CIS Benchmarks に対応する新しい Azure Blueprint

2020年1月15日 に投稿済み

Senior Program Manager

このたび、新しい主要業界標準、Center for Internet Security (CIS) Microsoft Azure Foundations Benchmark に対応する最新の Azure Blueprint をリリースしました。FedRAMP Moderate に対応する Azure Blueprint が最近発表されたばかりですが、今回はそれに続くリリースとなります。Azure Blueprint が対応する規制コンプライアンスは増え続けており、既に ISO 27001、NIST SP 800-53、PCI-DSS、UK OFFICIAL、UK NHS、IRS 1075 などに対応していますが、今回のリリースで Azure Blueprint が対応する規制コンプライアンスがさらに増えることになります。

Azure Blueprint は、クラウド アーキテクトや中枢の情報テクノロジ グループが組織の標準、パターン、要件を実装および遵守する一連の Azure リソースを定義できるようにする無料のサービスです。Azure Blueprint を利用することで、開発チームは、組織のコンプライアンス要件を満たす、新しい、信頼できる環境を素早く構築して立ち上げることができます。お客様は、新たな CIS Microsoft Azure Foundations Benchmark ブループリントを既存の環境だけでなく新しいサブスクリプションにも適用できます。

CIS Benchmarks (英語) は、"サイバー防衛のためのベスト プラクティス ソリューションの特定、開発、検証、推進、および維持" を使命とする非営利団体 CIS (英語) によって策定された、システムをセキュアに構成するための構成のベースラインおよびベスト プラクティスとなるものです。IT システムやデータをサイバー攻撃から守ることを目的とする、国際的に認められたこれらのセキュリティ標準は、グローバル コミュニティが合意に基づくプロセスに従って共同で策定しています。数千社の企業が利用している CIS Benchmarks は、セキュアなベースラインとなるシステムの構成を確立するための規範的なガイダンスを提供します。システム管理者、アプリケーション管理者、セキュリティ専門家、およびマイクロソフトの製品やサービスを利用してソリューションを開発するその他のユーザーは、これらのベスト プラクティスを用いてアプリケーションのセキュリティを評価および強化できます。

CIS Microsoft Azure Foundations Benchmark の推奨事項は、それぞれ組織のサイバー防衛の強化を支援する目的で開発された 20 のうち 1 つ以上の CIS Controls (英語) を参照しています。ブループリントは、CIS Microsoft Azure Foundations Benchmark の推奨事項の遵守の評価に役立つ Azure Policy の定義を割り当てます。CIS Microsoft Azure Foundation Benchmark v1.1.0 (英語) の推奨事項は全部で 9 つのセクションに分類されていますが、各セクションの主な要素は以下のとおりです。

ID とアクセスの管理 (1.0)

  • 特権のある Azure Active Directory アカウントで多要素認証が有効になっていない際の監視に役立つ Azure Policy の定義を割り当てる
  • 特権のない Azure Active Directory アカウントで多要素認証が有効になっていない際の監視に役立つ Azure Policy の定義を割り当てる
  • 削除が必要な可能性があるゲスト アカウントやカスタムのサブスクリプション ロールの監視に役立つ Azure Policy の定義を割り当てる

Security Center (2.0)

  • Security Center の Standard レベルが有効になっていないネットワークや仮想マシンの監視に役立つ Azure Policy の定義を割り当てる
  • 仮想マシンの脆弱性の監視、仮想マシンの修復、Endpoint Protection の有効化、および仮想マシンへのシステムの更新プログラムのインストールが確実に行われるようにするのに役立つ Azure Policy の定義を割り当てる
  • 仮想マシン ディスクの暗号化が確実に行われるようにするのに役立つ Azure Policy の定義を割り当てる

ストレージ アカウント (3.0)

  • セキュリティで保護されていない接続を許可するストレージ アカウントの監視に役立つ Azure Policy の定義を割り当てる
  • 無制限のアクセスを許可するストレージ アカウントの監視に役立つ Azure Policy の定義を割り当てる
  • 信頼できる Microsoft サービスからのアクセスを許可しないストレージ アカウントの監視に役立つ Azure Policy の定義を割り当てる

データベース サービス (4.0)

  • SQL Server の監査機能の有効化と適切な構成、および 90 日以上のログの保持が確実に行われるようにするのに役立つ Azure Policy の定義を割り当てる
  • 高度なデータ セキュリティの通知機能の適切な有効化が確実に行われるようにするのに役立つ Azure Policy の定義を割り当てる
  • 暗号化とその他のセキュリティ設定に関する SQL Server の構成が確実に行われるようにするのに役立つ Azure Policy の定義を割り当てる

ログと監視 (5.0)

  • すべての Azure サブスクリプションに対してログ ファイルが確実に存在するようにするとともに、それらのログ ファイルの適切な構成、1 年以上のアクティビティ ログの保持が確実に行われるようにするの役立つ Azure Policy の定義を割り当てる

ネットワーク (6.0)

  • リソースが展開されているすべてのリージョンにわたって Network Watcher の有効化が確実に行われるようにするのに役立つ Azure Policy の定義を割り当てる

仮想マシン (7.0)

  • 仮想マシンでディスク暗号化の有効化が確実に行われるようにするのに役立つ Azure Policy の定義を割り当てる
  • 承認済みの仮想マシン拡張機能のみがインストールされていることの確認に役立つ Azure Policy の定義を割り当てる
  • 仮想マシンでシステムの更新プログラムのインストールと Endpoint Protection の有効化が確実に行われるようにするのに役立つ Azure Policy の定義を割り当てる

その他のセキュリティに関する考慮事項 (8.0)

  • キー コンテナー オブジェクトの誤削除があった場合でも確実に回復できるようにするのに役立つ Azure Policy の定義を割り当てる
  • Kubernetes サービス クラスター内でのアクセス許可を管理するためにロール・ベースのアクセス制御が使用されるか確認するのに役立つ Azure Policy の定義を割り当てる

AppService (9.0)

  • セキュリティで保護された接続を介してのみ Web アプリケーションにアクセスできることの確認に役立つ Azure Policy の定義を割り当てる
  • HTTPS を介してのみ Web アプリケーションにアクセスできるようにする、最新バージョンの TLS 暗号化が Web アプリに使用されている、そして、有効な証明書を持つクライアントだけが Web アプリに到達できることの確認に役立つ Azure Policy の定義を割り当てる
  • 最新バージョンの Net Framework、PHP、Python、Java、および HTTP が使用されているか確認するのに役立つ Azure Policy の定義を割り当てる

CIS Benchmarks の遵守を実現したいと考えている Azure のお客様は、構成に関する個々の推奨事項の遵守について評価する際にこの Azure Blueprint が役立つ場合がありますが、これにより、CIS Benchmarks や CIS Controls のすべての要件に完全に準拠していることが保証されるわけではありません。また、推奨事項は 1 つ以上の Azure Policy の定義に関連付けられていますが、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。  最終的には、自社の環境に適用されるコンプライアンス要件を満しているか、また、個々の情報がお客様のコンプライアンスのニーズを満たすのに役立つかどうかはお客様の裁量でご判断する必要があります。

CIS Microsoft Azure Foundation Benchmark ブループリントの詳細については、こちらのドキュメントを参照してください。