仮想マシンの Azure セキュリティ ベースライン - Windows Virtual Machines
このセキュリティ ベースラインは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Virtual Machines - Windows Virtual Machines に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure でクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Virtual Machines - Windows Virtual Machines に適用できる関連ガイダンスによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連する Azure Policy 定義がある場合は、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために、有料の Microsoft Defender プランが必要になる場合があります。
手記
機能 仮想マシンには適用できません。Windows Virtual Machines は除外されています。 Virtual Machines - Windows Virtual Machines が Microsoft クラウド セキュリティ ベンチマークに完全にマップされる方法については、完全な Virtual Machines - Windows Virtual Machines セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、仮想マシン (Windows Virtual Machines) の影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 価値 |
|---|---|
| 製品カテゴリ | 計算する |
| お客様は HOST/OS にアクセスできます | フル アクセス |
| サービスは顧客の仮想ネットワークにデプロイできます | 正しい |
| 保存中の顧客コンテンツを格納する | 本当 |
ネットワーク セキュリティ
詳細については、「Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワークセグメント化の境界を確立する
特徴
仮想ネットワーク統合
説明: サービスは、顧客のプライベート仮想ネットワーク (VNet) へのデプロイをサポートします。 詳細については、を参照してください。
| サポート | 既定で有効 | 構成の責任 |
|---|---|---|
| はい | 本当です | Microsoft |
構成ガイダンス: 既定の展開で有効になっているので、追加の構成は必要ありません。
リファレンス: Azure での仮想ネットワークと仮想マシンの
ネットワーク セキュリティ グループのサポート
説明: サービス ネットワーク トラフィックは、そのサブネットでのネットワーク セキュリティ グループルールの割り当てを考慮します。 詳細については、を参照してください。
| サポートされている | 既定で有効 | 構成の責任 |
|---|---|---|
| はい | False | 顧客 |
構成ガイダンス: ネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスによってトラフィックを制限または監視します。 NSG ルールを作成して、サービスの開いているポートを制限します (信頼されていないネットワークから管理ポートにアクセスできないようにするなど)。 既定では、NSG はすべての受信トラフィックを拒否しますが、仮想ネットワークと Azure Load Balancer からのトラフィックは許可します。
Azure 仮想マシン (VM) を作成するときは、仮想ネットワークを作成するか、既存の仮想ネットワークを使用して、サブネットを使用して VM を構成する必要があります。 デプロイされたすべてのサブネットに、アプリケーションの信頼されたポートとソースに固有のネットワーク アクセス制御を使用してネットワーク セキュリティ グループが適用されていることを確認します。
リファレンス: ネットワーク セキュリティ グループ
Microsoft Defender for Cloud の監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| 仮想マシン に関連付けられているネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があります | Azure Security Center では、ネットワーク セキュリティ グループの受信規則の一部が緩すぎることを特定しました。 受信規則では、'Any' または 'Internet' の範囲からのアクセスを許可しないでください。 これにより、攻撃者がリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| アダプティブ ネットワークのセキュリティ強化に関する推奨事項は、インターネットに接続する仮想マシンに適用する必要 | Azure Security Center は、インターネットに接続する仮想マシンのトラフィック パターンを分析し、潜在的な攻撃対象領域を減らすネットワーク セキュリティ グループルールの推奨事項を提供します | AuditIfNotExists、Disabled | 3.0.0 |
NS-2: ネットワーク制御によるクラウド サービスのセキュリティ保護
特徴
パブリック ネットワーク アクセスを無効にする
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG または Azure Firewall ではなく) または "パブリック ネットワーク アクセスの無効化" トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にすることができます。 詳細については、を参照してください。
| サポートされている | 既定で有効 | 構成に関する責任 |
|---|---|---|
| 本当 | False | 顧客 |
構成ガイダンス: Windows Defender ファイアウォールなどの OS レベルのサービスを使用して、パブリック アクセスを無効にするネットワーク フィルター処理を提供します。
ID 管理
詳細については、「Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元化された ID と認証システムを使用する
機能
データ プレーン アクセスに必要な Azure AD 認証
説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、を参照してください。
