Microsoft Defender for Cloud でネットワーク セキュリティに関する推奨事項を取得する
ネットワーク セキュリティは、さまざまなテクノロジ、デバイス、プロセスを対象としています。 コンピューター ネットワークとデータの整合性、機密性、アクセス性を保護するように設計された一連の規則と構成が提供されます。 規模、業界、インフラストラクチャに関係なく、すべての組織は、拡大し続ける攻撃のリスクから保護するために、何らかのネットワーク セキュリティ ソリューションを導入する必要があります。
Microsoft Azure の場合、マイクロサービス、VM、データ、その他のリソースをセキュリティで保護したり、セキュリティ保護する機能を提供したりすることが、非常に重要です。 Microsoft Azure では、分散仮想ファイアウォールによってそれが保証されます。
Microsoft Azure の仮想ネットワークは、他のネットワークから分離されており、通信はプライベート IP アドレスを介して行われます。
ネットワークのセキュリティ
ネットワーク セキュリティでは、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部からの攻撃の防止と軽減、DNS の保護など、Azure ネットワークをセキュリティで保護するためのコントロールを対象とします。 制御の詳細については、Microsoft Docs の「セキュリティ制御 V3: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
セキュリティ原則: 仮想ネットワークのデプロイが、GS-2 セキュリティ コントロールで定義されている企業のセグメント化戦略に沿っていることを確認します。 組織のリスクを高める可能性があるワークロードは、分離された仮想ネットワーク内に置く必要があります。 リスクの高いワークロードの例を次に示します。
- 機密性の高いデータを格納または処理するアプリケーション。
- 公衆、または組織外のユーザーがアクセスできる外部ネットワークに接続するアプリケーション。
- セキュリティで保護されていないアーキテクチャを使用しているアプリケーションや、簡単に修復できない脆弱性を含んでいるアプリケーション。
企業のセグメント化戦略を強化するには、ネットワーク制御を使用して内部リソース間のトラフィックを制限または監視します。 適切に定義された特定のアプリケーション (3 層アプリなど) では、これは、ネットワーク トラフィックのポート、プロトコル、送信元 IP、宛先 IP を制限することにより、"既定で拒否、例外的に許可" という安全性の高いアプローチになります。 相互にやり取りしている多くのアプリケーションとエンドポイントがある場合は、トラフィックをブロックすると適切に拡張できなくなり、トラフィックの監視しか行えなくなる場合があります。
Azure ガイダンス: 仮想ネットワーク (VNet) を Azure ネットワークの基本的なセグメント化アプローチとして作成します。これにより、VM などのリソースを、ネットワーク境界内の VNet にデプロイできます。 ネットワークをさらにセグメント化するために、より小規模なサブネットワーク用に VNet 内にサブネットを作成できます。
ネットワーク層制御としてネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスでトラフィックを制限または監視します。
また、アプリケーション セキュリティグループ (ASG) を使用して、複雑な構成を簡略化することもできます。 ネットワーク セキュリティ グループの明示的な IP アドレスに基づいてポリシーを定義する代わりに、ASG を使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、仮想マシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
セキュリティ原則: リソースのプライベート アクセス ポイントを確立することで、クラウド サービスをセキュリティで保護します。 また、可能な場合は、パブリック ネットワークからのアクセスを無効または制限する必要があります。
Azure ガイダンス: Private Link 機能をサポートしているすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。 また、可能な場合は、サービスへのパブリック ネットワーク アクセスを無効または制限する必要があります。
特定のサービスでは、サービスの VNet 統合をデプロイすることもできます。この場合、サービスのプライベート アクセス ポイントを確立するために VNET を制限できます。
