Microsoft Azure セキュリティ概要 (2)

Microsoft Defender for Cloud は、クラウド構成全体に渡って弱点を抽出し、環境における全体的なセキュリティ体制を強化し、増大する脅威からマルチクラウドとハイブリッド環境全体に渡ってワークロードを保護できる Cloud Security Posture Management (CSPM) および Cloud Workload Protection Platform (CWPP) です。

• クラウドリソースのセキュリティの構成をアセスメントし、強化する

• 重大かつ不可欠な業界基準、および規制基準に対するコンプライアンスを管理する

• Azure、AWS、Google Cloud Platform、そしてオンプレミスで実行されているワークロードの脅威対策を有効にする

• 悪意のある攻撃からマルチ クラウド ハイブリッド ワークロードを保護するために、脆弱性を検出する

Microsoft Defender for Cloud のアセットインベントリ ページには、Defender for Cloud に接続したリソースのセキュリティ態勢を１つのページに表示します。これにより、リスクの高いリソースを特定することが可能です。クラウドの資産インベントリについては「クラウドの資産インベントリ用 Microsoft Defender」をご参照ください。

ネットワークのセキュリティ状態を継続的に監視するために Defender for Cloud に用意されている最も強力なツールの 1 つとして、ネットワーク マップがあります。 このマップを使用すると、ワークロードのトポロジを確認できるため、各ノードが正しく構成されているかどうかを確認できます。

ノードがどのように接続されているかを確認できます。これにより、攻撃者がネットワークに侵入しやすくなる可能性がある望ましくない接続をブロックすることができます。ネットワーク セキュリティにつきましては、「Protecting your network resources in Microsoft Defender for Cloud」をご参照ください。

Defender for Cloud では、真の脅威を検出し、誤検知を減らすために、Azure のリソースやネットワークから、ログ データを収集し、分析、統合します。 Defender for Cloud には、シグネチャ ベースの手法とは比較にならない高度なセキュリティ分析が採用されています。

ビッグ データや 機械学習 における革新的テクノロジを活かし、クラウド ファブリック全体にわたってイベントが評価されるので、手作業に頼った手法や攻撃の進化を予測する手法では特定できない脅威でも検出することができます。

Azure Resource Manager は、Azure のデプロイおよび管理サービスです。 組織内のリソース管理操作は、その手段が Azure portal や Azure REST API、Azure CLI の場合でも、その他 Azure のプログラマティック クライアントの場合でも、Microsoft Defender for Resource Manager によって自動的に監視されます。 Defender for Cloud は高度なセキュリティ分析を実行して脅威を検出し、不審なアクティビティについてアラートを生成します。

Azure Resource Manager のセキュリティの概要につきましては、「Microsoft Defender for Resource Manager - the benefits and features」をご参照ください。

Microsoft Defender for Cloud のワークフロー自動化機能は、 セキュリティ アラートや推奨事項、および規制コンプライアンスへの変更があったときに Logic Apps をトリガーできます。 例えば、アラートが発生したときに、ユーザーに特定のユーザーを電子メールで送信することができます。 

トリガー条件の項目：
以下のデータとそのアラートや推奨事項名、重要度を指定することが可能です。

• セキュリティ アラート

• 推奨事項

• 規制コンプライアンス

操作：
トリガー条件に合致した際に実行されるロジックアプリを指定することが可能です。Logic Apps を使用して実行する操作を定義します。

Microsoft Defender for Cloud のワークフロー自動化機能につきましては、「Microsoft Defender for Cloud でのワークフローの自動化」をご参照ください。

Defender for Cloud は、サブスクリプション単位で有効にします。管理するサブスクリプションが同一テナント内に複数存在する場合、Microsoft Sentinel にアラートを集約して管理することが可能です。

ハブ仮想ネットワークは、多くのスポーク仮想ネットワークに接続するための中心的なポイントとして機能します。 ハブは、オンプレミス ネットワークへの接続ポイントとしても使用できます。 スポーク仮想ネットワークはハブとピアリングし、ワークロードを分離するために使用できます。

ハブスポーク モデルには、実装する必要があるコンポーネントがいくつかあります。

• ハブ仮想ネットワーク
• スポーク仮想ネットワーク
• ネットワーク・セキュリティグループ
• 仮想ネットワーク ピアリング
• Azure Bastion
• Azure Firewall
• VPN 仮想ネットワーク ゲートウェイまたは ExpressRoute ゲートウェイ
• VPN デバイス

Azure Private Link を使用すると、お使いの仮想ネットワーク内のプライベートエンドポイント経由で Azure PaaS サービス (Azure Storage、SQL Database など) と Azure でホストされている顧客所有の、またはパートナー サービスにアクセスできます。