| サポート | 既定で有効 | 構成に関する責任 |
|---|---|---|
| 本当 | 誤り | 顧客 |
構成ガイダンス: データ プレーン アクセスを制御するための既定の認証方法として Azure Active Directory (Azure AD) を使用します。
リファレンス: パスワードレス を含む Azure AD を使用して Azure の Windows 仮想マシンにログイン
データ プレーン アクセスのローカル認証方法
説明: ローカル ユーザー名やパスワードなど、データ プレーン アクセスでサポートされるローカル認証方法。 詳細については、を参照してください。
| サポート | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | はい | Microsoft |
機能ノート: 仮想マシンの初期デプロイ時に、ローカル管理者アカウントが既定で作成されます。 ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証します。
構成ガイダンス: 既定の展開で有効になっているので、追加の構成は必要ありません。
IM-3: アプリケーション ID を安全かつ自動的に管理する
機能
マネージド ID
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、を参照してください。
| サポート | 既定で有効 | 設定の責任 |
|---|---|---|
| 本当 | False | 顧客 |
機能ノート: マネージド ID は、通常、他のサービスに対して認証するために Windows VM によって利用されます。 Windows VM で Azure AD 認証がサポートされている場合は、マネージド ID がサポートされている可能性があります。
構成ガイダンス: 可能な場合は、サービス プリンシパルではなく Azure マネージド ID を使用します。これは、Azure Active Directory (Azure AD) 認証をサポートする Azure サービスとリソースに対して認証できます。 マネージド ID 資格情報は、完全に管理され、ローテーションされ、プラットフォームによって保護されるため、ソース コードまたは構成ファイルでハードコーディングされた資格情報を回避できます。
サービス プリンシパル
説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされます。 詳細については、を参照してください。
| サポート | 既定で有効 | 構成の責任 |
|---|---|---|
| はい | 無効 | 顧客 |
機能ノート: サービス プリンシパルは、Windows VM で実行されているアプリケーションで使用できます。
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 組織でこのセキュリティ機能を構成するかどうかを確認して確認してください。
Microsoft Defender for Cloud の監視
Azure Policy の組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| 仮想マシンのゲスト構成拡張機能は、システム割り当てマネージド ID と共にデプロイする必要があります | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 ゲスト構成拡張機能がインストールされているが、システム割り当てマネージド ID がない場合、このポリシーのスコープ内の Azure 仮想マシンは非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
IM-7: 条件に基づいてリソース アクセスを制限する
特徴
データ プレーンの条件付きアクセス
説明: データ プレーン アクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、を参照してください。
| サポート | 既定で有効 | 設定の責任 |
|---|---|---|
| はい | False | 顧客 |
機能に関するメモ: Azure AD をコア認証プラットフォームとして使用して、Windows Server 2019 Datacenter Edition 以降または Windows 10 1809 以降に RDP 接続します。 その後、VM へのアクセスを許可または拒否する Azure ロールベースのアクセス制御 (RBAC) ポリシーと条件付きアクセス ポリシーを一元的に制御および適用できます。
構成ガイダンス: ワークロード内の Azure Active Directory (Azure AD) 条件付きアクセスに適用される条件と条件を定義します。 特定の場所からのアクセスのブロックや許可、危険なサインイン動作のブロック、特定のアプリケーションに対する組織が管理するデバイスの要求など、一般的なユース ケースを検討してください。
リファレンス: パスワードレス を含む Azure AD を使用して Azure の Windows 仮想マシンにログイン
IM-8: 資格情報とシークレットの公開を制限する
特徴
Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vault のネイティブな使用がサポートされています。 詳細については、を参照してください。
| サポート | 既定で有効 | 構成の責任 |
|---|---|---|
| 本当 | False | 顧客 |
機能ノート: データ プレーンまたはオペレーティング システム内で、サービスは資格情報またはシークレットのために Azure Key Vault を呼び出す場合があります。
構成ガイダンス: シークレットと資格情報は、コードまたは構成ファイルに埋め込むのではなく、Azure Key Vault などのセキュリティで保護された場所に格納されていることを確認します。
特権アクセス
詳細については、Microsoft クラウド セキュリティ ベンチマーク 特権アクセスを参照してください。
PA-1: 高い特権を持つユーザーまたは管理ユーザーを分離して制限する
機能
ローカル管理者アカウント
説明: サービスには、ローカル管理アカウントの概念があります。 詳細については、を参照してください。
| サポートされている | 既定で有効 | コンフィギュレーションの責任 |
|---|---|---|
| 本当 | はい | Microsoft |
機能ノート: ローカル認証方法またはアカウントの使用を避けるため、可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証します。
構成ガイダンス: 既定の展開で有効になっているので、追加の構成は必要ありません。
