まとめ

このモジュールでは、一般的に使用される Azure サービスのベースライン セキュリティ チェックリストを作成するために、多くのことを説明しました。 説明した内容を簡単に確認しましょう。

• Microsoft Defender for Cloud を有効にします。無料です。 Azure サブスクリプションをアップグレードして、Microsoft Defender for Cloud を有効にします。 Defender for Cloud の強化されたセキュリティ機能は、次の場合に役立ちます。

  • セキュリティの脆弱性を検出して修正する。
  • 悪意のあるアクティビティをブロックするため、アクセスとアプリケーションの制御を適用する。
  • 分析とインテリジェンスを使用して脅威を検出する。
  • 攻撃を受けたときに迅速に対応する。

• Center for Internet Security (CIS) ベンチマークを採用します。 既存のテナントにベンチマークを適用します。

• 新しいワークロードには CIS VM を使用します。 Azure Marketplace で CIS 強化された VM イメージを取得します。

• キーとシークレットを ( ソース コードではなく) Azure Key Vault に格納します。 Key Vault はパスワード、データベース資格情報、API キー、証明書を含むすべてのシークレット型をサポートするように設計されています。

• Web アプリケーション ファイアウォールをインストールします。 Web アプリケーション ファイアウォール (WAF) は、一般的な悪用や脆弱性から Web アプリケーションを一元的に保護する Azure Application Gateway の機能です。 サード パーティも、Azure でサポートされる WAF を提供しています。

• 特に管理者アカウントに対して、ユーザーに多要素検証を適用します。 Microsoft Entra ユーザーの多要素認証は、管理者が複数の認証方法を要求することで、組織とユーザーを保護するのに役立ちます。

• 仮想ハード ディスク ファイルを暗号化します。 暗号化は、ブート ボリュームとストレージに保存されているデータ ボリュームに加え、暗号化キーとシークレットを保護するのに役立ちます。

• Azure 仮想ネットワークに配置して、Azure VM とアプライアンスを他のネットワーク デバイスに接続します。 Azure 仮想ネットワークに接続された仮想マシンは、同じ仮想ネットワーク上、異なる仮想ネットワーク上、インターネット上、または独自のオンプレミス ネットワーク上のデバイスに接続できます。

実装する運用上強力なセキュリティ プラクティス

次の強力な運用上のセキュリティ プラクティスを毎日実践します。

• VM の更新プログラムを管理します。 Azure VM は、すべてのオンプレミスの VM と同じように、ユーザーによって管理されることを意図しています。 Azure では、それらの VM に対して Windows 更新プログラムをプッシュしません。 修正プログラムの管理やバックアップなどの重要な操作に対して、安定したプロセスを確実に用意します。

• パスワード管理を有効にします。 適切なセキュリティ ポリシーを使用して不正使用を防止します。

• ワークロード保護ダッシュボードを定期的に確認します。 すべての Azure リソースのセキュリティ状態を一元的に把握し、推奨事項に対処します。

参考資料

このモジュールで説明されているトピックの詳細については、 CIS Microsoft Azure Foundations セキュリティ ベンチマークに関するページを参照してください。