次の方法で共有

Azure Monitor のセキュリティの概要とガイドライン

  • [アーティクル]

この記事では、Azure Well-Architected フレームワークの一環としての Azure Monitor のセキュリティのガイドラインを提供します。

Azure Monitor のセキュリティ ガイドラインは、Azure Monitor のセキュリティ機能と、次に基づいてセキュリティを最適化するように構成する方法を理解するのに役立ちます。

この記事のガイドラインは、Microsoft セキュリティ責任モデルに基づいて構築されています。 この共同責任モデルの一環として、Microsoft は Azure Monitor のお客様向けに次のセキュリティ対策を提供しています。

ログ インジェストとストレージ

設計チェック リスト

  • 組織内のさまざまなロールに必要な、ワークスペース内のさまざまな種類のデータへのアクセスを構成します。
  • Azure プライベート リンクを使用して、パブリック ネットワークからワークスペースへのアクセスを削除します。
  • ログ クエリの監査を構成して、クエリを実行しているユーザーを追跡します。
  • 監査データの不変性を確保します。
  • ワークスペース内の機密データをフィルター処理または難読化する戦略を決定します。
  • 誤って収集された機密データを消去します。
  • カスタマー マネージド キーを使用した二重暗号化や Microsoft Azure のカスタマー ロックボックスによる Microsoft データ アクセス要求の承認または拒否などの強化されたセキュリティ機能のために、ワークスペースを専用クラスターにリンクします。
  • エージェント、コネクタ、ログ インジェスト API を使用してワークスペースにデータを送信するには、トランスポート層セキュリティ (TLS) 1.2 以上を使います。

構成に関する推奨事項

推奨 特長
組織内のさまざまなロールに必要な、ワークスペース内のさまざまな種類のデータへのアクセスを構成します。 ワークスペースの [アクセス制御モード][リソースまたはワークスペースのアクセス許可を使用] に設定すると、リソース所有者はワークスペースへの明示的なアクセスを許可されなくても、[リソース コンテキスト] を使用してデータにアクセスすることができます。 これにより、ワークスペースの構成が簡素化され、ユーザーがアクセスしてはならないデータにアクセスできないようにすることができます。

適切な組み込みロールを割り当てて、管理者の責任範囲に応じて、サブスクリプション、リソース グループ、またはワークスペース レベルで管理者にワークスペースのアクセス許可を付与します。

複数のリソースにまたがる一連のテーブルにアクセスする必要があるユーザーには、テーブル レベルの RBAC を適用します。 テーブルのアクセス許可を持つユーザーは、リソースのアクセス許可に関係なく、テーブル内のすべてのデータにアクセスできます。

ワークスペース内のデータへのアクセスを許可するためのさまざまなオプションの詳細については、「Log Analytics ワークスペースへのアクセスを管理する」を参照してください。
Azure プライベート リンクを使用して、パブリック ネットワークからワークスペースへのアクセスを削除します。 パブリック エンドポイントへの接続は、エンドツーエンドの暗号化で保護されます。 プライベート エンドポイントが必要な場合は、Azure プライベート リンクを使用して、承認されたプライベート ネットワーク経由でのみ、リソースが Log Analytics ワークスペースに接続できるようにします。 プライベート リンクを使用して、ExpressRoute または VPN 経由でワークスペース データを強制的に取り込むこともできます。 環境に最適なネットワークと DNS トポロジを決定するには、「Azure Private Link の設定を設計する」を参照してください。
ログ クエリの監査を構成して、クエリを実行しているユーザーを追跡します。 ログ クエリの監査では、ワークスペースで実行される各クエリの詳細が記録されます。 この監査データをセキュリティ データとして扱い、LAQueryLogs テーブルを適切にセキュリティで保護します。 各ワークスペースの監査ログがローカル ワークスペースに送信されるように構成するか、オペレーショナル データとセキュリティ データを分離している場合は専用のセキュリティ ワークスペースに統合します。 Log Analytics ワークスペースの分析情報を使用して、このデータを定期的に確認し、認可されていないユーザーがクエリを実行しようとしている場合に事前に通知するログ検索の警告ルールを作成することを検討します。
監査データの不変性を確保します。 Azure Monitor は追加専用のデータ プラットフォームですが、コンプライアンスのためにデータを削除する規定が含まれています。 Log Analytics ワークスペースにロックを設定して、データを削除できるすべてのアクティビティ (消去、テーブルの削除、テーブル レベルまたはワークスペース レベルのデータ保持の変更) をブロックすることができます。 ただし、このロックは削除することもできます。

完全な改ざん防止ソリューションが必要な場合は、不変ストレージ ソリューションにデータをエクスポートすることをお勧めします。 データ エクスポートを使用して、データの改ざんから保護するための不変性ポリシーを持つ Azure ストレージ アカウントにデータを送信します。 すべての種類のログがコンプライアンス、監査、またはセキュリティと同じ関連性を持っているわけではないため、エクスポートする必要がある特定のデータ型を決定します。
ワークスペース内の機密データをフィルター処理または難読化する戦略を決定します。 機密情報を含むデータを収集している可能性があります。 特定のデータ ソースの構成を使用して、収集すべきでないレコードをフィルター処理します。 データ内の特定の列のみを削除または難読化する必要がある場合は、変換を使用します。