リファレンス: クイック スタート: Azure portal で Windows 仮想マシンを作成する
PA-7: 十分な管理 (最小特権) の原則に従う
機能
データ プレーン向け Azure RBAC
説明: Azure Role-Based アクセス制御 (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、を参照してください。
| サポート済み | 既定で有効 | 構成の責任 |
|---|---|---|
| 本当 | 偽り | 顧客 |
機能に関するメモ: Azure AD をコア認証プラットフォームとして使用して、Windows Server 2019 Datacenter Edition 以降または Windows 10 1809 以降に RDP 接続します。 その後、VM へのアクセスを許可または拒否する Azure ロールベースのアクセス制御 (RBAC) ポリシーと条件付きアクセス ポリシーを一元的に制御および適用できます。
構成ガイダンス: RBAC を使用して、通常のユーザーまたは管理者特権で VM にログインできるユーザーを指定します。 ユーザーがチームに参加すると、VM の Azure RBAC ポリシーを更新して、必要に応じてアクセス権を付与できます。 従業員が組織を離れ、ユーザー アカウントが無効になったり、Azure AD から削除されたりすると、リソースにアクセスできなくなります。
リファレンス: パスワードレス を含む Azure AD を使用して Azure の Windows 仮想マシンにログイン
PA-8: クラウド プロバイダーサポートのアクセス プロセスを決定する
機能
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、を参照してください。
| サポート済み | 既定で有効 | 設定の責任 |
|---|---|---|
| 本当 | False | 顧客 |
構成ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して確認し、Microsoft の各データ アクセス要求を承認または拒否します。
データ保護
詳細については、Microsoft クラウド セキュリティ ベンチマークのデータ保護を参照してください。
DP-1: 機密データの検出、分類、ラベル付け
特徴
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細については、を参照してください。
| サポート | 既定で有効 | 設定の責任 |
|---|---|---|
| 偽り | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-2: 機密データを対象とする異常と脅威を監視する
特長
データ漏えい/損失防止
説明: サービスは、機密データの移動 (顧客のコンテンツ内) を監視するための DLP ソリューションをサポートします。 詳細については、を参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 偽り | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-3: 転送中の機密データを暗号化する
特徴
転送中のデータの暗号化
説明: サービスは、データ プレーンの転送中のデータ暗号化をサポートします。 詳細については、を参照してください。
| サポート済み | 既定で有効 | 構成の責任 |
|---|---|---|
| 真実 | 偽り | 顧客 |
機能に関する注意事項: SSH などの特定の通信プロトコルは、既定で暗号化されます。 ただし、HTTP などの他のサービスは、暗号化に TLS を使用するように構成する必要があります。
構成ガイダンス: 転送中のネイティブ データ暗号化機能が組み込まれているサービスでの安全な転送を有効にします。 任意の Web アプリケーションとサービスに HTTPS を適用し、TLS v1.2 以降が使用されていることを確認します。 SSL 3.0、TLS v1.0 などのレガシ バージョンは無効にする必要があります。 Virtual Machines のリモート管理には、暗号化されていないプロトコルではなく、SSH (Linux の場合) または RDP/TLS (Windows の場合) を使用します。
リファレンス: VM での転送中暗号化
Microsoft Defender for Cloud の監視
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| セキュリティで保護された通信プロトコルを使用するように Windows マシンを構成する必要 | インターネット経由で通信される情報のプライバシーを保護するには、コンピューターで業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使用する必要があります。 TLS は、マシン間の接続を暗号化することで、ネットワーク経由の通信をセキュリティで保護します。 | AuditIfNotExists、Disabled | 4.1.1 |
DP-4: 既定で保存データの暗号化を有効にする
特徴
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされており、保存中の顧客コンテンツはすべて、これらの Microsoft マネージド キーで暗号化されます。 詳細については、を参照してください。
| サポート済み | 既定で有効 | 設定の責任 |
|---|---|---|
| 本当 | はい | Microsoft |
機能に関するメモ: 既定では、マネージド ディスクではプラットフォームで管理される暗号化キーが使用されます。 既存のマネージド ディスクに書き込まれるすべてのマネージド ディスク、スナップショット、イメージ、およびデータは、プラットフォームマネージド キーを使用して保存時に自動的に暗号化されます。
構成ガイダンス: 既定の展開で有効になっているので、追加の構成は必要ありません。
リファレンス: Azure Disk Storage のサーバー側暗号化の - プラットフォームマネージド キー
Microsoft Defender for Cloud の監視
