次の方法で共有

Azure Local をアップグレードした後のセキュリティの管理

  • [アーティクル]

適用対象: Azure Local 2311.2 以降

この記事では、Azure Stack HCI バージョン 22H2 からアップグレードされた Azure Local のセキュリティ設定を管理する方法について説明します。

前提条件

開始する前に、Azure Stack HCI バージョン 22H2 からアップグレードされた Azure ローカル システムにアクセスできることを確認してください。

アップグレード後のセキュリティ変更

Azure Stack HCI バージョン 22H2 からシステムをアップグレードしても、システムのセキュリティ体制は変わりません。 強化されたセキュリティの恩恵を受けるために、アップグレード後にセキュリティ設定を更新することを強くお勧めします。

セキュリティ設定を更新する利点を次に示します。

  • レガシ プロトコルと暗号を無効にし、デプロイを強化することで、セキュリティ体制を改善します。
  • Azure Arc ハイブリッド エッジ ベースラインを介して一貫した大規模な監視を行う、組み込みのドリフト保護メカニズムを使用して運用コスト (OpEx) を削減します。
  • OS の Center for Internet Security (CIS) ベンチマークと防御情報システムエージェンシー (DISA) セキュリティ技術実装ガイド (STIG) の要件を厳密に満たすことができます。

アップグレードが完了したら、次の大まかな変更を行います。

  1. セキュリティ ベースラインを適用します。
  2. 保存時の暗号化を適用します。
  3. アプリケーション制御を有効にします。

以下のセクションでは、これらの各手順について詳しく説明します。

セキュリティ ベースラインを適用する

Azure Local の新しいデプロイでは、セキュリティ管理レイヤーによって挿入された 2 つのベースライン ドキュメントが導入されますが、アップグレードされたクラスターでは導入されません。

重要

セキュリティ ベースライン ドキュメントを適用した後、新しいメカニズムを使用して、 セキュリティ ベースライン設定を適用および維持します。

  1. サーバーが GPO、DSC、スクリプトなどのメカニズムを使用してベースライン設定を継承する場合は、次のことをお勧めします。

    • このようなメカニズムからこれらの重複する設定を削除します。
    • または、セキュリティ ベースラインを適用した後、ドリフト制御メカニズムを

    サーバーの新しいセキュリティ体制では、以前の設定、新しい設定、重複する設定と更新された値が組み合わせられます。

    Note

    Microsoft は、Azure ローカル セキュリティ設定をテストして検証します。 これらの設定は保持することを強くお勧めします。 カスタム設定を使用すると、システムが不安定になり、新しい製品シナリオと互換性が失われる可能性があり、ユーザー側で広範なテストとトラブルシューティングが必要になる可能性があります。

  2. 次のコマンドを実行すると、ドキュメントが配置されていないことがわかります。 これらのコマンドレットは出力を返しません。

    Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

  3. ベースラインを有効にするには、アップグレードした各ノードに移動します。 特権管理者アカウントを使用して、ローカルまたはリモートで次のコマンドを実行します。

    Start-AzSSecuritySettingsConfiguration
Start-AzSSecuredCoreConfiguration

  4. 新しい設定が有効になるように、適切な順序でノードを再起動します。

セキュリティ ベースラインの状態を確認する

再起動後、コマンドレットを再実行して、セキュリティ ベースラインの状態を確認します。

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

ベースライン情報を含む各コマンドレットの出力が表示されます。

ベースライン出力の例を次に示します。

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

保存時の暗号化を有効にする

アップグレード中に、システム ノードで BitLocker が有効になっているかどうかを検出します。 BitLocker が有効になっている場合は、中断するように求められます。 以前に複数のボリュームで BitLocker を有効にした場合は、保護を再開します。 これ以上の手順は不要です。

ボリューム全体の暗号化の状態を確認するには、次のコマンドを実行します。

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

いずれかのボリュームで BitLocker を有効にする必要がある場合は、「Azure Local での BitLocker 暗号化の管理を参照してください。

アプリケーション制御を有効にする

ビジネス向けアプリケーション制御 (旧称 Windows Defender Application Control または WDAC) は、信頼されていないコードの実行に対する優れた防御層を提供します。

システムをアップグレードしたら、アプリケーション制御を有効にすることを検討してください。 これは、サーバー上に既に存在する既存のサード パーティ製ソフトウェアを適切に検証するために必要な対策が講じられていない場合に、混乱を招く可能性があります。

新しいデプロイの場合、Application Control は Enforced モード (非信頼バイナリをブロック) で有効になりますが、アップグレードされたシステムでは、次の手順に従うことをお勧めします。

  1. Audit モードでアプリケーション制御を有効にします (不明なソフトウェアが存在する可能性がある場合)

  2. アプリケーション制御イベントを監視します。

  3. 必要な補足ポリシーを作成します

  4. 必要に応じて、さらに監査イベントが観察されないまで、手順 2 と手順 3 を繰り返します。 Enforced モードに切り替えます。

    警告

    追加のサード パーティ製ソフトウェアを有効にするために必要な AppControl ポリシーを作成しないと、そのソフトウェアが実行されなくなります。

Enforced モードで有効にする手順については、「Manage Windows Defender Application Control for Azure Local」を参照してください。

次のステップ