元のデータを変更しないことを要求する標準がある場合、KQL クエリで 'h' リテラルを使用して、ブックに表示されるクエリ結果を難読化できます。
誤って収集された機密データを消去します。 ワークスペースで誤って収集された可能性のあるプライベート データを定期的に確認し、データ消去を使用して削除します。 Auxiliary プランのテーブル内のデータ は現在消去できません。
カスタマー マネージド キーを使用した二重暗号化や Microsoft Azure のカスタマー ロックボックスによる Microsoft データ アクセス要求の承認または拒否などの強化されたセキュリティ機能のために、ワークスペースを専用クラスターにリンクします。 Azure Monitor では、Microsoft マネージド キー (MMK) を使用して、すべての保存データと保存済みのクエリが暗号化されます。 専用クラスターに対して十分なデータを収集する場合は以下を使用します。

- カスタマー マネージド キーにより、柔軟性とキー ライフサイクル制御が向上します。 Microsoft Sentinel を使用している場合は、「Microsoft Sentinel のカスタマー マネージド キーの設定」の考慮事項をよく理解しておいてください。

- Microsoft Azure 用カスタマー ロックボックスは、顧客データへのアクセス要求を確認し、承認または拒否します。 カスタマー ロックボックスは、お客様から開始されたサポート チケットまたは Microsoft によって特定された問題に対応しているかどうかにかかわらず、Microsoft のエンジニアが顧客データにアクセスする必要がある場合に使用されます。 ロックボックスは現在、Auxiliary プランを使用したテーブルには適用できません。
エージェント、コネクタ、ログ インジェスト API を使用してワークスペースにデータを送信するには、トランスポート層セキュリティ (TLS) 1.2 以上を使います。 Azure Monitor に転送中のデータのセキュリティを確保するには、トランスポート層セキュリティ (TLS) 1.2 以降を使用します。 以前のバージョンの TLS/SSL (Secure Sockets Layer) は脆弱であることが確認されています。現在、これらは下位互換性を維持するために使用可能ですが、推奨されていません。さらに、業界はこれらの以前のプロトコルのサポートを中止する方向へ急速に動いています。

PCI Security Standards Council は、2018 年 6 月 30 日を期限として、TLS/SSL の以前のバージョンを無効にし、より安全なプロトコルにアップグレードすることを求めています。 Azure がレガシー サポートを廃止した場合、エージェントが TLS 1.3 以上で通信できないと、Azure Monitor ログにデータを送信できなくなります。

お使いのエージェントで TLS 1.3 のみを使用するように明示的に設定することは、絶対必要ない限りお勧めしません。 エージェントによる今後のセキュリティ標準の自動検出、ネゴシエートを許可し、利用できるようにしておくことをお勧めします。 そうしないと、新しい標準によるセキュリティ強化が使用できなくなり、TLS 1.3 が廃止され、新しい標準が採用されたときに、問題が発生する可能性があります。

警告

設計チェック リスト

  • ワークスペース内のデータと保存されたクエリを保護するために独自の暗号化キーが必要な場合は、カスタマー マネージド キーを使用します。
  • アクセス許可を制御してマネージド ID を使用してセキュリティを強化する
  • 構成特権を必要としないすべてのユーザー用の監視閲覧者ロールを割り当てる
  • セキュリティで保護された Webhook アクションを使用する
  • プライベート リンクを使用するアクション グループを使用する場合は、イベント ハブ アクションを使用します

構成に関する推奨事項

推奨 特長
ワークスペース内のデータと保存されたクエリを保護するために独自の暗号化キーが必要な場合は、カスタマー マネージド キーを使用します。 Azure Monitor により、Microsoft マネージド キー (MMK) を使用して、すべてのデータおよび保存されたクエリが保存時に暗号化されるようになります。 独自の暗号化キーを必要とし、専用クラスターに十分なデータを収集する場合は、カスタマー マネージド キーを使用して、柔軟性とキーのライフサイクル制御を強化します。 Microsoft Sentinel を使用している場合は、「Microsoft Sentinel のカスタマー マネージド キーの設定」の考慮事項をよく理解しておいてください。
ログ検索アラート ルールのアクセス許可を制御するには、ログ検索アラート ルールにマネージド ID を使います。 サービス間の通信をセキュリティで保護するために使用されるシークレット、資格情報、証明書、キーの管理は、開発者にとって共通の課題です。 マネージド ID により、開発者はこれらの資格情報を管理する必要がなくなります。 ログ検索アラート ルールにマネージド ID を設定すると、アラート ルールの正確なアクセス許可を制御および把握できます。 いつでも、ルールのクエリ アクセス許可を表示し、マネージド ID に対するアクセス許可を直接追加または削除できます。 さらに、ルールのクエリが Azure Data Explorer (ADX) または Azure Resource Graph (ARG) にアクセスしている場合は、マネージド ID を使用する必要があります。 マネージド ID に関するページを参照してください。
構成特権を必要としないすべてのユーザー用の監視閲覧者ロールを割り当てます。 ユーザーにロールに必要な最小限の特権を付与することで、セキュリティを強化します。 「Azure Monitor でのロール、アクセス許可、セキュリティ」を参照してください。
可能な場合は、セキュリティで保護された Webhook アクションを使用します。 アラート ルールに Webhook アクションを使用するアクション グループが含まれている場合は、セキュリティで保護された Webhook アクションを使用して追加の認証を行います。 「セキュリティで保護された Webhook の認証を構成する」を参照してください。

