Azure Security Center のシングルクリック修復および Azure Firewall での JIT のサポート

2019年8月20日 に投稿済み

Senior Program Manager, Azure Security Center

このブログ記事は、Azure Security Center のプログラム マネージャーである Rotem Lurie との共同執筆によるものです。

Azure Security Center を使用すると、ユーザーが使用している Azure 環境全体のセキュリティ体制を鳥瞰表示でき、Azure のセキュリティ スコアを使用してセキュリティ体制を継続的に監視および改善できます。Security Center は、セキュリティのベスト プラクティスとして推奨される強化タスクを特定して実行し、マシン、データ サービス、およびアプリ全体に実装するのに役立ちます。これには、セキュリティ ポリシーを管理し適用すること、使用する Azure Virtual Machines、Azure 以外のサーバー、Azure PaaS サービスが確実に準拠しているようにすることが含まれます。

ここに、2 つの新機能を発表いたします。セキュリティ スコアを使用し、推奨事項を使用してリソースをシングル クリックで一括修復できる機能のプレビューと、Azure Firewall 用 Just-In-Time (JIT) 仮想マシン (VM) アクセスの一般提供 (GA) です。ネットワーク セキュリティ グループ (NSG) で保護された環境に加えて、Azure Firewall で保護された環境も JIT で保護できるようになりました。

大量のリソースに対するシングル クリック修復 (プレビュー)

非常に多くのサービスがセキュリティ上の利点を提供しているため、ワークロードのセキュリティ保護と強化のためにどの手順を最初に実行すればよいか判断しにくいことがよくあります。Azure のセキュリティ スコアでは、セキュリティに関する推奨事項が調査され、優先順位が自動的に示されるので、ユーザーはどの推奨事項を最初に実行すべきかを知ることができます。これは、最も重大なセキュリティの脆弱性を見つける助けになるため、調査に優先順位を付けることができます。セキュリティ スコアは、ワークロードのセキュリティ体制を評価するのに役立つツールです。

セキュリティに関する構成ミスを簡単に修復し、セキュリティ スコアをすばやく改善できるようにするため、推奨事項を使用してリソースをシングル クリックで一括修復できる新機能が導入されます。

ユーザーはこの操作によって、修復を適用するリソースを選択でき、設定をユーザーに代わって構成する修復アクションを起動できます。シングル クリック修復は、Security Center の [推奨事項] ブレードの一部として、プレビュー ユーザー向けの提供が開始されました。

推奨事項の横にある [1 クリック修復] ラベルを探して、その推奨事項をクリックできます。

Azure Security Center の [推奨事項] ブレード

修復するリソースを選択して [修復] を選択すると、修復が実行され、そのリソースは [正常なリソース] タブに移動します。修復アクションはアクティビティ ログに記録されるため、失敗した場合はログで詳細を確認できます。

Azure Security Center で SQL Server の監査を有効にする

修復は次の推奨事項で利用できます (プレビュー)。

  • Web アプリ、関数アプリ、API アプリには HTTPS 経由でのみアクセスできるようにする
  • 関数アプリ、Web アプリ、API アプリでリモート デバッグを無効にする
  • すべてのリソースが関数アプリ、Web アプリ、API アプリにアクセスすることを CORS で許可しない
  • ストレージ アカウントへの安全な転送を有効にする必要がある
  • Azure SQL Database の Transparent Data Encryption を有効にする必要がある
  • 監視エージェントを仮想マシンにインストールする必要がある
  • Azure Key Vault と Azure Service Bus で診断ログを有効にする必要がある
  • Service Bus で診断ログを有効にする必要がある
  • 脆弱性評価を、SQL サーバー上で有効にする必要がある
  • Advanced Data Security を、SQL サーバー上で有効にする必要がある
  • 脆弱性評価を、SQL マネージド インスタンス上で有効にする必要がある
  • Advanced Data Security を、SQL マネージド インスタンス上で有効にする必要がある

シングル クリック修復は、Azure Security Center の Free レベルに含まれます。

Azure Firewall 用 Just-In-Time 仮想マシン アクセスの一般提供開始

Azure Firewall 用 Just-In-Time 仮想マシン アクセスの一般提供について発表いたします。NSG で保護された環境に加えて、Azure Firewall で保護された環境も JIT で保護できるようになりました。

JIT VM アクセスは、NSG および Azure Firewall 規則を使用し、VM に対する制御されたアクセスを必要な場合にのみ提供することにより、ネットワーク帯域幅消費型攻撃に対する VM の露出を軽減します。

VM で JIT を有効化すると、保護対象のポート、ポートの開放時間、ポートへのアクセスを許可する IP アドレスをポリシーで定義できます。このポリシーは、ユーザーからのアクセス要求があった場合に、ユーザーに何を許可するかを制御するのに役立ちます。

各要求はアクティビティ ログに記録されるため、アクセスの監視や監査を容易に実施できます。JIT ブレードは、JIT が有効化されている既存の仮想マシンや JIT が推奨される仮想マシンをすばやく特定するのにも役立ちます。

Azure Security Center には、最近承認された要求が表示されます。[構成済み] VM タブには、以前に承認された JIT 要求に関する最後のユーザー、時間、開放ポートが表示されます。ユーザーが Azure Firewall で保護された VM に対して JIT 要求を作成すると、Security Center は、Azure Firewall 宛先ネットワーク アドレス変換 (DNAT) から直接変換された、仮想マシンに対する適切な接続の詳細をそのユーザーに提供します。

Azure Security Center の構成済み仮想マシン

この機能は、Security Center の Standard 価格レベルで提供されており、最初の 30 日間は無料でお試しいただけます。

Security Center のこれらの機能について詳しくは、「Azure Security Center のセキュリティ レコメンデーション」、Just-In-Time VM アクセスのドキュメントAzure Firewall のドキュメントをご覧ください。Azure Security Center の詳細については、Azure Security Center のホーム ページをご覧ください。