仮想ネットワークとサービスの間のトラフィックは、Microsoft のバックボーン ネットワークを通ります。 パブリック インターネットにサービスを公開する必要はありません。 プライベート エンドポイントでは、仮想ネットワークのプライベート IP アドレスが使用されます。 Private Link の概要につきましては「Azure Private Link とは | Microsoft Docs」をご参照ください。

Azure 上のリソースをインターネットへ公開する場合のセキュリティ対策として、外部からの接続を DDoS、WAF、次世代 Firewall を利用した境界防御が有効です。また、Azure のペストプラクティスへの対応状況や各リソース側での脅威分析を Defender for Cloud を使用して監視します。ネットワークセキュリティソリューションのログ分析では Microsoft Sentinel が利用可能です。

Azure の内部リソースから外部へのデータ流出や意図しない外部接続を防ぐために、アウトバウンドの通信制御が重要です。次世代 Firewall の Azure Firewall Premium やセキュリティベンダーが提供する Network Virtual Appliance による制御が可能です。

• Azure Firewall - Web カテゴリ、URLフィルタリングによる制御、不正なIP、ドメインの制御、IDPS による脅威防御、TLS 通信の復号
• Network Virtual Appliance – IPS / URL Filtering / Antivirus / Antispyware 等の機能を提供

Azure 上で稼働している開発環境やデータ分析基盤等で利用している仮想マシンへのアクセスは、Azure Bastion を経由したアクセスを推奨します。

監査目的等でアクセス履歴などの分析、保持が必要な環境は、システムは、対象のログを Microsoft Sentinel に格納することが可能です。

NSG による制御、または Private Link を使用してインターネットに出ずに PaaS、IaaS に接続することで、リソース間の通信を必要なものだけに制限することを推奨します。

ネットワーク セキュリティに関するベストプラクティスにつきましては「ネットワーク セキュリティのベスト プラクティス - Microsoft Azure | Microsoft Docs」をご参照ください。

Azure のネットワーク セキュリティ グループ (NSG) を使用すると、Azure 仮想ネットワーク内の Azure リソースによって送受信されるネットワーク トラフィックをフィルター処理できます。

Azure アプリケーションセキュリティグループ (ASG) は、アプリケーションの構造の延長としてネットワークセキュリティを構成することで、NSG の構成と管理を簡素化します。ASG を使用すると、VM をグループ化し、これらのグループに基づいてネットワーク セキュリティ ポリシーを定義することができます。

ネットワーク セキュリティ グループの概要につきましては「Azure ネットワーク セキュリティ グループの概要 | Microsoft Docs」をご参照ください。

Azure Firewall Standard

Azure Firewall は、クラウドベースのファイアウォール サービスです。 Azure Firewall は、ほとんどの構成で、ハブ仮想ネットワーク内にプロビジョニングされます。 スポーク仮想ネットワークとオンプレミスネットワークとの間のトラフィックは、ハブ ネットワークがあるファイアウォールを通過します。

Azure Firewall Standard は、送信元 NAT、宛先 NAT、ネットワークルール、アプリケーションルール、脅威インテリジェンス、強制トンネリングの機能を提供します。これらの機能を活用し、外部への通信、仮想ネットワーク間の通信、オンプレミスネットワーク間の通信を制御します。

Azure Firewall Standard の概要につきましては「Azure Firewall Standard の機能 | Microsoft Docs」をご参照ください。

Azure Firewall Manager は、複数の Azure Firewall インスタンスを 1 か所から構成し、管理することができます。 Azure Firewall Manager を使用すると、1 つ以上のファイアウォール ポリシーを作成して複数のファイアウォールにすばやく適用できます。

次の 2 種類のネットワーク アーキテクチャのセキュリティ管理機能を備えています。

• セキュリティ保護付き仮想ハブ
• ハブ仮想ネットワーク

Azure Firewall Manager の概要につきましては「Azure Firewall Manager とは | Microsoft Docs」をご参照ください。

Azure DDoS Protection Standard は、DDoS 攻撃から保護するための強化された DDoS 軽減機能を提供します。このサービスには以下の特徴があります。

• チューニングが不要な自動軽減機能
• DDoS 攻撃によりスケールしたリソースのコストの保証
• DDoS インシデント発生時の迅速な対応のサポート
• WAF 機能の無償化 (App Gatewayで利用されている WAF 料金の免除)
• DDoS インシデントは Azure データセンター内で攻撃の軽減が行われる

その他、DDoS Protection Standard の機能につきましては「Azure DDoS Protection Standard の概要 | Microsoft Docs」をご参照ください。

