概要 - ゼロ トラストの原則を Azure ネットワークに適用する
この一連の記事は、ゼロ トラストの原則を、多分野にわたるアプローチに基づいて、Microsoft Azure のネットワーク インフラストラクチャに適用するのに役立ちます。 ゼロ トラストはセキュリティ戦略です。 これは、製品やサービスではなく、次の一連のセキュリティ原則を設計および実装する方法です。
- 明示的に検証する
- 最小限の特権アクセスを使用する
- 侵害を想定する
"侵害を想定し、決して信頼せず、常に検証する" というゼロ トラスト マインドセットの実装には、クラウド ネットワーク インフラストラクチャ、デプロイ戦略、実装の変更が必要です。
次の記事では、よくデプロイされる Azure インフラストラクチャ サービスのネットワークにゼロ トラスト アプローチを適用する方法について説明します。
重要
このゼロ トラストガイダンスでは、参照アーキテクチャ用に Azure で使用できるいくつかのセキュリティ ソリューションと機能を使用して構成する方法について説明します。 他のいくつかのリソースでは、次のようなソリューションと機能のセキュリティ ガイダンスも提供されています。
このガイダンスでは、ゼロ トラストアプローチを適用する方法について説明するために、多くの組織で運用環境で使用される一般的なパターン (VNet (および IaaS アプリケーション) でホストされるバーチャルマシン ベースのアプリケーション) を対象としています。 これは、オンプレミス アプリケーションを Azure に移行する組織でよく見られるパターンで、"リフトアンドシフト" と呼ばれることもあります。
Microsoft Defender for Cloud による脅威保護
Azure ネットワークの侵害を想定するゼロ トラスト原則には、Microsoft Defender for Cloud が XDR (Extended Detection and Response) ソリューションがあります。これは、環境内でシグナル、脅威、アラート データを自動的に収集し、関連付け、分析します。 Defender for Cloud は、次の図に示すように、Microsoft Defender XDR と共に使用して、環境のより広範な相関保護を提供することを目的としています。
図の説明:
- Defender for Cloud は、複数の Azure サブスクリプションを含む管理グループに対して有効になっています。
- Microsoft Defender XDR は、Microsoft 365 アプリとデータ、Microsoft Entra ID と統合された SaaS アプリ、オンプレミスの Active Directory Domain Services (AD DS) サーバーに対して有効になっています。
管理グループの構成と Defender for Cloud の有効化の詳細については、以下を参照してください。
その他のリソース
Azure IaaS にゼロ トラストの原則を適用する場合は、次の追加の記事を参照してください。