Microsoft Security Advent Calendar 2022 Advent Calendar 2022の23日目に参加させていただきます。
半年前にセキュリティを学び始めた初学者ですが、お祭りに乗じて初めて記事を書いてみたいと思います!
はじめに
企業によるクラウド活用は増加の一途を辿り、2024年までの市場全体の年平均成長率(CAGR)は18.4%の高成長を保つ(※1)と予測されています。ボタン1つでサーバーやストレージなどのリソースを作成することができる便利さがある一方で、管理者にとっては膨大な設定が必要になることから、構成ミスが攻撃の穴として活用されてしまっている現状もあります。また、クラウド活用が推進されている一方で、セキュリティ対策が後手に回ってしまっているケースもあるのではないでしょうか。社内に必須の資産であるサーバーもセキュリティ対策を必要としていますが、オンプレミスサーバーと比較してクラウドのサーバーセキュリティは大きく変化しています。クラウド時代のサーバーセキュリティのためにAzure上で提供されているソリューションが"Microsoft Defender for Servers"になります。今回はDefender for Serversの位置づけや、提供されている機能を整理して紹介したいと思います。
※1 2020年MM総研調査より
Defender for Cloud と Defender for Severs
Defender for Serversについての説明の前に、まずクラウドリソースの保護を担うDefender for Cloudを知っていただく必要があります。企業内にはユーザーIDやデバイス、クラウドアプリやドキュメントなどの社内資産が存在し、クラウドリソースもそれらに並ぶ資産の1つと言えます。Defender for Cloudはこのクラウドリソースの保護を効率的に強化するためのマルチクラウドプラットフォームのソリューションです。
Defender for Cloudにはセキュリティ態勢管理(CSPM)やクラウドワークロード保護(CWP)の機能が備わっています。
CSPM(Cloud Security Posture Management)はクラウド環境全体のセキュリティの評価やコンプライアンスの監視を行う機能です。
CWPP(Cloud Workload Protection)はIaaS(ストレージやサーバー)やPaaS(App Serviceやコンテナ)などのクラウド上のワークロードの保護を担います。その中でサーバーのセキュリティに焦点を当てたソリューションが、”Microsoft Defeder for Servers”です。AWS, GCPを含むマルチクラウド(Azure, AWS, GCP)やオンプレミスのハイブリット環境の安全性を継続的に維持するための機能が含まれています
画像引用:https://www.microsoft.com/ja-jp/security/business/threat-protection
マルチクラウド対応
現在92%の組織がマルチクラウド戦略を採用している(※2)というデータから分かるように、Azure上だけにリソースがあることは稀です。しかし、セキュリティ管理者視点では、マルチクラウド上のリソースを別々で管理することは多くの工数を割くことになってしまいます。そのため、Defende for Serversがマルチクラウドに対応していて、1つの画面で一元的に管理できるという点は大きなメリットになります。AWS, GCP, オンプレミス上のサーバー(Azure Arc 対応サーバーである必要があります)は、Azure Arcをデプロイすることによって、Azure VMと同様にDefender for Serversの機能を利用することができます。
※2 Flexera 2021 State of the Cloud Report より
Defender for Serversの有効化
Defender for Serversの有効化は簡単で、ボタン1つで利用を開始することができます。Azure Portalに接続し、Defender for Cloudの概要画面に入ったら、左のリソースウィンドウから環境設定を選択します。
Defenderプランの一覧にあるDefender for Serversの状態をオンに切り替えることで、利用を開始することができます。
また、Defender for Serversには2つのプランが用意されており、必要な機能に応じてどちらかを選択する必要があります。
Defender for Serversでできること
では上記手順でDefender for Serversの機能をオンにすることで使えるようになる機能ををご紹介します。
今回いくつか機能を抜粋してご紹介したいと思います。
脅威検出と対処
近年のサーバー攻撃の高度化に伴い、ウイルス対策だけでエンドポイントを防御することは難しくなっています。そこで必要となってくるのが、侵害されることを想定したEDR(Endpoint Detection and Response)で、Defender for Serversのプラン1に含まれる機能です。マイクロソフトのエンドポイントソリューションであるDefender for Endpoint(MDE)は、Defender for Cloudに接続されているサーバーに自動オンボード、アラート連携が行われ、Azure portal上でMDEのアラートを確認することができます。詳細な調査のためには、Microsoft 365 Defender管理ポータルにて、追加情報を確認することができます。
コンプライアンス基準を用いたインフラ環境の評価
セキュアスコアの表示はDefender for Cloudの無償機能で提供されていますが、Defender for Servers P2に含まれる規制コンプライアンスの機能を利用することで、各団体や各業界特有のコンプライアンス基準を用いて環境を評価することができます。
マイクロソフトのベストプラクティスの基準として提供されているMicrosoft Cloud Security Benchmarkや各団体のコンプライアンス基準に則ったスコアを可視化し、推奨項目に従って設定変更や対応を行うことで、業界や団体ごとに最適なセキュリティ強化を手を打つことができます。また、推奨項目はリスクの高い順に高・中・低と分類して表示されるため、どこから手をつけるべきかを明確に知ることができます。
運用セキュリティの強化
Just-In-Time VMアクセス
攻撃面の減少を目的としたネットワーク面でのセキュリティ強化を行う機能の1つがJust-In-TimeのVMアクセスです。
クラウド上のVMにRDP接続やSSH接続でリモートアクセスする際に解放されているポートは、攻撃者が攻撃の入り口の対象として利用する可能性があります。JITアクセスを利用すると通常時はポートを閉じた状態で、必要な時にだけアクセスを要求し承認を得ることで、指定された時間の間アクセスを許可される状態になります。それにより、利便性を損なわないままで攻撃面を減少させることができます。これはDefender for Servers プラン2に含まれる機能で、セキュアスコア改善のため推奨事項として表示されます。
最後に
従来と比較して、クラウド時代のサーバーセキュリティ対策はするべきことが多岐にわたり、複雑さを増してきています。サイバー攻撃も高度化している中で、Defender for Serversはシンプルにサーバーセキュリティを強化する機能が提供されています。1台でもサーバーをお持ちの方がいれば、Defender for Serversを有効化するところからセキュリティ対策をはじめてみてはいかがでしょうか。
最後まで読んでいただきありがとうございました!
※この記事は2022年12月現在の情報になります。
参考リンク