Azure ランディング ゾーンでセキュリティを設計する
この設計領域により、Azure、ハイブリッド、マルチクラウド環境全体のセキュリティの基盤が形成されます。 この基盤は、クラウド導入フレームワーク のセキュリティで保護された手法で説明されているセキュリティ ガイダンスにより後から強化できます。
設計領域のレビュー
関連するロールまたは機能: この設計領域は、クラウドセキュリティ、具体的にはそのチーム内のセキュリティ アーキテクトによって主導されます。 ネットワークと ID の決定をレビューするには、クラウド プラットフォームとクラウドのセンター オブ エクセレンスが必要です。 この演習から得た技術面の要件を定義して実装するには、ロールの共同体が必要になる場合があります。 より高度なセキュリティ ガードレールでは、クラウド ガバナンスからのサポートも必要になる場合があります。
スコープ: この演習の目的は、セキュリティ要件を理解し、クラウド プラットフォーム内のすべてのワークロードにわたって一貫して実装することです。 この演習の主なスコープとして、セキュリティ運用ツールとアクセスの制御に焦点を当てています。 このスコープには、ゼロ トラストと高度なネットワーク セキュリティが含まれます。
スコープ外: この演習では、クラウド内の最新のセキュリティ オペレーション センターの基礎に焦点を当てています。 会話を効率化するために、この演習では、CAF のセキュリティで保護された手法の一部の規範に対応しません。 セキュリティ運用、資産保護、イノベーション セキュリティは、Azure ランディング ゾーンのデプロイを基盤とします。 ただし、この設計領域に関する説明では、スコープ外です。
設計領域の概要
セキュリティは、すべての環境のすべてのお客様に対する主要な考慮事項です。 Azure ランディング ゾーンを設計して実装する場合は、プロセス全体を通じてセキュリティを考慮する必要があります。
セキュリティ設計領域では、ランディング ゾーンの決定に関する考慮事項と推奨事項に焦点を当てます。 また、クラウド導入フレームワークのセキュリティで保護された手法によっても、包括的なセキュリティ プロセスとツールに関する詳細なガイダンスが提供されます。
新しい (グリーンフィールド) クラウド環境: 小規模なサブスクリプションのセットでクラウド体験を開始するには、「Azure の初期サブスクリプションを作成する」を参照してください。 また、Azure ランディング ゾーンを構築する際には、Bicep デプロイ テンプレートを使用することを検討してください。 詳細については、Azure ランディング ゾーン Bicep - デプロイ フローに関するページを参照してください。
既存の (ブラウンフィールド) クラウド環境: セキュリティ設計領域の原則を既存の Azure 環境に適用する場合は、次の Microsoft Entra ID およびアクセス サービスを使用することを検討してください。
- Microsoft のAzure のセキュリティに関する上位 10 件のベスト プラクティスを利用します。 このガイダンスは、Microsoft クラウド ソリューション アーキテクト (CSA) と Microsoft パートナーからのフィールドで実績のあるガイダンスをまとめたものです。
- Microsoft Entra Connect クラウド同期をデプロイして、ローカル Active Directory Domain Services (AD DS) ユーザーに、Microsoft Entra ID 対応アプリケーションへのセキュリティで保護されたシングル サインオン (SSO) を提供します。 ハイブリッド ID を構成するもう 1 つの利点は、Microsoft Entra 多要素認証と Microsoft Entra のパスワード保護を適用して、これらの ID をさらに保護できることです
- クラウド アプリと Azure リソースに対して提供されるセキュリティで保護された認証に対する Microsoft Entra 条件付きアクセスを検討してください。
- Microsoft Entra Privileged Identity Management を実装して、Azure 環境全体で最小特権のアクセスと詳細なレポートを確保します。 チームは、適切なユーザーとサービスの原則が最新かつ正しい承認レベルを持っていることを確認するために、定期的なアクセス レビューを開始する必要があります。
- Microsoft Defender for Cloud の推奨事項、アラート、修復の機能を利用します。 セキュリティ チームは、より堅牢で一元管理されたハイブリッドおよびマルチクラウド セキュリティ情報イベント管理 (SIEM)/セキュリティ オーケストレーションと応答 (SOAR) ソリューションが必要な場合に、Microsoft Defender for Cloud を Microsoft Sentinel に統合することもできます。