Azure Policy の組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| 仮想マシンでは、コンピューティング リソースとストレージ リソース間の一時ディスク、キャッシュ、データ フローを暗号化する必要 | 既定では、仮想マシンの OS ディスクとデータ ディスクは、プラットフォームマネージド キーを使用して保存時に暗号化されます。 コンピューティングとストレージの間を流れる一時ディスク、データ キャッシュ、データは暗号化されません。 1 の場合は、この推奨事項を無視してください。 ホストでの暗号化、または 2 を使用する。 マネージド ディスク上のサーバー側暗号化は、セキュリティ要件を満たしています。 詳細情報: Azure Disk Storage のサーバー側暗号化: https://aka.ms/disksse、 さまざまなディスク暗号化オファリング: https://aka.ms/diskencryptioncomparison | AuditIfNotExists、Disabled | 2.0.3 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| [プレビュー]: Linux 仮想マシンで Azure Disk Encryption または EncryptionAtHost を有効にする必要があります。 | 既定では、仮想マシンの OS ディスクとデータ ディスクは、プラットフォームマネージド キーを使用して保存時に暗号化されます。一時ディスクとデータ キャッシュは暗号化されず、コンピューティング リソースとストレージ リソースの間を流れるときにデータは暗号化されません。 Azure Disk Encryption または EncryptionAtHost を使用して、このすべてのデータを暗号化します。暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison を参照してください。 このポリシーでは、ポリシー割り当てスコープに 2 つの前提条件を展開する必要があります。 詳細については、https://aka.ms/gcpolを参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
DP-5: 必要に応じて保存データの暗号化でカスタマー マネージド キー オプションを使用する
特徴
CMK を使用した静止データの暗号化
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって保存される顧客コンテンツでサポートされています。 詳細については、を参照してください。
| サポート | 既定で有効 | 構成の責任 |
|---|---|---|
| 本当 | 間違い | 顧客 |
機能に関する注意事項: 各マネージド ディスクのレベルで、独自のキーを使用して暗号化を管理することを選択できます。 カスタマー マネージド キーを指定すると、そのキーは、データを暗号化するキーへのアクセスを保護および制御するために使用されます。 カスタマー マネージド キーを使用すると、アクセス制御をより柔軟に管理できます。
構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 これらのサービスのカスタマー マネージド キーを使用して、保存データの暗号化を有効にして実装します。
仮想マシン (VM) 上の仮想ディスクは、サーバー側暗号化または Azure ディスク暗号化 (ADE) を使用して保存時に暗号化されます。 Azure Disk Encryption では、Windows の BitLocker 機能を利用して、ゲスト VM 内のカスタマー マネージド キーを使用してマネージド ディスクを暗号化します。 カスタマー マネージド キーを使用したサーバー側の暗号化は、ストレージ サービス内のデータを暗号化することで、VM の OS の種類とイメージを使用できるようにすることで、ADE で向上します。
リファレンス: Azure Disk Storage のサーバー側暗号化
DP-6: セキュリティで保護されたキー管理プロセスを使用する
特徴
Azure Key Vault でのキー管理
説明: このサービスは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault 統合をサポートします。 詳細については、を参照してください。
| サポート | 既定で有効 | 設定の責任 |
|---|---|---|
| 本当 | False | 顧客 |
構成ガイダンス: Azure Key Vault を使用して、キーの生成、配布、ストレージなど、暗号化キーのライフ サイクルを作成および制御します。 定義されたスケジュールに基づいて、またはキーの廃止や侵害が発生した場合、Azure Key Vault と関連するサービスのキーをローテーションおよび取り消します。 ワークロード、サービス、またはアプリケーション レベルでカスタマー マネージド キー (CMK) を使用する必要がある場合は、キー管理のベスト プラクティスに従ってください。キー階層を使用して、キー コンテナー内のキー暗号化キー (KEK) を使用して個別のデータ暗号化キー (DEK) を生成します。 キーが Azure Key Vault に登録され、サービスまたはアプリケーションからキー ID を介して参照されていることを確認します。 独自のキー (BYOK) をサービスに取り込む必要がある場合 (オンプレミスの HSM から Azure Key Vault に HSM で保護されたキーをインポートする場合など)、推奨されるガイドラインに従って初期キーの生成とキー転送を実行します。
リファレンス: Windows VM での Azure Disk Encryption 用のキー コンテナーの作成と構成
DP-7: セキュリティで保護された証明書管理プロセスを使用する
機能
Azure Key Vault での証明書の管理
説明: このサービスは、顧客証明書に対する Azure Key Vault 統合をサポートします。 詳細については、を参照してください。
| サポート | 既定で有効 | 設定の責任 |
|---|---|---|
| False | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
資産管理
詳細については、「Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みサービスのみを使用する
特徴
Azure Policy のサポート
説明: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細については、を参照してください。
| サポート | 既定で有効 | 設定の責任 |
|---|---|---|
| 本当 | 偽り | 顧客 |
構成ガイダンス: Azure Policy を使用して、組織の Windows VM と Linux VM の目的の動作を定義できます。 ポリシーを使用することで、組織は企業全体でさまざまな規則と規則を適用し、Azure Virtual Machines の標準的なセキュリティ構成を定義して実装できます。 目的の動作を適用すると、組織の成功に貢献しながらリスクを軽減できます。
リファレンス: Azure Virtual Machines における Azure Policy の組み込み定義
