2021 年の Microsoft Azure セキュリティのベスト プラクティス
Azure サービスにはさまざまな種類があるため、万能のセキュリティ "レシピ" では、セキュリティ体制を確実に最適化することはできません。 ただし、Azure のさまざまな側面をより具体的なカテゴリに分類すると、実装できる実用的なベスト プラクティスが見つかります。 これらのカテゴリと、その結果として得られる Azure のセキュリティのベスト プラクティスを見てみましょう。
しかし、その前に、前提条件として、責任共有モデルと最小特権の原則があります
特定の Azure セキュリティのベスト プラクティスに飛び込む前に、プラットフォーム上の基本的なセキュリティ パラダイムである Azure の 責任共有モデルを理解してください。
つまり、責任共有モデルとは、Microsoft がクラウドのセキュリティに責任を持ち、クラウドのセキュリティに責任を持つことを意味します。この 2 つの境界点は、特定の製品タイプによって異なります。 たとえば、SaaS アプリの場合、Microsoft はオペレーティング システムのセキュリティを担当します。 ただし、サービスとしてのインフラストラクチャ (IaaS) 製品では、オペレーティング システムのセキュリティに責任があります。 Azure インフラストラクチャの境界線がどこにあるかを理解することは必須です。
さらに、すべての場合において、 最小特権の原則に従う必要があります。 最小特権の原則を実装する 方法は 、ワークロードとアプリによって異なりますが、ユーザー、デバイス、アプリ、サービスに必要なアクセス権のみを付与し、それ以上のアクセス権は付与しないという考え方は変わりません。 たとえば、Azure データベースでは、すべてのユーザーにデータベース全体への読み取りアクセス権を付与するのではなく、行レベルのセキュリティを使用して、データベース行へのアクセスを制限できますし、そうすべきです。
Azure セキュリティのベスト プラクティスのチェックリスト
前提条件がわかったところで、チェックリストに飛び込んでいきましょう。 Azure の個々の側面を確認し、チームが監査できる具体的な実行可能な項目を提供します。
暗号化とデータセキュリティ
データ侵害は、セキュリティ体制に対する最大の脅威の1つです。 したがって、暗号化とデータセキュリティを正しく行うことは必須です。 このチェックリストは、正しい道を歩んでいることを確認するのに役立ち、機密データを使用、送信、または格納する Azure のすべての領域に適用されます。
- すべての機密情報を特定します。 運用とコンプライアンスの観点から、インフラストラクチャで送信または保存されるすべての機密データを特定する必要があります。 そうすることで、適切なセキュリティとコンプライアンスを実現する方法を適切に決定できます。
- 保存データを暗号化します。 これはデータセキュリティ101です。 すべての保存データに最新の暗号化プロトコルと安全なデータ保存方法を使用します。
- 転送中のデータを暗号化します。 保存データの暗号化が必須であるのと同様に、転送中のデータの暗号化も必須です。 データがインターネットを通過していない場合でも、暗号化します。
- バックアップとディザスター リカバリー (DR) 計画を立てます。 ランサムウェアやその他のマルウェアの被害に遭った場合、バックアップとDR計画は大きな違いを生む可能性があります。 堅牢なバックアップと DR の計画は、Azure のセキュリティに必須です。
- キー管理ソリューションを使用します。 Azure Key Vault などのソリューションを使用すると、キー、シークレット、証明書を安全に管理できます。
- 管理ワークステーションを強化します。 安全でないワークステーションから機密データにアクセスすることは、大きなリスクです。 機密データを格納するシステムにアクセスして管理できるのは、強化されたワークステーションのみであることを確認します。
- Azure Information Protection を使用します。 Azure Information Protection を使用すると、機密データを完全に可視化し、制御を実装し、安全な共同作業を簡単に行うことができます。 これを使用すると、全体的なデータセキュリティの取り組みをより簡単かつ効果的に行うことができます。
ストレージとデータベースのセキュリティ
データベースをセキュリティで保護することは、全体的なセキュリティ体制の重要な要素です。 さらに、多くの場合、コンプライアンスの観点から必須です。 ここでは、Azure のデータベース セキュリティから始める必要があります。
- データベースとストレージへのアクセスを制限します。 ファイアウォールとアクセス制御を使用して、データベースとストレージ BLOB に対するユーザー、デバイス、サービスのアクセス レベルを制限します。
- 監査を活用します。 Azure データベースの監査を有効にします。 これにより、すべてのデータベースの変更を可視化できます。
- Azure SQL の脅威検出を構成します。 Azure SQL を使用する場合は、脅威検出をアクティブ化すると、セキュリティの問題をより迅速に特定し、滞留時間を制限するのに役立ちます。
- Azure Monitor でログ アラートを設定します。 単にイベントを記録するだけでは十分ではありません。 Azure Monitor のセキュリティ関連のイベントに対してアラートを送信して、問題を迅速に (可能な場合は自動的に) 修復できるようにしてください。
- ストレージ アカウントに対して Azure Defender を有効にします。 Azure Defender を使用すると、Azure ストレージ アカウントを強化およびセキュリティで保護できます。
