LoginSignup
7
0

More than 1 year has passed since last update.

Microsoft Security Advent Calendar 2022Advent Calendar 2022Day 1
@hiroakimurata(Hiroaki Murata)

Defender for App Service の推奨事項の解決を試みる

Last updated at Posted at 2022-12-01

はじめに

Defender for App Service とは、Defender for Cloud の有償で提供されるワークロード保護機能の1つであり、App Service で実行されるアプリケーションの脅威を検知することが出来ます。
脅威を検知する前段階で、アプリケーションの弱点を防ぐことができれば、セキュリティホールを悪用した攻撃に対抗することが可能です。その弱点について、自動的に診断しアドバイスしてくれる機能が Defender for Cloud に備わっており、ワークロード毎に評価結果を提示します。

Defender for App Service を試したことがない方向けに、気軽に試していただけることを知っていただくために本記事を掲載します。実際にどのような推奨事項が出てくるのかを見ていただいた上で、推奨事項の解決までのステップを書いていきます。

準備

App Service を気軽に試すため、Azure 上に WordPress を作成して簡単なWebサイトを実験台とします。
OSはLinuxで、ホスティングプランは最も安価な Basic としました。

image.png

いくつかの基本パラメータを設定し作成ボタンをクリックした後は、自動的にデプロイが開始され、10分程度で Web サイトが作成できます。

image.png

次にAzure の管理ポータルへログインし、Defender for Cloud のページから Defender for App Service を有効化します。
image.png

推奨事項の確認

Defender for App Service を有効化した後、30分~1時間程度時間を置くことで、推奨事項を確認できます。
作成したばかりの WordPress では、下記のように分かりやすく脆弱な部分があることがわかります。

image.png

ここで「異常」と判定されているもののほとんどは、アプリケーションまたはIDの設定を同じAzure 管理ポータルから設定変更することで解決することが出来ました。

「Web アプリでは FTPS を必須とする」と「Web アプリケーションには HTTPS を介してのみアクセスできるようにする」は、アプリケーション設定を変更するとよいでしょう。
この辺りは基本的な防御手法となります。

image.png

「Web アプリではマネージド ID を使用する必要がある」では、IDの設定を追加します。マネージド ID を作成しておくことでアプリケーション開発者は資格情報をアプリケーション内で管理する必要性がなくなり、安全な資格情報の運用が可能です。

image.png

「Web アプリでは、すべての受信要求に対して SSL 証明書を要求する必要がある」については、アプリケーションの設定で解決することが出来ますが、こちらを解決するためにアプリケーション設定を変更した場合、下記のようにアクセス時に証明書が要求されてしまうため、Web アプリの特性やデータ公開範囲に応じて要求すべきかどうかを決定する項目であると考えます。

image.png

image.png

最後に、「Web アプリ用に PHP を最新バージョンに更新する必要がある」については、注意が必要です。まず、PHPをバージョンアップすることによるアプリへの影響を考慮することは当然ですが、推奨事項の規定値を確認してどのバージョンを最新とみなすかを明確に確認しなければなりませんでした。
現在は、推奨事項の規定値として バージョン 8.0 が指定されているため、PHP 8.1 へ更新していてもこの推奨事項は解決されないままになります。
image.png

image.png

この場合、規定値を 8.0 にしている組み込みポリシーから、App Service の除外設定を行い、PHP 8.1 を判定するカスタムポリシーを作成する方が良いと考えます。
カスタムポリシーの設定方法を含めると長文となるため、次回の記事に回させていただきます。本記事では、参考までに PHP 8.0 を明示的に App Service 側で指定してみて、組み込みポリシーが正常に判定されるかを見てみましょう。

az webapp config set --resource-group RGNAME --name APPSERVICENAME --linux-fx-version "PHP|8.0"

az webapp config show --resource-group RGNAME --name APPSERVICENAME --query linuxFxVersion
"PHP|8.0"

image.png

無事に推奨事項が解決されたことを確認できました。

最後に

本記事では、Defender for App Service を試したことがない方向けに、下記のことを提示しました。

  • 気軽に試していただけることを知っていただく
  • 実際にどのような推奨事項が出てくるのかを見ていただく
  • 推奨事項の解決までのステップを書く

次回記事では、カスタムポリシーを設定した上で、推奨項目としてどのように反映されてくるかを掲載します。
最後まで読んでいただきありがとうございました。

7
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
7
0