Microsoft Defender for Cloud の監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要 | 仮想マシンに新しい Azure Resource Manager を使用して、セキュリティの強化 (強力なアクセス制御 (RBAC)、監査の強化、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレットのキー コンテナーへのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどのセキュリティ強化を提供します | Audit、Deny、Disabled | 1.0.0 |
Azure Policy の組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要 | 仮想マシンに新しい Azure Resource Manager を使用して、セキュリティの強化 (強力なアクセス制御 (RBAC)、監査の強化、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレットのキー コンテナーへのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどのセキュリティ強化を提供します | Audit、Deny、Disabled | 1.0.0 |
AM-5: 仮想マシンで承認済みアプリケーションのみを使用する
機能
Microsoft Defender for Cloud - アダプティブ アプリケーション制御
説明: サービスは、Microsoft Defender for Cloud のアダプティブ アプリケーション制御を使用して、仮想マシン上で実行される顧客アプリケーションを制限できます。 詳細については、を参照してください。
| サポート | 既定で有効 | 構成の責任 |
|---|---|---|
| はい | False | 顧客 |
構成ガイダンス: Microsoft Defender for Cloud アダプティブ アプリケーション制御を使用して、仮想マシン (VM) で実行されているアプリケーションを検出し、承認されたアプリケーションを VM 環境で実行できるアプリケーション許可リストを生成します。
リファレンス: 適応型アプリケーション制御を使用してマシンの攻撃対象領域を減らす
Microsoft Defender for Cloud の監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| 安全なアプリケーションを定義するための適応型アプリケーション制御は、コンピューターで有効にする必要 | アプリケーション制御を有効にして、コンピューターで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを生成します。 これは、マルウェアに対するマシンの強化に役立ちます。 Security Center では、ルールの構成と保守のプロセスを簡略化するために、機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提案します。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure ポータル) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| 安全なアプリケーションを定義するための適応型アプリケーション制御は、コンピューターで有効にする必要 | アプリケーション制御を有効にして、コンピューターで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを生成します。 これは、マルウェアに対するマシンの強化に役立ちます。 Security Center では、ルールの構成と保守のプロセスを簡略化するために、機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提案します。 | AuditIfNotExists、Disabled | 3.0.0 |
ログ記録と脅威の検出
詳細については、Microsoft クラウド セキュリティ ベンチマークの 「ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
機能
サービス/製品のオファリングのための Microsoft Defender
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細については、を参照してください。
| 対応している | 既定で有効 | 設定管理の責任 |
|---|---|---|
| 本当 | 間違い | 顧客 |
構成ガイダンス: Defender for Servers は、Azure で実行されている Windows および Linux マシンに保護を拡張します。 Defender for Servers は、Microsoft Defender for Endpoint と統合して、エンドポイントの検出と応答 (EDR) を提供します。また、セキュリティ ベースラインと OS レベルの評価、脆弱性評価スキャン、適応型アプリケーション制御 (AAC)、ファイル整合性監視 (FIM) など、追加の脅威保護機能のホストも提供します。
リファレンス: Defender for Servers の展開 を計画する
Microsoft Defender for Cloud の監視
Azure Policy の組み込み定義 - Microsoft.Compute
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| コンピューターで Windows Defender Exploit Guard を有効にする必要 | Windows Defender Exploit Guard は、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃で一般的に使用される動作をブロックし、企業がセキュリティ リスクと生産性の要件のバランスを取るために設計された 4 つのコンポーネントがあります (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
LT-4: セキュリティ調査のためにログ記録を有効にする
機能
Azure リソース ログ
説明: サービスは、サービス固有のメトリックとログ記録を強化できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、を参照してください。
| サポート | 既定で有効 | 設定管理の責任 |
|---|---|---|
| 本当 | False | 顧客 |
