まとめ
このモジュールでは、一般的に使用される Azure サービスのベースライン セキュリティ チェックリストを作成するために、多くのことを説明しました。 説明した内容を簡単に確認しましょう。
Microsoft Defender for Cloud を有効にする - 無料。 Azure サブスクリプションをアップグレードして、Microsoft Defender for Cloud を有効にします。 Defender for Cloud の強化されたセキュリティ機能は、次の場合に役立ちます。
- セキュリティの脆弱性を検出して修正する。
- 悪意のあるアクティビティをブロックするため、アクセスとアプリケーションの制御を適用する。
- 分析とインテリジェンスを使用して脅威を検出する。
- 攻撃を受けたときに迅速に対応する。
Center for Internet Security (CIS) ベンチマークを適用する。 既存のテナントにベンチマークを適用します。
新しいワークロードに CIS VM を使用する。 Azure Marketplace で CIS 強化された VM イメージを取得します。
Azure Key Vault にキーとシークレットを保存する (ソース コードではない)。 Key Vault はパスワード、データベース資格情報、API キー、証明書を含むすべてのシークレット型をサポートするように設計されています。
Web アプリケーション ファイアウォールをインストールする。 Web アプリケーション ファイアウォール (WAF) は、一般的な悪用や脆弱性から Web アプリケーションを一元的に保護する Azure Application Gateway の機能です。 サード パーティも、Azure でサポートされる WAF を提供しています。
特に管理者アカウントに対して、ユーザーに多要素検証を適用する。 Microsoft Entra ユーザーの多要素認証は、管理者が複数の認証方法を要求することで、組織とユーザーを保護するのに役立ちます。
仮想ハード ディスク ファイルを暗号化する。 暗号化は、ブート ボリュームとストレージに保存されているデータ ボリュームに加え、暗号化キーとシークレットを保護するのに役立ちます。
Azure VM とアプライアンスを Azure 仮想ネットワークに配置し、他のネットワーク デバイスに接続する。 Azure 仮想ネットワークに接続された仮想マシンは、同じ仮想ネットワーク上、異なる仮想ネットワーク上、インターネット上、または独自のオンプレミス ネットワーク上のデバイスに接続できます。
実装する運用上強力なセキュリティ プラクティス
次の強力な運用上のセキュリティ プラクティスを毎日実践します。
VM の更新を管理する。 Azure VM は、すべてのオンプレミスの VM と同じように、ユーザーによって管理されることを意図しています。 Azure では、それらの VM に対して Windows 更新プログラムをプッシュしません。 修正プログラムの管理やバックアップなどの重要な操作に対して、安定したプロセスを確実に用意します。
パスワード管理を有効にする。 適切なセキュリティ ポリシーを使用して不正使用を防止します。
ワークロード保護ダッシュボードを定期的に確認する。 すべての Azure リソースのセキュリティ状態を一元的に把握し、推奨事項に対処します。
参考資料
このモジュールで説明されているトピックの詳細については、「CIS Microsoft Azure Foundations セキュリティ ベンチマーク」を参照してください。