ハイブリッド クラウド環境のセキュリティ
Tailwind Traders は、ハイブリッド クラウド体制の導入を計画しています。 この移行により、ワークロードがオンプレミスにのみデプロイされていたときよりも環境が複雑になります。 また、これらのワークロードのセキュリティ構成とテレメトリはますます複雑になっていきます。
このユニットでは、Tailwind Traders でオンプレミスとクラウドのワークロードの構成を監視し、疑わしいアクティビティに対してアラートを受け取る方法について学習します。 また、Tailwind Traders が、オンプレミスとクラウドのサーバー オペレーティング システムへの更新を効率化する方法についても学習します。
Microsoft Defender for Cloud とは
Microsoft Defender for Cloud により、さまざまなワークロードのセキュリティ構成を評価できます。 Microsoft Defender for Cloud は次の目的に使うことができます。
- サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS)、データ、オンプレミスのリソース全体でセキュリティのベスト プラクティスを実装します。
- 規制標準に照らしてセキュリティ構成のコンプライアンスを追跡します。
- データの流出に関連付けられているパターンなどの疑わしいアクティビティを特定して、データを保護します。
- SQL データベースでホストされているデータを分類します。
ハイブリッド環境では、Defender for Cloud を Log Analytics エージェントと統合して、イベントログ イベント、イベントトレース テレメトリ、クラッシュダンプ ファイルを収集できます。 次に、Defender for Cloud を使って、そのデータの分析を実行して、レコメンデーションを作成したり、組織のセキュリティ情報イベント管理 (SIEM) システムに転送できるアラートを生成したりすることができます。
Tailwind Traders では現在、さまざまなツールを使用して、Windows Server と Linux のワークロードのセキュリティ構成が、公開されているサードパーティ標準に準拠しているかどうかを評価しています。 Microsoft Defender for Cloud を採用することにより、Tailwind Traders は、オンプレミスのサーバー オペレーティング システムと、さらに多くのハイブリッド テクノロジを導入していくにつれて拡大し続けるクラウド内のワークロードのデプロイについて、それらのセキュリティ構成を監視し、修復することができます。
Microsoft Sentinel とは
Microsoft Sentinel を使用することにより、ハイブリッド クラウド ソリューションを備える組織は、オンプレミスとクラウドの両方のセキュリティ イベント ログからテレメトリを取り込むことができます。 Microsoft Sentinel は、SIEM ソリューションでもあり、SOAR (Security Orchestration, Automation, and Response) ソリューションでもあります。
SIEM ソリューションでは、外部ソースから取り込んだログ データとイベント テレメトリを格納して分析します。 Microsoft Sentinel は、オンプレミス、Azure、および他の SIEM システムなどのサードパーティ クラウドの場所からのデータの取り込みをサポートしています。 SOAR ソリューションを使用すると、データの分析を調整できます。 これは、既知の脅威に対する自動対応を作成するのに役立ちます。
次の図は、Sentinel ハイブリッド アーキテクチャを示しています。
Microsoft Sentinel を使用すると、ハイブリッド環境がサポートされる場合に次のタスクを実行できます。
- クラウドベースとオンプレミスのユーザー、デバイス、アプリケーション、インフラストラクチャ全体のデータを収集します。
- AI およびディープ ラーニングを使用して、イベント データ内の悪意のある可能性があるアクティビティを特定します。
- Microsoft のセキュリティ調査によって生成された攻撃署名に基づいてイベント データを分析することにより脅威を検出します。
- セキュリティ プレイブックを使用して、既知の特性を持つインシデントへの対応を自動化します。
Sentinel には、データの分析を支援する組み込みのブックが含まれており、レコメンデーションを提供することができます。 この後、疑わしいセキュリティ テレメトリを並べ替えてその意味を理解する代わりに、すばやく把握することができます。 また、Sentinel に含まれているものとは異なるセキュリティ テレメトリ分析の効果的な方法を見つけた他のセキュリティ研究者の経験に基づくカスタム ブックをインポートしたり、使用したりすることもできます。
Tailwind Traders には現在、さまざまなコンピューターやデバイスからのイベントログ データを収集して分析するオンプレミスの SIEM システムがあります。 Tailwind Traders にオンプレミスのデプロイしかなかったときは、この SIEM システムで十分でしたが、Microsoft Sentinel を導入すると、Tailwind Traders はその能力をハイブリッド クラウドに拡張できるようになります。
また、Tailwind Traders は既存の SIEM ソリューションを Sentinel に接続する可能性もあります。 この接続により、同社は、既存のオンプレミス構成を大幅に変更する必要なく、Sentinel の AI とディープ ラーニングのメリットを得ることができます。
Azure Automation の Update Management とは
Azure Automation の Update Management により、クラウド内の単一のコンソールを使用して、オンプレミスとクラウドのサーバー オペレーティング システムへの更新を管理できます。 Update Management は、物理的および仮想的に実行される Microsoft Windows Server のワークロードとサポートされている Linux オペレーティング システムのワークロードで動作します。
Update Management では、Windows Server オペレーティング システムの更新のソースとして、Microsoft Update や Windows Server Update Services (WSUS) を使用できます。 さらに、Update Management では、Linux オペレーティング システムの更新に、パブリックまたはカスタムの Linux パッケージ リポジトリを使用することもできます。 Update Management により、登録されているオペレーティング システムに現在不足している更新を判断できます。
次の図は、Update Management を Azure Automation および Log Analytics ワークスペースと統合する方法を示しています。
更新のデプロイを構成するときは、次を指定します。
- 更新のデプロイは Windows コンピューターと Linux コンピューターのどちらを対象とするか。 両方の種類を同時に対象にすることはできません。
- デプロイで対象とする特定の登録済みサーバー。
- インストールする必要がある更新の分類。
- 特定の更新を含めるか除外するか。
- デプロイを定期的に行うかどうかなどのデプロイのスケジュール。
- 実行する必要がある更新前スクリプトと更新後スクリプト。
- メンテナンス ウィンドウの最大長。ウィンドウの最後の 20 分間がシステムの再起動に充てられます。
- 更新のインストールの完了に必要な場合に、システムを再起動するかどうかを指定する再起動オプション。
Tailwind Traders では現在、WSUS やその他のツールを使用して、オンプレミスの Windows および Linux オペレーティング システムの更新を管理しています。 IaaS 仮想マシンのオペレーティング システム ワークロード (オンプレミスとクラウドの両方) を Azure Software Update に接続するように構成することで、Tailwind Traders は、クリティカルなワークロードをホストするすべてのオペレーティング システムが常に最新の状態であることを保証できます。