構成ガイダンス: VM の作成時に、Azure Monitor によって仮想マシン ホストのメトリック データの収集が自動的に開始されます。 ただし、仮想マシンのゲスト オペレーティング システムからログとパフォーマンス データを収集するには、Azure Monitor エージェントをインストールする必要があります。 エージェントをインストールして収集を構成するには、VM insights を使用するか、または データ収集規則を作成します。
リファレンス: Log Analytics エージェントの概要
Microsoft Defender for Cloud の監視
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要 | Security Center では、Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化に関する推奨事項、特定のネットワーク脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
体制と脆弱性の管理
詳細については、「Microsoft クラウド セキュリティ ベンチマーク: 体制と脆弱性管理」を参照してください。
PV-3: コンピューティング リソースのセキュリティで保護された構成を定義して確立する
機能
Azure Automation State Configuration
説明: Azure Automation State Configuration を使用して、オペレーティング システムのセキュリティ構成を維持できます。 詳細については、を参照してください。
| サポート | 既定で有効 | 構成の責任 |
|---|---|---|
| はい | 偽り | 顧客 |
構成ガイダンス: Azure Automation State Configuration を使用して、オペレーティング システムのセキュリティ構成を維持します。
リファレンス: Desired State Configuration を使用して VM を構成する
Azure Policy ゲスト構成エージェント
説明: Azure Policy ゲスト構成エージェントは、コンピューティング リソースの拡張機能としてインストールまたはデプロイできます。 詳細については、を参照してください。
| サポート | 既定で有効 | 設定の責任 |
|---|---|---|
| 真である | False | 顧客 |
機能に関する注意事項: Azure Policy ゲスト構成は、Azure Automanage Machine Configuration と呼ばれるようになりました。
構成ガイダンス: Microsoft Defender for Cloud および Azure Policy ゲスト構成エージェントを使用して、VM、コンテナーなどの Azure コンピューティング リソースの構成偏差を定期的に評価および修復します。
リファレンス: Azure Automanage のマシン構成機能について理解する
カスタム VM イメージ
説明: サービスでは、特定のベースライン構成が事前に適用された、ユーザー指定の VM イメージまたはマーケットプレースからの事前構築済みイメージの使用がサポートされます。 詳細については、を参照してください。
| サポートされています | 既定で有効 | 設定に関する責任 |
|---|---|---|
| 本当 | False | 顧客 |
構成ガイダンス: Microsoft などの信頼できるサプライヤーから事前に構成されたセキュリティで保護されたイメージを使用するか、目的のセキュリティで保護された構成基準を VM イメージ テンプレートに構築します
リファレンス: チュートリアル: Azure PowerShell を使用して Windows VM イメージを作成する
PV-4: コンピューティング リソースのセキュリティで保護された構成を監査して適用する
特徴
信頼された起動仮想マシン
説明: トラステッド起動は、セキュア ブート、vTPM、整合性監視などのインフラストラクチャ テクノロジを組み合わせることにより、高度で永続的な攻撃手法から保護します。 各テクノロジは、高度な脅威に対して別の防御層を提供します。 信頼された起動を使用すると、検証済みのブート ローダー、OS カーネル、ドライバーを使用して仮想マシンを安全にデプロイし、仮想マシン内のキー、証明書、シークレットを安全に保護できます。 また、信頼できる起動は、ブート チェーン全体の整合性に関する分析情報と自信を提供し、ワークロードが信頼され、検証可能であることを保証します。 信頼された起動は Microsoft Defender for Cloud と統合され、VM が正常な方法でリモートで起動されることをリモートで証明することで、VM が適切に構成されていることを確認します。 詳細については、を参照してください。
| サポート | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 虚偽 | 顧客 |
機能ノート: 第 2 世代 VM では、信頼された起動を使用できます。 信頼された起動には、新しい仮想マシンの作成が必要です。 初めに信頼される起動を有効にせずに作成された既存の仮想マシンでは、それを有効にすることはできません。
構成ガイダンス: VM のデプロイ中に、信頼された起動が有効になっている可能性があります。 セキュア ブート、vTPM、整合性ブートの監視の 3 つすべてを有効にして、仮想マシンに最適なセキュリティ体制を確保します。 Microsoft Defender for Cloud へのサブスクリプションのオンボード、特定の Azure Policy イニシアチブの割り当て、ファイアウォール ポリシーの構成など、いくつかの前提条件があることに注意してください。
リファレンス: 信頼された起動が有効になっている VM をデプロイ
PV-5: 脆弱性評価を実行する
特徴
Microsoft Defender を使用した脆弱性評価
説明: Microsoft Defender for Cloud またはその他の Microsoft Defender サービスの埋め込み脆弱性評価機能 (Microsoft Defender for server、コンテナー レジストリ、App Service、SQL、DNS など) を使用して、サービスの脆弱性スキャンをスキャンできます。 詳細については、を参照してください。
| サポートされている | 既定で有効 | 設定管理の責任 |
|---|---|---|
| 本当 | 間違っている | 顧客 |
構成ガイダンス: Azure 仮想マシンで脆弱性評価を実行するための Microsoft Defender for Cloud の推奨事項に従います。
リファレンス: Defender for Servers の展開 を計画する
