1年ぶりになってしまいますが、今年もセキュリティ初学者が記事を書く機会として、Advent Calender 2023 16日目に参加させて頂きます!
今回は、Azure を利用しているすべての方に使っていただきたい、Defender for Cloud でできるマルチクラウドCSPMについて、1年間で学んできたことを書いていきたいと思います。
はじめに
個人や企業のクラウド活用は、生成AI技術の発達により更に勢いづいています。多くのデータをクラウド上に保存し活用することは非常に便利で効率的ですが、その一方で情報漏洩やサイバー攻撃から保護するために適切な構成が行われているかを常に確認する必要がでてきました。
また、ユーザーは1種類のクラウドサービスだけを利用しているわけではなく、AWSやGCPなど複数のサービスを利用している場合、マルチクラウド環境のすべての設定を管理しなくてはならないということになります。しかし、マルチクラウドの無数の設定を人的に確認することは現実的ではなく、ツールを使って効率的かつ正しく行う必要があります。
そこで非常に重要となる機能の1つが、CSPM (Cloud Security Posture Management) になります。マイクロソフトはAzure上でマルチクラウドに対応したCSPMをDefender for Cloud の機能の1つとして提供しており、本日はこの機能についてまとめていければと思います。
無償で使える基本的なCSPM機能
マイクロソフトのクラウドリソースの保護を担うDefender for Cloud。その1つとして提供される基本的なCSPMの機能は、Azureを利用している全ての人が、無償で利用いただけるソリューションになります。この機能はユーザーが特別な作業をせずともアカウントとサブスクリプションを有していれば、自動で有効化されるものですので、是非利用してほしい機能です。無償の基本的なCSPM機能では物足りない方向けには、さらに高度なセキュリティ要件を満たせる有償のDefender CSPMも用意されていますので、そちらを利用することができます。
画像引用:Microsoft Defender クラウド セキュリティ態勢管理
Azure portalを確認すると、特別な操作を行っていなくとも、既にセキュアスコアが表示されてることが確認できます。各サブスクリプションにどのようなリソースがあるのか、その中で正常でないリソースがどれくらい存在するのかをスコア化して一目で理解することができます。
このスコアはマイクロソフトクラウドセキュリティベンチマーク(MCSB)に基づいてスコアリングされています。MCSB自体はマイクロソフトのセキュリティフレームワークや業界ベンチマーク等を参照して作られているもので、この規範的なベンチマークに照らし合わせたクラウドリソース全体の状態を把握することができます。
セキュアスコアを深堀してみていくと、下記のように推奨項目や脆弱性情報が表示されています。対応できていない重要な項目を表示し、各項目ごとにどの程度スコアが向上するかが示されているため、優先順位をつけて対応することができます。また、推奨項目から設定不備があるリソースを特定し、設定の修復まで行うことが可能になります。
Azure だけじゃない!マルチクラウド対応
Defender for Cloud に含まれるCSPM機能はマルチクラウドに対応していることも重要なポイントの1つです。AWSやGCP上の別画面でクラウドの健康状態を確認するのも良いですが、別画面で全く異なるUIを確認することは効率的ではありません。CSPMを自分の健康状態を常に可視化・分析することに例えるとすると、Defender for Cloud のCSPMを使うことで家族全員の健康状態を一つのポータル画面で確認・管理することが可能になります。異なる病院で検査した結果だとしても、同様のフォーマットで単一の画面で確認することはクラウド管理者の方の工数削減に繋がります。
さらに高度な機能を含む "Defender CSPM"
より高度なセキュリティニーズに対応するために、有償版のCSPMであるDefender CSPMが用意されています。Defender CSPM にはエージェントレスの脆弱性スキャンやデータ保護の機能等が含まれていますが、今回はどんな時にDefender CSPM を使ったらいいのかをいくつかご紹介します。
クラウド環境のリスクを早期に特定し対処したい
Defender for Cloud に接続されたクラウドリソースの情報から、攻撃パス分析を行い、リスクが高く攻撃を受けやすい経路を特定することができます。分析の結果と合わせ対処の方法を受け取ることができ、攻撃者が組織にとって重大な資産に手を伸ばすリスクを未然に防ぐことが可能になります。
画像引用:https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/concept-attack-path#what-is-attack-path-analysis
スコアリングのルールをカスタマイズしたい
MCSBだけではなく、組織によって業界特有のレギュレーションに基づいたスコアリングを行いたいというニーズがある際にも、Defender CSPM で対応することができます。CIS、PCI、NISTなどをはじめ、AWS、GCPに対応したベンチマークが用意されており、各基準に応じたスコアを確認することが可能です。
Defender CSPMの有効化
早速利用したいと思ってくださった方、Defender CSPMの有効化は非常に簡単です。まずAzure portalに接続し、検索窓で検索するなどしてDefender for Cloud の概要画面に移った後、左のリソースウィンドウで環境設定を選択します。
設定画面のDefender プランの画面に、Defender for Cloud に含まれるプランの一覧からDefender CSPMの状態をオンに切り替えることで、ワンクリックで利用を開始することができます。価格は現在請求対象のリソースあたり 月額5ドルとなっており、対象リソースの数も下記の画面で確認することが可能です。
最後に
クラウド活用が進み便利かつ効率的になってきた一方で、クラウド管理者の方の業務は増える一方かと思われます。そのような状況でAzure だけでなくマルチクラウド環境の状態を常に確認し、脆弱性やリスクの可視化を無償で行うことができるDefender for Cloud のCSPM機能を使わない手はありません!また、Defender CSPMを利用して、更に高度なセキュリティニーズに対応することも可能です。
是非一度、ご自身の管理されているクラウド環境の健康状態を確認するため、Defender for Cloud を使ってみてはいかがでしょうか。
最後まで読んでいただきありがとうございました!
※この記事は2023年12月現在の情報になります。
参考リンク