NS-3: エンタープライズ ネットワークのエッジでファイアウォールをデプロイする
セキュリティ原則: ファイアウォールをデプロイして、外部ネットワークとの間のネットワーク トラフィックに対して高度なフィルター処理を実行します。 また、内部セグメント間のファイアウォールを使用して、セグメント化戦略をサポートすることもできます。 必要に応じて、セキュリティ制御の目的で、ネットワーク トラフィックがネットワーク アプライアンスを通過するように強制する必要がある場合は、サブネットのカスタム ルートを使用してシステム ルートをオーバーライドします。
少なくとも、既知の問題のある IP アドレスと、リモート管理 (RDP や SSH など) やイントラネット プロトコル (SMB や Kerberos など) などの危険度の高いプロトコルをブロックします。
Azure ガイダンス: Azure Firewall を使用して、多数のエンタープライズ セグメントまたはスポーク (ハブ/スポーク トポロジ内) に対して、完全にステートフルなアプリケーション レイヤーのトラフィック制限 (URL フィルタリングなど) や中央管理を提供します。
ハブ/スポークの設定など、複雑なネットワーク トポロジがある場合は、トラフィックが目的のルートを通過できるように、ユーザー定義ルート (UDR) を作成する必要が生じることがあります。 たとえば、UDR を使用して、特定の Azure Firewall またはネットワーク仮想アプライアンスを通じてエグレス インターネット トラフィックをリダイレクトすることができます。
NS-4: 侵入検出および侵入防止システム (IDS/IPS) をデプロイする
セキュリティ原則: ネットワーク侵入検出および侵入防止システム (IDS/IPS) を使用して、ワークロード相互のネットワーク トラフィックとペイロード トラフィックを検査します。 SIEM ソリューションに高品質のアラートを提供できるように、IDS/IPS が常に調整されていることを確認します。
より詳細なホスト レベルの検出と防止機能については、ホスト ベースの IDS/IPS またはホストベースのエンドポイントでの検出と対応 (EDR) ソリューションをネットワーク IDS/IPS と組み合わせて使用します。
Azure ガイダンス: ネットワークで Azure Firewall の IDPS 機能を使用して、既知の悪意のある IP アドレスやドメインに対するトラフィックのアラートやブロックを行います。
より詳細なホスト レベルの検出と防止機能については、ホストベースの IDS/IPS や、Microsoft Defender for Endpoint などのホストベースのエンドポイントの検出と対応 (EDR) ソリューションを、ネットワーク IDS/IPS と組み合わせて VM レベルでデプロイします。
NS-5: DDoS 保護をデプロイする
セキュリティ原則: 分散型サービス拒否 (DDoS) 保護をデプロイして、ネットワークとアプリケーションを攻撃から保護します。
Azure ガイダンス: VNet で DDoS ネットワーク保護計画を有効にして、パブリック ネットワークに公開されているリソースを保護します。
NS-6: Web アプリケーション ファイアウォールをデプロイする
セキュリティ原則: Web アプリケーション ファイアウォール (WAF) をデプロイし、アプリケーション固有の攻撃から Web アプリケーションと API を保護するように適切なルールを構成します。
Azure ガイドライン: Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) の Web Application Firewall (WAF) 機能を使用して、ネットワークのエッジでのアプリケーション層の攻撃からアプリケーション、サービス、API を保護します。 ニーズと脅威の状況に応じて、WAF を "検出" または "防止モード" に設定します。 組み込みのルールセット (OWASP 上位 10 の脆弱性など) を選択し、アプリケーションに合わせて調整します。
NS-7: ネットワーク セキュリティの構成を簡略化する
セキュリティ原則: 複雑なネットワーク環境を管理する場合は、ツールを使用して、ネットワーク セキュリティ管理を簡略化し、一元化し、強化します。
Azure ガイダンス: 次の機能を使用して、NSG と Azure Firewall ルールの実装と管理を簡略化します。
- Microsoft Defender for Cloud アダプティブ ネットワークのセキュリティ強化機能を使用して、脅威インテリジェンスとトラフィック分析の結果に基づいてポート、プロトコル、送信元 IP をさらに制限する NSG セキュリティ強化機能ルールを推奨します。