Microsoft Defender for Cloud の監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| 仮想マシン で脆弱性評価ソリューションを有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションが実行されているかどうかを検出します。 すべてのサイバー リスクとセキュリティ プログラムの中核となるコンポーネントは、脆弱性の識別と分析です。 Azure Security Center の Standard 価格レベルには、追加コストなしで仮想マシンの脆弱性スキャンが含まれています。 さらに、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| 仮想マシン で脆弱性評価ソリューションを有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションが実行されているかどうかを検出します。 すべてのサイバー リスクとセキュリティ プログラムの中核となるコンポーネントは、脆弱性の識別と分析です。 Azure Security Center の Standard 価格レベルには、追加コストなしで仮想マシンの脆弱性スキャンが含まれています。 さらに、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
PV-6: 脆弱性を迅速かつ自動的に修復する
特徴
Azure Update Manager
説明: サービスは、Azure Update Manager を使用してパッチと更新プログラムを自動的にデプロイできます。 詳細については、を参照してください。
| サポート | 既定で有効 | 構成の責任 |
|---|---|---|
| 真実 | はい | 顧客 |
構成ガイダンス: Azure Update Manager を使用して、最新のセキュリティ更新プログラムが Windows VM にインストールされていることを確認します。 Windows VM の場合は、Windows Update が有効になっており、自動的に更新されるように設定されていることを確認します。
リファレンス: VM の更新プログラムとパッチを管理する
Azure ゲスト 修正プログラムの適用サービス
説明: サービスでは、Azure ゲスト 修正プログラムを使用して、パッチと更新プログラムを自動的にデプロイできます。 詳細については、を参照してください。
| 支援されている | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 誤り | 顧客 |
構成ガイダンス: サービスは、自動 OS イメージ アップグレード や 自動ゲスト 修正プログラムの適用など、さまざまな更新メカニズムを利用できます。 この機能は、安全な展開の原則に従って、仮想マシンのゲスト OS に最新のセキュリティと重要な更新プログラムを適用することをお勧めします。
ゲストの自動修正プログラムを適用すると、毎月リリースされる重大およびセキュリティ更新プログラムに対するセキュリティ コンプライアンスを維持するために、Azure 仮想マシンを自動的に評価および更新できます。 更新プログラムは、可用性セット内の VM を含め、ピーク外の時間帯に適用されます。 この機能は、VMSS フレキシブル オーケストレーションで使用でき、今後、Uniform Orchestration のロードマップでサポートされます。
ステートレス ワークロードを実行する場合、VMSS Uniform に最新の更新プログラムを適用するには、OS イメージの自動アップグレードが最適です。 ロールバック機能を使用すると、これらの更新プログラムは Marketplace またはカスタム イメージと互換性があります。 将来のローリング アップグレードをサポートするフレキシブル オーケストレーションのロードマップ。
リファレンス: Azure VM での VM ゲストの自動パッチ適用
Microsoft Defender for Cloud の監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| コンピューターにシステム更新プログラムをインストールする必要 | サーバーに不足しているセキュリティ システムの更新プログラムは、推奨事項として Azure Security Center によって監視されます | AuditIfNotExists、Disabled | 4.0.0 |
Azure Policy の組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| [プレビュー]: システム更新プログラムは、(Update Center を使用して) コンピューターにインストールする必要があります | コンピューターにシステム、セキュリティ、および重要な更新プログラムがありません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このような穴はマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが重要です。 すべての未処理のパッチをインストールし、マシンをセキュリティで保護するには、修復手順に従います。 | AuditIfNotExists、Disabled | 1.0.0-preview |
エンドポイントのセキュリティ
詳細については、Microsoft クラウド セキュリティ ベンチマークの 「エンドポイント セキュリティ」を参照してください。
ES-1: エンドポイントの検出と応答 (EDR) を使用する
特徴
EDR ソリューション
説明: Azure Defender for servers などのエンドポイントの検出と応答 (EDR) 機能をエンドポイントにデプロイできます。 詳細については、を参照してください。
| サポートされている | 既定で有効 | 構成に関する責任 |
|---|---|---|
| 本当 | False | 顧客 |
構成ガイダンスの: Azure Defender for servers (Microsoft Defender for Endpoint 統合) は、高度な脅威を防ぎ、検出し、調査し、対応するための EDR 機能を提供します。 Microsoft Defender for Cloud を使用してエンドポイント用の Azure Defender for servers をデプロイし、アラートを Azure Sentinel などの SIEM ソリューションに統合します。
リファレンス: Defender for Servers の展開 を計画する
ES-2: 最新のマルウェア対策ソフトウェアを使用する
特徴
マルウェア対策ソリューション
説明: Microsoft Defender ウイルス対策、Microsoft Defender for Endpoint などのマルウェア対策機能をエンドポイントに展開できます。 詳細については、を参照してください。
| 対応済み | 既定で有効 | 設定の責任 |
