセキュリティ標準を適用するように Azure Policy を 構成する