- Azure Firewall Manager を使用して、仮想ネットワークのファイアウォール ポリシーとルート管理を一元化します。 ファイアウォール規則とネットワーク セキュリティ グループの実装を簡略化するために、Azure Firewall Manager ARM (Azure Resource Manager) テンプレートを使用することもできます。
NS-8: セキュリティで保護されていないサービスとプロトコルを検出して無効にする
セキュリティ原則: OS、アプリケーション、またはソフトウェア パッケージ レイヤーで、セキュリティで保護されていないサービスとプロトコルを検出して無効にします。 セキュリティで保護されていないサービスとプロトコルを無効にできない場合は、補完的な制御をデプロイします。
Azure ガイダンス: Azure Sentinel の組み込みの安全でないプロトコルのブックを使用して、セキュリティで保護されていないサービスとプロトコル (SSL/TLSv1、SSHv1、SMBv1、LM/NTLMv1、wDigest、未署名の LDAP バインド、Kerberos の脆弱な暗号など) の使用を検出します。 適切なセキュリティ標準を満たしていない安全でないサービスとプロトコルを無効にします。
Note
安全でないサービスまたはプロトコルを無効にできない場合は、ネットワーク セキュリティ グループ、Azure Firewall、または Azure Web Application Firewall を介してリソースへのアクセスをブロックするなどの代替制御を使用して、攻撃対象領域を減らします。
NS-9: オンプレミスまたはクラウド ネットワークをプライベートに接続する
セキュリティ原則: クラウド サービス プロバイダー データセンターやコロケーション環境のオンプレミス インフラストラクチャなど、さまざまなネットワーク間のセキュリティで保護された通信にプライベート接続を使用します。
Azure ガイダンス: クラウド サービス プロバイダー データセンターやコロケーション環境のオンプレミス インフラストラクチャなど、さまざまなネットワーク間のセキュリティで保護された通信にプライベート接続を使用します。
軽量のサイト間接続またはポイント対サイト接続の場合、Azure 仮想プライベート ネットワーク (VPN) を使用して、オンプレミス サイトまたはエンド ユーザー デバイスから Azure 仮想ネットワークへの安全な接続を作成します。
エンタープライズ レベルのハイパフォーマンス接続の場合は、Azure ExpressRoute (または Virtual WAN) を使用して、Azure データセンターと共用環境のオンプレミス インフラストラクチャを接続します。
2 つ以上の Azure 仮想ネットワークを接続するには、仮想ネットワーク ピアリングを使用します。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure のバックボーン ネットワーク上に保持されます。
NS-10: ドメイン ネーム システム (DNS) のセキュリティを確保する
セキュリティ原則: ドメイン ネーム システム (DNS) のセキュリティ構成が既知のリスクから保護していることを確認します。
- クライアント (オペレーティング システムやアプリケーションなど) が正しい解決結果を確実に受け取るようにするために、クラウド環境全体で信頼された権限と再帰的な DNS サービスを使用します。
- プライベート ネットワークの DNS 解決プロセスをパブリック ネットワークから分離できるよう、パブリック DNS 解決とプライベート DNS 解決を分離します。
- DNS セキュリティ戦略に、ダングリング DNS、DNS アンプ攻撃、DNS ポイズニング、スプーフィングなどの一般的な攻撃に対する軽減策も含まれていることを確認します。
Azure ガイダンス: VM のオペレーティング システムやアプリケーションなど、ワークロードの再帰 DNS 設定で Azure 再帰 DNS または信頼された外部 DNS サーバーを使用します。
プライベート DNS ゾーン設定に Azure プライベート DNS を使用します。この場合、DNS 解決プロセスは仮想ネットワークから出ることはありません。 カスタム DNS を使用して、クライアントへの信頼された解決のみを許可する DNS 解決を制限します。
ワークロードまたは DNS サービスへの次のセキュリティ上の脅威に対して高度に保護できるように、Azure Defender for DNS を使用します。