Azure ランディング ゾーン Bicep - デプロイ フローのリポジトリには、グリーンフィールドとブラウンフィールドの Azure ランディング ゾーン デプロイを高速化できる多数の Bicep デプロイ テンプレートが含まれています。 これらのテンプレートには、Microsoft の実証済みのセキュリティ ガイダンスが既に統合されています。
ブラウンフィールド クラウド環境での作業の詳細については、「Brownfield 環境に関する考慮事項」を参照してください。
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマークには、Azure で使用するほとんどのサービスをセキュアに保護するうえで役立つ、影響力の高いセキュリティ関連の推奨事項が含まれています。 これらの推奨事項は、ほとんどの Azure サービスに適用できるため、一般的または組織的と考えることができます。 Microsoft クラウド セキュリティ ベンチマークの推奨事項はさらに、Azure の各サービスごとにカスタマイズされています。 このカスタマイズされたガイダンスは、サービスの推奨事項に関する記事に含まれています。
Microsoft クラウド セキュリティ ベンチマークのドキュメントには、セキュリティ コントロールとサービスの推奨事項が規定されています。
- セキュリティ コントロール: Microsoft クラウド セキュリティ ベンチマークの推奨事項は、セキュリティ コントロール別に分類されています。 セキュリティ コントロールは、ネットワーク セキュリティやデータ保護など、ベンダーに依存しない高度なセキュリティ要件を表します。 各セキュリティ コントロールには、これらのレコメンデーションを有効にするための一連のセキュリティに関する推奨事項と指示内容があります。
- サービスの推奨事項: Azure のサービスに対するベンチマークのレコメンデーションが利用できる場合、そこにはそのサービスに合わせて調整された Microsoft クラウド セキュリティ ベンチマークの推奨事項が含まれます。
セキュリティの設計上の考慮事項
組織は、技術的なクラウド資産内で何が起こっているかを把握する必要があります。 Azure プラットフォーム サービスのセキュリティの監視と監査ログは、スケーラブルなフレームワークの主要コンポーネントです。
セキュリティ運用の設計上の考慮事項
| Scope | Context |
|---|---|
| セキュリティのアラート | - どのチームがセキュリティ アラートの通知を必要としますか? - アラートが異なるチームへのルーティングを必要とするサービスのグループはありますか? - リアルタイムの監視とアラートのビジネス要件。 - セキュリティ情報とイベント管理の Microsoft Defender for Cloud および Microsoft Sentinel との統合。 |
| セキュリティ ログ | - 監査データのデータ保持期間。 Microsoft Entra ID P1 または P2 レポートには、30 日間の保持期間があります。 - Azure アクティビティ ログ、仮想マシン (VM) ログ、サービスとしてのプラットフォーム (PaaS) ログなどのログの長期アーカイブを設定します。 |
| セキュリティ コントロール | - Azure のゲスト内 VM ポリシーによるベースライン セキュリティ構成。 - セキュリティ コントロールがガバナンス ガードレールとどのように一致しているか検討します。 |
| 脆弱性の管理 | - 重大な脆弱性に対する緊急パッチ。 - 長期間オフラインである VM のパッチ。 - VM の脆弱性評価。 |
| 共同責任 | - チームの責任のハンドオフはどこですか? これらの責任には、セキュリティ イベントを監視または対応する際に考慮する必要があります。 - セキュリティ運用向けのセキュリティで保護された手法のガイダンスを検討してください。 |
| 暗号化とキー | - 環境でキーにアクセスする必要があるのは誰ですか? - キーを管理する責任者は誰ですか? - 暗号化とキーの詳細を確認します。 |
セキュリティ運用の設計に関する推奨事項
- Microsoft Entra ID レポート機能を使用してアクセス制御の監査レポートを生成します。
- 長期的なデータ保持のために、Azure アクティビティ ログを Azure Monitor ログにエクスポートします。 必要に応じて、2 年以上の長期間保存する場合は、Azure Storage にエクスポートします。
- すべてのサブスクリプションに対して Defender for Cloud Standard を有効にし、Azure Policy を使用してコンプライアンスを確保します。
