Azure Data Manager for Energy の Azure セキュリティ ベースライン
このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Azure Data Manager for Energy に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Azure Data Manager for Energy に適用される関連ガイダンスによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項については、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。
Note
機能 Azure Data Manager for Energy には適用されませんが、除外されています。 Azure Data Manager for Energy が Microsoft クラウド セキュリティ ベンチマークにどのように完全にマップされるかについては、 完全な Azure Data Manager for Energy セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Azure Data Manager for Energy の影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 値 |
|---|---|
| 製品カテゴリ | |
| 顧客が HOST または OS にアクセスできる | アクセス許可なし |
| サービスを顧客の仮想ネットワークにデプロイできる | いいえ |
| 顧客のコンテンツを保存する | True |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
機能
Virtual Network 統合
[説明]: サービスは顧客のプライベート仮想ネットワーク (VNet) へのデプロイをサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
ネットワーク セキュリティ グループのサポート
[説明]: サービスのネットワーク トラフィックは、サブネットに対するネットワーク セキュリティ グループのルール割り当てに従います。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
機能
Azure Private Link
[説明]: ネットワーク トラフィックをフィルター処理するための、サービスのネイティブ IP フィルタリング機能 (NSG または Azure Firewall とは異なります)。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
構成ガイダンス: Azure Data Manager for Energy インスタンスは、プライベート エンドポイントを介して仮想ネットワークから接続できます。これは、Azure Private Link を使用して、仮想ネットワーク内のサブネット内のプライベート IP アドレスのセットです。 インスタンスへのアクセスは、これらのプライベート IP アドレス経由で制限できます。
プライベート エンドポイントは、インスタンスのプロビジョニング プロセス中またはインスタンスの作成後に構成できます。 Private Link で構成されている Azure Data Manager for Energy インスタンスは、自動または手動の承認方法を使用して接続できます。
リファレンス: エネルギー プレビュー用 Azure Data Manager のプライベート エンドポイントを作成する
パブリック ネットワーク アクセスの無効化
[説明]: サービスは、サービス レベルの IP ACL フィルタリング規則 (NSG または Azure Firewall ではなく) を使用した、または "パブリック ネットワーク アクセスを無効にする" トグル スイッチを使用した、パブリック ネットワーク アクセスの無効化をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
構成ガイダンス: パブリック ネットワーク アクセスのスイッチを切り替えて、パブリック ネットワーク アクセスを無効にします。
リファレンス: エネルギー プレビュー用 Azure Data Manager のプライベート エンドポイントを作成する
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元的な ID および認証システムを使用する
機能
データ プレーン アクセスに必要な Azure AD Authentication
[説明]: サービスはデータ プレーン アクセスに Azure AD 認証を使用することをサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: Azure Data Manager for Energy ではエンタイトルメント API が使用され、Azure Data Manager for Energy 内のデータ パーティションのグループベースの承認システムとして機能します。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: ユーザーを管理する方法
データ プレーン アクセスのローカル認証方法
[説明]: ローカル ユーザー名やパスワードなど、データ プレーン アクセスでサポートされるローカル認証方法。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
IM-3: アプリケーション ID を安全かつ自動的に管理する
機能
マネージド ID
[説明]: データ プレーン アクションでマネージド ID を使用した認証がサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能ノート: 現在、他のサービスは、システム割り当てマネージド ID またはユーザー割り当てマネージド ID を使用して Azure Data Manager for Energy に接続できます。 ただし、Azure Data Manager for Energy 自体は、システム割り当てマネージド ID をサポートしていません。
構成ガイダンス: Azure マネージド ID を使用して、他の Azure サービスから Azure Data Manager for Energy インスタンスのデータ プレーンまたはコントロール プレーンにアクセスします。
リファレンス: マネージド ID を使用して、他の Azure サービスから Azure Data Manager for Energy Preview にアクセスする
サービス プリンシパル
[説明]: データ プレーンはサービス プリンシパルを使用した認証をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: サービス プリンシパルは、アプリケーション登録プロセス中に自動的に作成されます。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Quickstart: Azure Data Manager for Energy Preview のプレビュー インスタンスを作成する
IM-7: 条件に基づいてリソースへのアクセスを制限する
機能
データ プレーンへの条件付きアクセス
[説明]: データ プレーン アクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
IM-8: 資格情報とシークレットの公開を制限する
機能
Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート
[説明]: データ プレーンは、資格情報とシークレット ストアのための Azure Key Vault のネイティブな使用をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する
