LoginSignup
1
1
@YoshiakiOi(Yoshiaki Oi)inMicrosoft

Azure から Windows Server / Linux の OS セキュリティ構成管理 (セキュリティベースライン評価) - Defender Vulnerability Management と Defender for Servers

Last updated at Posted at 2024-02-22

本記事について

Windows Server OSLinux OS をよりセキュアに構成したい、セキュアな構成になっているか評価したいというニーズをお聞きすることが増えてきています。

本記事では、Azure から利用できるセキュリティサービスで、Azure 仮想マシンや Azure 外にあり Azure Arc で管理されているサーバーに対して、どのような機能でサーバー OS のセキュリティ構成評価が行えるかを見ていきます。

利用できるサービスの概要

Azure から利用できるセキュリティサービスで、サーバー OS のセキュリティ構成評価を行う手法は主に2つあります。どちらも、特定のセキュリティベースラインを基に OS のセキュリティ構成を評価する機能です。

image.png

Defender for Servers P2 を既に利用している場合は、どちらの機能も利用できます。それぞれのサービス・仕組みの詳細について、下記で見ていきます。

1. Microsoft Defender Vulnerability Management - セキュリティベースライン評価

Microsoft Defender Vulnerability Management は名前の通り脆弱性管理を行うサービスです。Azure からサーバーに対して、Defender for Servers P1/P2 の一部として提供されています。

image.png

特に、サーバー OS のセキュリティベースライン評価は、Plan 2で提供されている機能に該当します。2024年2月現在、Windows 10、Windows 11、および Windows Server 2008 R2 以降の Center for Internet Security (CIS) ベンチマークと、Windows 10および Windows Server 2019 のセキュリティ技術実装ガイド (STIG) ベンチマークがサポートされています。今後、Microsoft Security Baselines のサポートが予定され、Linux OS サポートもロードマップになっています。

Microsoft Defender Vulnerability Management は Microsoft Defender XDR の一部として、同ポータル https://security.microsoft.com/ から提供されています。情報収集については、Microsoft Defender for Endpoint のセンサー・エージェントなどを利用しています。そのため、Defender for Servers で Defender for Endpoint の統合を有効化することで、Defender Vulnerability Management の利用も同時に使用を開始できます。

この仕組み自体は Azure 仮想マシンと Azure Arc マシン (オンプレミス・他社クラウド対象) で違いはありません。Azure Arc マシンでのオンボードの概念図は下記になります。

image.png

一度、Defender for Servers P2 経由で情報収集を開始すると、Defender XDR Portal にてベースライン評価の設定を行えます。プロフィールを発行すると対象のマシンに対して指定のベンチマークで評価を開始します。

image.png

image.png

評価が完了すると、レポートを確認できます。

image.png

2. マシン構成 (ゲスト構成) によるセキュリティベースライン評価 (Azure Automanage / Defender for Servers)

Azure Automanage のマシン構成 (ゲスト構成) では、Windows OS / Linux OS の構成の監査と構成の修正を行うことができます。こちらは、Azure 仮想マシンや Azure Arc 対応マシンで下記の拡張機能で利用できます。

image.png

こちらの拡張機能で OS の構成情報を取得し、分析を行います。

image.png

Defender for Cloud や Azure Policy にて、Microsoft Cloud Security Benchmark – Azure Compute Security Baseline でベースライン評価を実行します。

このベースラインは、マイクロソフトがリリースしているクラウド環境をよりセキュアに利用することを支援するベンチマークである、Microsoft Cloud Security Benchmarkの一部として、Windows Server / Linux の OS のセキュリティベースラインを提供します。

Defender for Cloud では、推奨事項の Windows (Linux) マシンのセキュリティ構成の脆弱性を修復する必要がある (ゲスト構成を使用) にてレポートを確認できます。

image.png

Azure Policy で行う場合は、コンピューティングセキュリティベースラインで評価を行うポリシーを割り当てることで監査を行えます。

image.png

結果は Azure Portal のマシン構成 (ゲスト割り当て)のページで確認できます。

image.png

また、上記ポリシーは監査モードではなく、構成修正を行うモードでも展開できます。configurationMode として ApplyAndMonitor にして再割り当てをします。詳細については、マイクロソフト社のアーキテクトがリリースしている「IaaS仮想マシンの管理について」でも詳細が解説されています。

最後に

*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1