Azure Web Application Firewall は、Azure でホストされる Web アプリの保護を一元化する Azure サービスです。外部からの脅威に備えるために、インターネットからのアプリケーション アクセスを Azure Application Gateway サービスと Web Application Firewall を使用して実現可能です。

以下の機能を提供します。

• Microsoft が管理するマネージド ルールセット (OWASP、ボットネット)
• カスタム ルールの作成
• 2 種類のモード (検出モード、防御モード)
• 除外リスト
• 要求サイズの変更
• Azure モニタ、Microsoft Sentinel との連携

その他、Azure Web Application Firewall の概要につきましては「Azure Web アプリケーション ファイアウォールの概要 | Microsoft Docs」をご参照ください。

Azure Front Door、Microsoft Azure Content Delivery Network、Azure Web Application Firewall を組み合わせたソリューションです。

Azure Front Door Premium は、Azure Front Door Standard の機能に加えて、以下の強化されたセキュリティ機能を提供します。

• Web アプリケーション ファイアウォール機能
• ボット保護
• Private Link のサポート
• Microsoft の脅威インテリジェンスとセキュリティ分析との統合

Azure Front Door につきましては「Azure Front Door Standard/Premium のドキュメント | Microsoft Docs」をご参照ください。

Azure Bastion は、RDP や SSH などのリモート管理ポートをインターネットに公開することなく Azure VM に安全に接続する際に使用できるサービスです。管理者は、 仮想マシンやその仮想マシンにインストールされているアプリなど、組織の Azure リソースの管理とメンテナンスを安全に行うことが可能です。

仮想ネットワーク (またはピアリング仮想ネットワーク) ごとに Azure Bastion を構築する必要があります。

Azure Bastion の概要につきましては「Azure Bastion | Microsoft Docs」をご参照ください。

Azure Private Link を使用すると、インターネット経由ではなく、Microsoft Azure のバックボーン ネットワークを介してプライベートに Azure サービスにアクセスできます。プライベート エンドポイントは、仮想ネットワークと Azure サービスの間をプライベートでセキュリティ保護された接続にすることができるネットワーク インターフェイスです。

Azure Private Link の概要につきましては「Azure Private Link とは | Microsoft Docs」をご参照ください。

仮想ネットワーク (VNet) サービス エンドポイントでは、Azure のバックボーン ネットワーク上で最適化されたルートを介して、Azure サービスに安全に直接接続できます。エンドポイントを使用することで、重要な Azure サービス リソースへのアクセスを仮想ネットワークのみに限定することができます。 サービス エンドポイントを使用すると、VNet 内のプライベート IP アドレスは、VNet 上のパブリック IP アドレスを必要とせずに、Azure サービスのエンドポイントに接続できます。

サービスエンドポイントの概要につきましては「Azure 仮想ネットワーク サービス エンドポイント | Microsoft Docs」をご参照ください。

Azure Network Watcher

Azure Network Watcher は、Azure 仮想ネットワーク内のリソースの監視、診断、メトリックの表示、ログの有効化または無効化を行うツールを提供します。

Azure Network Watcher の概要につきましては「Azure Network Watcher | Microsoft Docs」をご参照ください。

Microsoft Azure を利用する際の、お客様のデータ資産につきましては、お客様がデータの所有者となります。「お客様のデータはお客様が管理」というポリシーに基づき、サービスを運営しています。Microsoft  はお客様のデータを広告主がサポートしているサービスと共有したり、マーケティング研究や広告などの目的にマイニングしたりすることはありません。

そして、Microsoft Azure では、保存および転送中のお客様のデータをさまざまな暗号化方式、プロトコル、アルゴリズムを活用して、保護しています。

• Azure のストレージサービスに書き込まれるすべてのデータは、256 ビット AES 暗号化によって透過的に暗号化され、これは FIPS140-2 に準拠しています。
• 暗号化における鍵管理は、既定では Microsoft マネージド キーによりお客様データを保護します。
• Azure Key Vault サービスを活用することで、暗号化キーを適切に管理することが可能となります。鍵管理の対象は、お客様のカスタマー マネージド キーを保管することも可能です。そのため、ストレージに対して、お客様鍵による暗号化の対応も可能となります。
• よりセキュリティ強固な要件においては、鍵管理サービス (Azure Key Vault) として、FIPS140-2 レベル 3 適合の HSM (ハードウェア・セキュリティ・モジュール) を使用したサービスも提供されています。
• 転送中のデータ (ユーザーと Microsoft  データセンター間やデータセンター内) については、Microsoft は IEEE 802.1AE MAC セキュリティ標準に準拠し、TLS (Transport Layer Security) や IPsec (Internet Protocol Security) などの業界標準の暗号化されたトランスポート プロトコルを使用することで保護をしています。