機能
ローカル管理者アカウント
[説明]: サービスにはローカル管理者アカウントという概念があります。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
機能
データ プレーン用の Azure RBAC
[説明]: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
機能ノート: データ プレーンへのアクセスはエンタイトルメント サービスを通じて管理されます。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する
機能
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
構成ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して、各 Microsoft のデータ アクセス要求を確認し、承認または拒否します。
リファレンス: Azure Data Manager for Energy Preview のカスタマー ロックボックスを使用する
データ保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-1:機密データを検出、分類、ラベル付けする
機能
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
DP-2: 機密データをターゲットにした異常と脅威を監視する
機能
データ漏えい/損失防止
説明: サービスは、機密データの移動 (顧客のコンテンツ内) を監視するための DLP ソリューションをサポートしています。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
DP-3: 転送中の機密データの暗号化
機能
転送中データの暗号化
[説明]: サービスはデータ プレーンの転送中データの暗号化をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: 転送中のデータを暗号化する
DP-4: 保存データ暗号化を既定で有効にする
機能
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされており、保存中のお客様のコンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能に関する注意事項: お客様は、Azure Data Manager for Energy インスタンスのプロビジョニング中に、暗号化タブで Microsoft マネージド キー (MMK) を選択する必要があります。 インスタンスが作成された後は、キー設定を編集できません。
構成ガイダンス: サービスによって自動的に構成されないプラットフォームマネージド (Microsoft マネージド) キーを使用して、保存データの暗号化を有効にします。
DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する
機能
CMK を使用した保存データの暗号化
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって保存される顧客コンテンツでサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能ノート: お客様は、Azure Data Manager for Energy インスタンスのプロビジョニング中にのみ CMK を構成できます。 インスタンスが作成されると、CMK 設定を編集することはできません。
構成ガイダンス: 保存データの暗号化は、データを保護し、組織のセキュリティとコンプライアンスのコミットメントを満たすのに役立ちます。 カスタマー マネージド キーを使用して保存時のデータ暗号化を有効にして実装します。
リファレンス: Azure Data Manager for Energy の Data のセキュリティと暗号化
DP-6: セキュア キー管理プロセスの使用
機能
Azure Key Vault でのキー管理
説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault 統合がサポートされます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能に関するメモ: Azure Key Vault は、顧客が管理する暗号化キーを格納するために使用されます。
構成ガイダンス: Azure Key Vault を使用して、キーの生成、配布、ストレージなど、暗号化キーのライフ サイクルを作成および制御します。 定義されたスケジュールに基づいて、またはキーの廃止や侵害が発生した場合に、Azure Key Vault とサービスのキーをローテーションして取り消します。 ワークロード、サービス、またはアプリケーション レベルでカスタマー マネージド キー (CMK) を使用する必要がある場合は、キー管理のベスト プラクティスに従ってください。キー階層を使用して、キー コンテナー内のキー暗号化キー (KEK) を使用して個別のデータ暗号化キー (DEK) を生成します。 キーが Azure Key Vault に登録され、サービスまたはアプリケーションからキー ID を介して参照されていることを確認します。 独自のキー (BYOK) をサービスに取り込む必要がある場合 (オンプレミスの HSM から Azure Key Vault に HSM で保護されたキーをインポートする場合など)、推奨されるガイドラインに従って初期キーの生成とキー転送を実行します。
リファレンス: Azure Data Manager for Energy Preview での データのセキュリティと暗号化
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
機能
Azure Policy のサポート
[説明]: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
ログと脅威検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
機能
サービス/製品のオファリングのための Microsoft Defender
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
LT-4: セキュリティ調査のためのログを有効にする
機能
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
構成ガイダンス: サービスのリソース ログを有効にします。
注: Azure Data Manager for Energy Preview では、OSDU サービスのトラブルシューティング、デバッグ、監視に役立つ診断設定を使用して、OSDU サービス ログを Azure Monitor にエクスポートできます。 監査ログには、Azure Data Manager for Energy のデータ プレーン API の監査証跡も用意されています。
リファレンス: Azure Monitor を使用して OSDU サービス ログを統合する
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと復旧を参照してください。
BR-1: 定期的な自動バックアップを確保する
機能
Azure Backup
説明: サービスは Azure Backup サービスによってバックアップできます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
サービス ネイティブ バックアップ機能
[説明]: サービスは独自のネイティブ バックアップ機能 (Azure Backup を使用しない場合) をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。