はじめに
Azure環境下において、セキュリティのサービスは多種多様で整理するだけでもとても大変でした。備忘録もかねてこの記事にその整理の結果をまとめておきます。また、ご指摘やご質問等ございましたらコメントお願いいたします。
目次
・Microsoft Defender 脆弱性管理(MDVM)による評価
・ゲスト構成による脆弱性評価
MicrosoftDefender脆弱性管理(MDVM)による評価
ざっと早見表です。
| ▽ベンチマーク▽ | クラウドリソース | OS | ミドルウェア ソフトウェア |
|---|---|---|---|
| CIS | × | 〇※ | × |
| STIG | × | 〇※ | × |
| MCSB V1 | × | 〇※ | × |
|
セキュアスコア (ロジック非公開) |
〇 | × | × |
| 脆弱性(CVE) | 〇 | 〇 | 〇 |
※ Windows OSのみ対応可
ポイント
以下、要点です
- WindowsOSについては、ベースライン評価機能を使用することで評価可能
- クラウドリソースの構成評価は、セキュアスコアでも十分
- Linux OS、Windows OS、ミドルウェア、ソフトウェアのCVEの管理が可能
- Microsoft Defender for Endpoint(MDE)で収集したデータをもとに評価
- Linux OSの構成を評価することはできない(Roadmapには上がっています)
- STIG、CIS、MCSBによるWindows OSの評価はベースラインの評価から可能
- 最近、Defender for CloudがMixrosoft Defender XDRへ統合されて、XDRの画面からいろいろ管理できる
構成時の注意点
ゲスト構成による脆弱性評価
先にざっと早見表です。
| ▽ベンチマーク▽ | クラウドリソース | OS | ミドルウェア ソフトウェア |
|---|---|---|---|
| CIS | × | 〇 | × |
| STIG | × | 〇 | × |
| ASB V2 | × | 〇 | × |
ASB V2のMSドキュメントは無かったですが、以下がベースラインの詳細な内容のようです。
ポイント
以下、要点です
- ゲスト構成エージェント経由で収集したデータをもとに評価
- LinuxOS、WindowsOSにおいてAzure Security Baseline(ASB)V2での評価が可能
構成時の注意点
- 対象の仮想マシンにゲスト構成拡張機能のインストールが必要
- Azure Policyゲスト構成の設定が必要
考察
構成の上で仮想マシンを利用するのであれば、基本的にゲスト構成とMDVMによる評価の双方利用するのが望ましいです。その上で、ソフトウェアやミドルウェアの設定評価をしっかりとしたいのであれば、極力、サードパーティのツールを導入しましょう。仮想マシンやAzure Arcの構成がなく、OSの評価が必要なければMDVMのセキュアスコアだけで評価は十分なようにも思います。