- Azure リソースからのデータ流出 (DNS トンネリングを使用)
- コマンドおよびコントロール サーバーと通信するマルウェア
- 悪意のあるドメインとの通信 (フィッシング、クリプト マイニングなど)
- 悪意のある DNS リゾルバとの通信での DNS 攻撃
カスタム ドメインを DNS レジストラーから削除せずに App Service Web サイトを使用停止した場合は、Azure Defender for App Service を使用して、未解決の DNS レコードを検出することもできます。
Microsoft クラウド セキュリティ ベンチマーク
Microsoft では、セキュリティ ベンチマークの使用がクラウド デプロイの迅速なセキュリティ保護に役立つことがわかっています。 クラウド サービス プロバイダーの包括的なセキュリティベスト プラクティス フレームワークを使用すると、複数のサービス プロバイダー間で、クラウド環境内の特定のセキュリティ構成設定を選択するための出発点が提供され、1 つの画面を使用してこれらの構成を監視できます。
Microsoft クラウド セキュリティ ベンチマーク (MCSB) には、単一またはマルチクラウド環境でのクラウド サービスのセキュリティによる保護に使用できる、セキュリティに関する影響の大きい推奨事項のコレクションが含まれています。 MCSB の推奨事項には、次の 2 つの重要な側面が含まれます。
- セキュリティ制御: これらの推奨事項は、一般に、クラウド ワークロード全体に適用されます。 各推奨事項では、通常、ベンチマークの計画、承認、または実装に関与している利害関係者の一覧を特定します。
- サービス ベースライン: これらにより、個々のクラウド サービスに制御が適用されて、その特定のサービスのセキュリティ構成に関する推奨事項が提供されます。 現在、サービス ベースラインは Azure でのみ使用できます。
Microsoft クラウド セキュリティ ベンチマークの実装
- MCSB の実装を計画するには、エンタープライズ コントロールとサービス固有のベースラインに関するドキュメントを確認して、制御フレームワークを計画し、それが Center for Internet Security (CIS) Controls、アメリカ国立標準技術研究所 (NIST)、Payment Card Industry Data Security Standard (PCI-DSS) フレームワークなどのガイダンスにどのようにマップされるかを確認します。
- マルチクラウド環境用の Microsoft Defender for Cloud – 規制コンプライアンス ダッシュボードを使用して、MCSB の状態 (およびその他のコントロール セット) に対するコンプライアンスを監視します。
- Azure Blueprints、Azure Policy、または他のクラウド プラットフォームの同等のテクノロジの機能を使用して、セキュリティで保護された構成を自動化し、MCSB (および組織内の他の要件) へのコンプライアンスを適用するためのガードレールを確立します。
用語
Microsoft クラウド ベンチマークのドキュメントでは、コントロール、ベースラインという用語が頻繁に使用されており、Azure でこれらの用語がどのように使用されているかを理解することが重要です。
| Term | 説明 | 例 |
|---|---|---|
| コントロール | コントロールとは、特定のテクノロジや実装のみに限定されない、実行すべき機能やアクティビティの総称です。 | データ保護は、セキュリティ コントロール ファミリの 1 つです。 データ保護には、データを確実に保護するために対処する必要がある特定の操作が含まれています。 |
| ベースライン | ベースラインとは、個々の Azure サービスでのコントロールの実装です。 各組織はベンチマークの推奨事項を決定し、Azure で対応する構成が必要になります。 注: 現在、サービス ベースラインは Azure でのみ使用できます。 | Contoso 社は、Azure SQL のセキュリティ ベースラインで推奨されている構成に従って、Azure SQL のセキュリティ機能を有効にすることを目指しています。 |
規制コンプライアンスへの Microsoft Defender for Cloud の使用
Microsoft Defender for Cloud を使用すると、規制コンプライアンス ダッシュボードを使用して、規制のコンプライアンス要件を満たすためのプロセスを効率化できます。
規制コンプライアンス ダッシュボードには、選択した標準または規制について、お客様の環境におけるすべての評価の状態が表示されます。 推奨事項に基づいて行動し、お客様の環境内のリスク要因を減らしていくと、コンプライアンス体制は強化されます。
