Azure Secure のクラウド導入フレームワーク手法は、Azure クラウド資産をセキュリティで保護するための構造化されたアプローチを提供します。 この概要では、クラウド導入フレームワークのすべての手法フェーズに適用されるセキュリティ ガイダンスについて説明します。 セキュリティは、戦略、計画、準備、導入、ガバナンス、運用に及びます。すべてのフェーズのギャップは全体的な姿勢を弱めます。 すべてのフェーズで保護、検出、回復性が強化されるように、セキュリティで保護された手法をエンド ツー エンドで適用する必要があります。
セキュリティ体制の最新化
セキュリティ体制の最新化は、防御、検出、回復性の機能の継続的な昇格です。 この最新化は、進化する攻撃者のトレードクラフトに対して静的制御が急速に低下するため、ここで重要です。 最新化作業を Microsoft ゼロ トラスト導入フレームワーク に合わせ、ゼロ トラストの機能強化を使用して各フェーズ タスクを強化する必要があります。
ID の強化、セグメント化、Just-In-Time および最小限の特権アクセス、脅威検出のチューニング、データ保護、プラットフォーム ベースラインの自動化をランディング ゾーンと運用に統合します。 測定可能なリスク削減 (公開された特権、安全でない構成、監視されていない資産など) に基づいて最新化スプリントに優先順位を付けます。 Microsoft Defender for Cloud のポリシー、コードとしてのインフラストラクチャ、継続的なコンプライアンス スキャン、セキュリティ スコア追跡を使用して検証を自動化します。
インシデントの準備と対応
インシデントの準備と対応は、攻撃者のドウェル時間とビジネスの中断を制限する主要な制御層を形成します。 成熟した予防制御であっても侵入試行を排除できないため、この機能は重要です。 準備、検出、トリアージ、封じ込め、根絶、復旧、インシデント後の学習をカバーするエンドツーエンドのインシデント ライフサイクルを実装し、継続的に改善する必要があります。
ロール、コミュニケーション チャネル、証拠処理、意思決定機関を体系化します。 インストルメントのテレメトリデータの取り込みとアラートの精度を改善し、誤検知を削減、平均検出時間 (MTTD) の短縮を図ります。 Azure インシデント対応ガイダンスを使用して、Runbook を調整し、テーブルトップ シミュレーションを実践し、オーケストレーションされたワークフローを通じて封じ込めアクション (ホストの分離、トークンの取り消し、ストレージの検疫など) を自動化します。
CIA トライアドの原則を採用する
CIA Triad の原則 (機密性、整合性、可用性) は、包括的な情報保護のための簡潔なモデルを提供します。 このモデルは、単一の原則のギャップが連鎖的な弱点を生み出すので、ここで重要です。 各フェーズの各原則に、コントロール、プロセス、テレメトリ、メトリックを明示的にマップする必要があります。
- 機密性は機密 データへのアクセスを制限します。暗号化、キー管理、ID、アクセス ポリシー、ネットワークのセグメント化、およびデータ分類の制御によって適用されます。
- 整合性により 、データの正確性と完全性が維持されます。ハッシュ、署名、不変ストレージ パターン、バージョン管理、セキュリティで保護された更新プログラムのサプライ チェーンにより、信頼できる状態が適用されます。
- 可用性により 、サービスとデータへのタイムリーなアクセスが維持されます。冗長性の設計、障害ドメインの分離、自動スケーリング、正常性プローブ、カオス テスト、バックアップ、ディザスター リカバリー オーケストレーションはアクセシビリティを維持します。
トライアドをドライブに適用します。
- データ保護: 秘密度ラベルと暗号化コントロールを機密性のリスクにマップします。
- ビジネス継続性: 運用を維持するために、整合性と可用性のセーフガードを設計します。
- 利害関係者の信頼度: 監査とコンプライアンス レポートの各原則に対する測定可能な準拠を示します。
各記事では、機密性、整合性、可用性に対処するタスクを示しているため、これらの原則を戦略、設計、構築、ガバナンス、運用に埋め込むことができます。
セキュリティ体制の維持
セキュリティ体制の維持は、コントロールの有効性を測定、改善、検証する規範的なサイクルです。 脅威アクターが迅速に反復し、静的防御が関連性を失うため、この持続性が重要です。 定期的な評価、優先順位付けされた修復、自動化の制御、証拠ベースのレポートを制度化する必要があります。
Microsoft Defender for Cloud で セキュリティ スコアのセキュリティコントロール を追跡してギャップを定量化し、リスクベースのメトリック (高い特権の ID や暗号化されていない機密ストアの公開など) と組み合わせています。 ポリシー、構成基準、デプロイ パイプラインを使用してドリフト検出を自動化します。 インシデントの振り返りと脅威インテリジェンスをバックログの絞り込みへとフィードし、姿勢の変化がライブ敵対者の行動に合わせて調整されるようにします。
クラウド セキュリティ チェックリストを使用する
クラウド セキュリティ チェックリストは、セキュリティで保護された手法を実行するための統合ナビゲーションと追跡の支援です。 このチェックリストが重要なのは、省略のリスクが軽減され、オンボードが高速化され、監査の準備がサポートされるためです。 これを、権限のあるタスク レジスタとしてチーム作業契約と進行状況レビューに統合する必要があります。