Azure VM ベースラインの作成
Azure Policy は、ポリシーの作成、割り当て、管理に使用できる Azure サービスです。 ユーザーが作成するポリシーにより、リソースにさまざまなルールと効果が適用され、それらのリソースは会社の標準とサービス レベル アグリーメントへの準拠が維持されます。 Azure Policy では、割り当て済みのポリシーでリソースの非準拠を評価することによって、このニーズが満たされます。 たとえば、特定の SKU サイズの VM のみを環境で許可するポリシーを作成できます。 このポリシーが実装された後は、新規および既存のリソースのコンプライアンス評価されます。 適切な種類のポリシーにより、既存リソースのコンプライアンスを実現できます。
Azure VM のセキュリティに関する推奨事項
以降のセクションでは、CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 での Azure VM のセキュリティの推奨事項について説明します。 各推奨事項には、Azure portal で実行するための基本的な手順が含まれています。 これらの手順は、独自のサブスクリプションに対して実行し、独自のリソースを使用して各セキュリティに関する推奨事項を検証する必要があります。 レベル 2 オプションを使用すると、一部の機能またはアクティビティが制限される可能性があることに注意してください。そのため、どのセキュリティ オプションを適用するかを慎重に検討してください。
Microsoft Defender for Cloud のデータ収集用に VM エージェントをインストールして有効にする - レベル 1
Microsoft Defender for Cloud を使うと、VM で VM エージェントが必要になったことがわかります。 Azure Marketplace からデプロイされる VM には、VM エージェントが既定でインストールされます。 データは、VM のセキュリティの状態を評価し、セキュリティに関する推奨事項を提供し、ホストベースの脅威に関するアラートを通知するために必要です。
Azure portal にサインインする 「Microsoft Defender for Cloud」を検索して選択します。
左側のメニューの [管理] で、[環境設定] を選択します。
[環境設定] ペインで、サブスクリプションを選びます。
左側のメニューの [設定] で、[自動プロビジョニング] を選びます。
使用する VM エージェントで、[オン] を選びます。 使用するワークスペースを選択します。
設定を変更する場合は、メニュー バーで [保存] を選択します。
OS ディスクが確実に暗号化されているようにする - レベル 1
Azure Disk Encryption は、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすのに役立ちます。 Azure Disk Encryption :
- Azure VM の OS およびデータ ディスクのボリュームを暗号化するために、Windows の BitLocker 機能と Linux の DM-Crypt 機能を使います。
- Azure Key Vault と統合し、ディスク暗号化のキーとシークレットの制御と管理に役立ちます。
- VM ディスク上のすべてのデータは、Azure ストレージへの保存時に暗号化されます。
Windows および Linux VM 用の Azure Disk Encryption は、すべての Azure パブリック リージョンおよび Azure Government リージョンの Standard VM と Azure Premium Storage を使用する VM で一般に提供されています。
Microsoft Defender for Cloud (推奨) を使用している場合は、暗号化されていない VM があるとアラートが表示されます。 Azure サブスクリプションの VM ごとに、次の手順のようにします。
Azure portal にサインインします。 [仮想マシン] を検索して選択します。
左側のメニューの [設定] で、 [ディスク] を選択します。
[OS ディスク] で、OS ディスクに暗号化の種類が設定されていることを確認します。
[データ ディスク] で、各ディスクに暗号化の種類が設定されていることを確認します。
設定を変更する場合は、メニュー バーで [保存] を選択します。
承認された VM 拡張機能のみがインストールされていることを確認する - レベル 1
Azure VM 拡張機能は、Azure VM でのデプロイ後の構成と自動タスクを提供する複数の小さなアプリケーションです。 たとえば、VM でソフトウェアのインストールやウイルス対策保護が必要な場合、または VM でスクリプトを実行する必要がある場合は、VM 拡張機能を使用できます。 Azure CLI、PowerShell、Azure Resource Manager テンプレート、または Azure portal を使って、Azure VM 拡張機能を実行できます。 拡張機能は、新しい VM のデプロイにバンドルするか、既存の任意のシステムに対して実行することができます。 Azure portal を使って、承認済みの拡張機能のみが VM にインストールされるようにするには、Azure サブスクリプション内の各 VM で次の手順のようにします。
Azure portal にサインインします。 [仮想マシン] を検索して選択します。
左側のメニューの [設定] で、[拡張機能とアプリケーション] を選びます。
[拡張機能とアプリケーション] ペインで、一覧に表示されている拡張機能の使用が承認されていることを確認します。
VM の OS 修正プログラムが確実に適用されているようにする - レベル 1
Microsoft Defender for Cloud は、毎日、Windows と Linux の VM およびコンピューターで、オペレーティング システムの更新プログラムで不足しているものを監視します。 Defender for Cloud では、"Windows Update" または "Windows Server Update Services (WSUS)" から、利用可能なセキュリティ更新プログラムと重要な更新プログラムの一覧が取得されます。 受け取る更新プログラムは、Windows コンピューターで構成されているサービスによって異なります。 また、Linux システムにおける最新の更新プログラムについても Defender for Cloud で確認されます。 VM またはコンピューターにシステムの更新プログラムがない場合、Defender for Cloud はシステムの更新プログラムを適用するようユーザーに推奨します。
Azure portal にサインインします。 [Microsoft Defender for Cloud] を検索して選択します。
左側のメニューの [全般] で、[推奨事項] を選びます。
[推奨事項] で、[システムの更新プログラムの適用] に推奨事項がないことを確認します。
VM にエンドポイント保護ソリューションがインストールされて実行されていることを確認する - レベル 1
Microsoft Defender for Cloud は、マルウェア対策保護の状態を監視します。 この状態は、[Endpoint Protection の問題] ペインで報告されます。 Defender for Cloud には、VM やコンピューターがマルウェア対策の脅威に対して脆弱になる可能性のある、検出された脅威や不十分な保護などの問題が、強調して示されます。 [Endpoint Protection の問題] の情報を使うことで、特定された問題への対処計画の作成を始めることができます。
前の推奨事項で説明したのと同じプロセスを使います。