|---|---|---|
| 本当 | False | 顧客 |
構成ガイダンス: Windows Server 2016 以降の場合、Microsoft Defender for Antivirus は既定でインストールされます。 Windows Server 2012 R2 以降では、SCEP (System Center Endpoint Protection) をインストールできます。 または、サードパーティのマルウェア対策製品をインストールすることもできます。
リファレンス: Defender for Endpoint のオンボーディング Windows Server
Microsoft Defender for Cloud の監視
Azure Policy の組み込み定義 - Microsoft.ClassicCompute
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| あなたのコンピューターでエンドポイント保護の正常性の問題を解決する必要があります | 仮想マシンのエンドポイント保護の正常性に関する問題を解決して、最新の脅威や脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutionsを参照してください。 エンドポイント保護の評価については、https://docs.microsoft.com/azure/security-center/security-center-endpoint-protectionを参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Policy の組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| あなたのコンピューターで Endpoint Protection の正常性の問題を解決する必要があります | 仮想マシンのエンドポイント保護の正常性に関する問題を解決して、最新の脅威や脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutionsを参照してください。 エンドポイント保護の評価については、https://docs.microsoft.com/azure/security-center/security-center-endpoint-protectionを参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
ES-3: マルウェア対策ソフトウェアと署名が更新されていることを確認する
機能
マルウェア対策ソリューションの正常性の監視
説明: マルウェア対策ソリューションは、プラットフォーム、エンジン、および自動署名の更新プログラムの正常性状態の監視を提供します。 詳細については、を参照してください。
| サポート済み | 既定で有効 | 設定の責任 |
|---|---|---|
| 本当 | False | 顧客 |
機能に関する注意事項: セキュリティ インテリジェンスと製品の更新プログラムは、Windows VM にインストールできる Defender for Endpoint に適用されます。
構成ガイダンス: プラットフォーム、エンジン、署名が迅速かつ一貫して更新され、その状態を監視できるようにマルウェア対策ソリューションを構成します。
Microsoft Defender for Cloud の監視
Azure Policy の組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| お使いのマシンで Endpoint Protection の正常性の問題を解決する必要があります | 仮想マシンのエンドポイント保護の正常性に関する問題を解決して、最新の脅威や脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutionsを参照してください。 エンドポイント保護の評価については、https://docs.microsoft.com/azure/security-center/security-center-endpoint-protectionを参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| エンドポイントプロテクションの正常性の問題は、コンピューターで解決されるべきです | 仮想マシンのエンドポイント保護の正常性に関する問題を解決して、最新の脅威や脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutionsを参照してください。 エンドポイント保護の評価については、https://docs.microsoft.com/azure/security-center/security-center-endpoint-protectionを参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
バックアップと回復
詳細については、「Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復の」を参照してください。
BR-1: 定期的な自動バックアップを確保する
特徴
Azure Backup
説明: サービスは Azure Backup サービスによってバックアップできます。 詳細については、を参照してください。
| サポート | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | 誤り | 顧客 |
構成ガイダンス: Azure Backup を有効にし、必要な保有期間で必要な頻度でバックアップ ソース (Azure Virtual Machines、SQL Server、HANA データベース、ファイル共有など) を構成します。 Azure Virtual Machines の場合、Azure Policy を使用して自動バックアップを有効にすることができます。
リファレンス: Azure の仮想マシンのバックアップと復元のオプションの
Microsoft Defender for Cloud の監視
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| Virtual Machines で Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines の保護を確保します。 Azure Backup は、Azure 用のセキュリティで保護されたコスト効率の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
次の手順
- Microsoft クラウド セキュリティ ベンチマークの概要 を参照してください
- Azure セキュリティ ベースライン の詳細を確認する