- Azure Monitor ログと Microsoft Defender for Cloud を使用して、基本オペレーティング システムのパッチ ドリフトを監視します。
- Azure ポリシーを使用して、VM 拡張機能を介してソフトウェア構成を自動的にデプロイし、準拠するベースライン VM 構成を適用します。
- Azure Policy を介して VM セキュリティ構成のドリフトを監視します。
- 一元化された Azure Monitor Log Analytics ワークスペースに既定のリソース構成を接続します。
- ログ指向のリアルタイム アラートに Azure Event Grid ベースのソリューションを使用します。
アクセスの制御の設計に関する考慮事項
最新のセキュリティ境界は、従来のデータセンターの境界よりも複雑です。 データセンターの 4 つの壁に、資産が含まれることはなくなりました。 ユーザーを保護されたネットワークから排除し続けることは、アクセスを制御するのに十分ではなくなりました。 クラウドでは、境界はネットワーク セキュリティ制御とゼロ トラスト アクセス制御の 2 つの部分で構成されます。
高度なネットワークセキュリティ
| Scope | Context |
|---|---|
| 受信と送信のインターネット接続を計画する | パブリック インターネットに対する受信接続と送信接続に対して推奨される接続モデルについて説明します。 |
| ランディング ゾーンのネットワーク セグメント化を計画する | ランディング ゾーン内で高度にセキュリティ保護された内部ネットワーク セグメント化を提供する場合の主な推奨事項について説明します。 これらの推奨事項は、ネットワークのゼロ トラスト実装を推進します. |
| ネットワーク暗号化の要件を定義する | オンプレミスと Azure の間、および Azure リージョン間で、ネットワーク暗号化を実現するための主な推奨事項について説明します。 |
| トラフィックの検査を計画する | Azure Virtual Network 内のトラフィックをミラーリングまたはタップするときの主な考慮事項と推奨される方法について説明します。 |
ゼロ トラスト
- ランディング ゾーン内のサービスへのアクセスが必要なチームまたは個人はどれですか? どのようなロールを実行していますか?
- アクセス要求を承認する必要があるのは誰ですか?
- 特権ロールがアクティブ化されると、通知を受け取る必要があるのは誰ですか?
- 監査履歴にアクセスできる必要があるのは誰ですか?
詳細については、「Microsoft Entra Privileged Identity Management」を参照してください。
アクセスの制御の設計に関する推奨事項
- 必要な各サービスの共同検査は、基になる要件のコンテキスト内で行います。 独自のキーを持ち込む場合、考慮されているすべてのサービスでこの点がサポートされていない可能性があります。 不整合によって意図した結果が妨げられないように、関連する軽減策を実装します。 待機時間を最小限に抑える適切なリージョン ペアとディザスター リカバリー リージョンを選択します。
- セキュリティの構成、監視、アラートなどのサービスを評価するためのセキュリティ許可リスト計画を策定します。 次に、既存のシステムと統合するための計画を作成します。
- 実稼働に移行する前に、Azure サービスのインシデント対応計画を決定します。
- セキュリティ要件を Azure プラットフォームのロード マップに合わせて、新しくリリースされたセキュリティ コントロールを現在の状態に保ちます。
- 必要に応じて、Azure プラットフォームにアクセスするためのゼロ トラスト アプローチを実装します。
Azure ランディング ゾーン アクセラレータのセキュリティ
セキュリティは、Azure ランディング ゾーン アクセラレータの中核です。 実装の一部として、多くのツールとコントロールが展開され、組織がセキュリティ ベースラインを迅速に実現するのに役立ちます。
たとえば、次のものが含まれます。
ツールでの操作 :
- Microsoft Defender for Cloud、Standard または Free レベル
- Microsoft Sentinel
- Azure DDoS ネットワーク保護 (任意)
- Azure Firewall
- Web アプリケーション ファイアウォール (WAF)
- Privileged Identity Management (PIM)
オンラインおよび企業に接続されたランディング ゾーンのポリシー:
- セキュリティで保護されたアクセス (HTTPS など) をストレージ アカウントに適用する
- Azure SQL Database の監査を適用する
- Azure SQL Database の暗号化を適用する
- IP 転送を禁止する
- インターネットからの受信 RDP を禁止する
- サブネットが NSG に関連付けられていることを確認する