仮想マシンの監視

設計チェック リスト

  • VM のセキュリティ監視には、他のサービスを使用します。
  • プライベート エンドポイントを使用して Azure Monitor に接続するには、VM 用の Azure プライベート リンクを使用することを検討してください。

構成に関する推奨事項

推奨 Description
VM のセキュリティ監視には、他のサービスを使用します。 Azure Monitor は VM からセキュリティ イベントを収集できますが、セキュリティ監視に使用することを意図したものではありません。 Azure には、完全なセキュリティ監視ソリューションを提供する Microsoft Defender for CloudMicrosoft Sentinel などの複数のサービスが含まれています。 これらのサービスの比較については、セキュリティの監視を参照してください。
プライベート エンドポイントを使用して Azure Monitor に接続するには、VM 用の Azure プライベート リンクを使用することを検討してください。 パブリック エンドポイントへの接続は、エンドツーエンドの暗号化で保護されます。 プライベート エンドポイントが必要な場合は、Azure プライベート リンクを使用して、承認されたプライベート ネットワークを通じて VM が Azure Monitor に接続できるようにします。 プライベート リンクを使用して、ExpressRoute または VPN 経由でワークスペース データを強制的に取り込むこともできます。 環境に最適なネットワークと DNS トポロジを決定するには、「Azure Private Link の設定を設計する」を参照してください。

コンテナー監視

設計チェック リスト

  • クラスターのマネージド ID 認証を使用して、Container Insights に接続する。
  • クラスターの Azure プライベート リンクを使用し、プライベート エンドポイントを使って Azure Monitor ワークスペースに接続することを検討する。
  • トラフィック分析を使用して、クラスターとの間のネットワーク トラフィックを監視する。
  • ネットワーク監視を有効にする。
  • Container Insights をサポートする Log Analytics ワークスペースのセキュリティを確保する。

構成に関する推奨事項

推奨 特長
クラスターのマネージド ID 認証を使用して、Container Insights に接続する。 マネージド ID 認証は、新しいクラスターの既定値です。 レガシ認証を使用している場合は、マネージド ID に移行し、証明書ベースのローカル認証を削除する必要があります。
クラスターの Azure プライベート リンクを使用し、プライベート エンドポイントを使って Azure Monitor ワークスペースに接続することを検討する。 Prometheus 用の Azure マネージド サービスでは、既定でパブリック エンドポイントを使用する Azure Monitor ワークスペースにデータが格納されます。 パブリック エンドポイントへの接続は、エンドツーエンドの暗号化で保護されます。 プライベート エンドポイントが必要な場合は、Azure プライベート リンクを使用して、承認されたプライベート ネットワークを通じてクラスターをワークスペースに接続できるようにします。 プライベート リンクを使用して、ExpressRoute または VPN 経由でワークスペース データを強制的に取り込むこともできます。

プライベート リンク用にクラスターを構成する方法の詳細については、Azure Monitor での Kubernetes 監視用のプライベート リンクの有効化に関する記事を参照してください。 プライベート リンクを使用したデータのクエリの詳細については、「マネージド Prometheus と Azure Monitor ワークスペースにプライベート エンドポイントを使用する」を参照してください。
トラフィック分析を使用して、クラスターとの間のネットワーク トラフィックを監視する。 トラフィック分析では、Azure Network Watcher NSG のフロー ログを分析して、Azure クラウドでのトラフィック フローに関する分析情報を提供します。 このツールを使用して、クラスターのデータ流出がないことを確かめ、不要なパブリック IP が公開されているかどうかを検出します。
ネットワーク監視を有効にする。 AKS のNetwork Observability アドオンでは、Kubernetes ネットワーク スタック内の複数のレイヤーにわたって監視することができます。 クラスター内のサービス間のアクセス (東西トラフィック) を監視および観察します。
Container Insights をサポートする Log Analytics ワークスペースのセキュリティを確保する。 Container Insights は、Log Analytics ワークスペースに依存します。 ワークスペースのセキュリティを確保するための推奨事項については、「Azure Monitor ログのベスト プラクティス」を参照してください。

次のステップ