規制コンプライアンス ダッシュボード
ダッシュボードには、コンプライアンスの状態の概要と、サポートされる一連のコンプライアンス規制が表示されます。 お客様の全体的なコンプライアンス スコアのほか、それぞれの標準に関連した合否評価の件数を確認できます。
コンプライアンスの制御
- 標準が適用されるサブスクリプション。
- その標準のすべての制御の一覧。
- その制御に関連付けられた評価の合格と不合格に関する詳細が表示されます。
- 影響を受けるリソースの数。
一部のコントロールはグレー表示されています。これらのコントロールには、Microsoft Defender for Cloud の評価が何も関連付けられていません。 それらの要件を確認し、実際の環境でそれらを評価してください。 そうしたものの中には、技術的なものではなくプロセスに関連したものがあります。
特定の標準に対するコンプライアンスの詳細を調べる
特定の標準について、現在のコンプライアンスの状態をまとめた PDF レポートを生成するには、 [レポートのダウンロード] を選択します。
レポートには、Microsoft Defender for Cloud の評価データに基づいて、選択した標準のコンプライアンス状態の大まかな概要が表示されます。 レポートは、その標準の制御に従って編成されています。 レポートは直接の利害関係者と共有することができ、内部および外部の監査員に対する証拠を提供するために利用できます。
Microsoft Defender for Cloud のアラート
Microsoft Defender for Cloud では、真の脅威を検出し、誤検知を減らすために、Azure リソースやネットワークのほか、接続されているパートナー ソリューション (ファイアウォールやエンドポイント保護ソリューションなど) から、ログ データが自動的に収集、分析、統合されます。 Microsoft Defender for Cloud には、優先順位付けされたセキュリティ アラートの一覧が、問題をすばやく調査するために必要な情報、および攻撃を修正するための手順と共に表示されます。
セキュリティ アラートの管理
Microsoft Defender for Cloud の概要ページの上部には [セキュリティ アラート] タイルが表示され、サイド バーにはリンクがあります。
セキュリティ アラートのページには、アクティブなアラートが表示されます。 一覧は、重大度、アラート タイトル、影響を受けるリソース、アクティビティ開始時刻で並べ替えることができます。 MITRE ATTACK の方針と状態。
アラートの一覧をフィルター処理するには、関連するフィルターを選択します。 [フィルターの追加] オプションを使用して、さらにフィルターを追加できます。
この一覧は、選択したフィルター オプションに応じて更新されます。 フィルター処理はとても有益な機能です。 たとえば、システム内の潜在的な違反を調査するために、過去 24 時間以内に発生したセキュリティ アラートを確認することができます。
セキュリティの警告への対応
[セキュリティ アラート] リストから、アラートを選択します。 作業ウィンドウが開き、アラートとその影響を受けたすべてのリソースの説明が表示されます。
次の図に示すように、[すべての詳細を表示] を選択すると詳細な情報が表示されます。
セキュリティ アラート ページの左側のウィンドウには、セキュリティ アラートに関する概要情報 (タイトル、重要度、状態、アクティビティ時間、疑わしいアクティビティの説明、影響を受けるリソース) が表示されます。 影響を受けるリソースと共に、リソースに関連する Azure タグがあります。 これらを使用して、アラートを調査するときにリソースの組織コンテキストを推測します。
右側のペインには、問題の調査に役立つアラートの詳細が含まれている [アラートの詳細] タブがあります。IP アドレス、ファイル、プロセスなど。
また、右側のペインには [アクションの実行] タブがあります。このタブを使用して、セキュリティ アラートに関するその他のアクションを実行します。 次のようなアクションがあります。
- 脅威を軽減する: このセキュリティ アラートの手動修復手順を提供します。
- 攻撃を防ぐ:攻撃対象領域を減らし、セキュリティ態勢を強化し、今後の攻撃を防ぐのに役立つセキュリティ推奨事項を提供します。
- 答をトリガーする:このセキュリティ アラートへの応答としてロジック アプリをトリガーするオプションを提供します。
- アラートを抑制する:組織に関係のないアラートの場合、特徴が似ているアラートが今後発生しないようにするオプションを提供します。