Azure でのガバナンス、セキュリティ、コンプライアンス
[アーティクル] 05/15/2024
20 人の共同作成者
フィードバック
この記事の内容
Azure Policy や Microsoft Defender for Cloud などのツールとサービスを使用して、企業ポリシーを確立し、ガバナンス戦略を計画できます。 これらのツールとサービスは、組織のガバナンスの決定を強制し、自動化します。 ガバナンスの計画を開始する前に、ガバナンス ベンチマーク ツール を使用して、組織のクラウド ガバナンスへのアプローチにおける可能性のあるギャップを特定します。 ガバナンス プロセスの開発方法の詳細については、「ガバナンス方法論 」を参照してください。
Azure Policy は、ポリシーの作成、割り当て、管理に役立ちます。 これらのポリシーによってリソースにルールが適用されるため、それらのリソースは会社の標準とサービス レベル アグリーメントに準拠した状態に保たれます。 企業ポリシーに準拠していないリソースを特定するために、Azure Policy によってリソースがスキャンされます。 たとえば、環境内で特定のサイズの仮想マシン (VM) のみを実行できるポリシーを作成できます。 このポリシーを実装すると、Azure Policy によって、お使いの環境内の既存の VM と新たにデプロイした VM が評価されます。 ポリシーを評価することによって、コンプライアンス イベントが生成され、監視とレポートに使用されます。
一般的なポリシーを使用して、次を行います。
リソースおよびリソース グループにタグ付けを適用します。
デプロイされたリソースのリージョンを制限します。
特定のリソースのコストの高い SKU を制限します。
Azure マネージド ディスクなどの重要なオプション機能の使用を監査します。
アクション
組み込みのポリシーを管理グループ、サブスクリプション、またはリソース グループに割り当てます。
ポリシーを適用する
リソース グループにポリシーを適用するには:
Azure Policy に移動します。[ポリシーを割り当てる] を選択します。
詳細情報
詳細については、次を参照してください。
Microsoft Defender for Cloud は、ガバナンス戦略において重要な役割を果たします。 次の機能により、セキュリティを常に把握できます。
ワークロード間で統合されたセキュリティ ビューの提供
ファイアウォールやその他のパートナー ソリューションを含むさまざまなソースからのセキュリティ データの収集、検索、分析
攻撃を受ける前に問題を修復するための実行可能なセキュリティの推奨事項の提供
セキュリティ標準への確実な準拠を目的とした、ハイブリッド クラウドのワークロードへのセキュリティ ポリシーの適用
セキュリティ ポリシーや推奨事項などのセキュリティ機能の多くは、無料でご利用いただけます。 Just-In-Time VM アクセスのようなより高度な機能の一部と、ハイブリッド ワークロードのサポートは、Defender for Cloud Standard レベルでご利用いただけます。 Just In Time VM アクセスでは、Azure VM 上の管理ポートに対するアクセスを制御することで、ネットワーク攻撃対象領域を縮小できます。
ヒント
各サブスクリプションでは、既定で、クラウドの Defender が有効になっています。 Defender for Cloud がエージェントをインストールし、データの収集を開始できるようにするには、仮想マシンからデータ収集を有効にすることをお勧めします。
Defender for Cloud を探索するには、 Azure ポータル に移動します。
詳細情報
詳細については、次のリソースを参照してください。