- 論理的な削除を使用します。 論理的な削除は、悪意のあるアクター (またはユーザー エラー) によって保持したいデータが削除された場合に、データを (14 日間) 取得できるようにするのに役立ちます。
- Shared Access Signature (SAS) を使用します。 SASでは、きめ細かなアクセス制御と、データへのクライアントアクセスに対する時間制限を実装できます。
ワークロードと仮想マシンの保護
Azure のセキュリティのベスト プラクティス チェックリストのこのセクションでは、仮想マシンとその他のワークロードについて説明します。 Azure でリソースを保護するのに役立つベスト プラクティスは他にもいくつかあります。
- 多要素認証 (MFA) と複雑なパスワードを適用します。 MFA は、資格情報が侵害される脅威を制限するのに役立ちます。 複雑なパスワードは、ブルートフォースパスワード攻撃の効果を減らすのに役立ちます。
- Just-In-Time (JIT) 仮想マシン アクセスを使用します。 JIT アクセスは NSG と Azure ファイアウォールと連携し、仮想マシンへのアクセスにロールベースのアクセス制御 (RBAC) と時間バインドを階層化するのに役立ちます。
- パッチ プロセスを実施します。 ワークロードにパッチを適用していない場合、他のすべての努力は無駄になる可能性があります。 パッチが適用されていない脆弱性が 1 つでも侵害につながる可能性があります。 オペレーティング システムとアプリケーションを最新の状態に保つためのパッチ プロセスは、このリスクを軽減するのに役立ちます。
- 管理ポートをロックダウンします。 どうしても必要な場合を除き、SSH、RDP、WinRM、およびその他の管理ポートへのアクセスを制限します。
- Azure ファイアウォールとネットワーク セキュリティ グループ (NGS) を使用して、ワークロードへのアクセスを制限します。 最小特権の原則に従って、NSG と Azure ファイアウォールを使用してワークロード アクセスを制限します。
クラウド向けのネットワーク セキュリティ
ネットワーク セキュリティは、Azure ワークロードをセキュリティで保護するための重要な側面です。 クラウド ネットワークで留意すべき Azure のセキュリティのベスト プラクティスを次に示します。
- 転送中のデータを暗号化します。 暗号化とデータセキュリティのセクションで述べたように、転送中(および保存中)のデータの暗号化は必須です。 すべてのネットワークトラフィックに最新の暗号化プロトコルを活用します。
- ゼロトラストを実装します。 既定では、明示的な許可規則がない限り、ネットワーク ポリシーはアクセスを拒否する必要があります。
- 開いているポートとインターネットに接続するエンドポイントを制限します。 ポートが開いている、またはワークロードがインターネットに接続されているビジネス上の理由が明確に定義されていない限り、それを発生させないでください。
- デバイスのアクセスを監視します。 ワークロードとデバイスへのアクセスを監視する ( SIEM や Azure Monitor を使用するなど) と、脅威を事前に検出するのに役立ちます
- ネットワークをセグメント化します。 論理ネットワーク セグメンテーションは、可視性の向上、ネットワークの管理の容易化、侵害発生時の East-West の移動の制限に役立ちます。
コンプライアンス
コンプライアンスの維持は、Azure クラウドのセキュリティの最も重要な側面の 1 つです。 ここでは、そのための推奨事項をご紹介します。
- コンプライアンス目標を定義します。 コンプライアンスの観点から、どのようなデータとワークロードがスコープ内にありますか? どのような規格や規制(例: PCI-DSS、ISO 27001、HIPAA)は組織に関連していますか? これらの質問に明確に答え、コンプライアンス目標を定義することは必須です。
- 代わりに、 Azure Security Center の規制コンプライアンス ダッシュボードと Azure セキュリティ ベンチマーク。Azure Security Center のコンプライアンス ダッシュボードは、さまざまな標準に基づくコンプライアンスの達成にどの程度近づいているかを特定するのに役立ちます。 Azure セキュリティ ベンチマークでは、完全なコンプライアンスに近づくために従うことができる推奨事項が提供されます。 これらのツールを使用すると、クラウドでのコンプライアンスを簡素化できます。
Check Point Unified クラウドセキュリティ アプローチによる Azure セキュリティの向上
ご覧のとおり、Azure クラウドでセキュリティを実現するには、多くのことが必要です。 企業がプロセスを合理化し、クラウドセキュリティのベスト プラクティスを大規模に実装できるように、 チェック・ポイントの統合クラウドセキュリティ アプローチを開発しました。 その統一されたアプローチの原則に基づいて、 チェック・ポイント CloudGuard は、これらのクラウドセキュリティのベスト・プラクティスの実装を支援する理想的なツールです。
Azure のセキュリティとチェック・ポイントがどのように役立つかについては、無料のホワイトペーパー「 高度な脅威の時代における自信を持ってクラウドを実現する 」をダウンロードして、次のことを学びましょう。
- マルチクラウド環境を大規模に保護する方法
- クラウドの可視性を向上させる方法
- 異なるデプロイメント間でコンプライアンスを維持する方法
また、現在のクラウドセキュリティ体制を評価したい場合は、 無料のセキュリティ診断にサインアップしてください。 検査後、マルウェア感染の数、エンドポイントやスマートデバイスへの脅威、ボット攻撃や侵入の試み、リスクの高いアプリケーションの使用、機密データの損失などの項目を詳述した包括的なレポートを受け取ります。