12
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

Azure Security Center の基本「推奨事項」と「セキュリティーポリシー」について

Posted at

こちらの記事は Microsoft Azure Tech Advent Calendar 2018 の企画のエントリです。(11日目)

こんにちは!
突然ですが Azure Security Center ってご存知ですか???

存在は知っているけど使い方も分からないし、特に気にもしていない。そんな方もいらっしゃるのではないでしょうか。

Azure Security Center は、Azureをご利用のユーザーがAzure上のリソースのセキュリティ上の脆弱性をチェックしたり、セキュリティ面での推奨設定を提示してくれたりするかなり便利なサービスです。Azure上のサービスとして提供されていますので今すぐ使えます!

今日はそんなSecurity Centerの数ある機能のうち、基本的だけどとても役立つ2つの機能をご紹介し、後半部分では実際にセキュリティポリシーを設定する手順をお見せします。

以下2つのセクションに分かれています。


Azure Security Center の「推奨事項」と「セキュリティポリシー」

Security Center のダッシュボードを開くと以下の3つのカテゴリーの概要情報が確認できます。
・ポリシーとコンプライアンス
・リソース セキュリティの検疫
・脅威の防止
2018-12-09 17_51_54-OneNote.png

これら3つのカテゴリー、一見しただけで何を表すのか知らないと分からないですよね。。。
なので簡単にまとめてみました。

機能 説明
ポリシーとコンプライアンス Azureで設定済み(またはユーザーが設定した)セキュリティポリシーに準拠しているかどうかを評価した結果を表示
リソース セキュリティの検疫 Azure Security Center の組み込みのセキュリティ対策の推奨事項に準拠しているかどうかを評価した結果を表示
脅威の防止 Azure Security Center に集まったデータを自動分析し検知した脅威の情報を表示

「ポリシーとコンプライアンス」はユーザーが個別にカスタマイズ可能なセキュリティポリシーに基づいて評価するもの、
「リソース セキュリティの検疫」は Azure Security Center に組み込みの推奨事項に基づいて評価するもの、と言い換えても良いかもしれません。
「脅威の防止」は収集されたデータに対するより高度な分析を提供するもので、様々な脅威からAzure上のリソースを保護するための情報を提供してくれます。どんな脅威を検出してくれるか興味ある方は 「Azure Security Center における各種のセキュリティ アラート」 も参照してみてください。

今日は、上記に出てきた「推奨事項」「セキュリティポリシー」についてもう少し見てみて、実際にセキュリティポリシーも設定してみたいと思います。

推奨事項

Asure Security Center は、Azure リソースのセキュリティの状態を分析し、セキュリティ対策についての推奨事項を提供してくれます。Azureを使い始めたけど、セキュリティ対策をどこからどのように実施すべきか分からない!という方にもこれさえ見ればやるべきことが一目で分かります!すごく便利です。
2018-12-09 20_31_53-推奨事項 - Microsoft Azure.png

推奨事項は大きく分けると以下の4つのカテゴリーに分類されます。

  • コンピューター リソースとアプリ (Azureの画面では「計算とアプリ」と翻訳されています)
  • ネットワーク リソース
  • SQL サービス と データ
  • ID と アクセス

推奨事項の具体例としては、仮想マシンなどのコンピューターリソースであれば、セキュリティアップデートを適用するよう推奨したり、サブネットのリソースであれば、NSG(ネットワークセキュリティグループ)を有効にするよう推奨するようなものです。
こうした推奨事項が上記の4つのカテゴリーごとに数多く用意されています。
推奨事項についてもう少し詳しく見てみたい場合は、Azure Security Center でのセキュリティに関する推奨事項の管理 を参照してみてください。

セキュリティポリシー

次にセキュリティポリシーとその仕組みについて簡単ですが見てみます。

セキュリティポリシー は、Azureのリソースに対してのポリシーを定義し、各リソースがセキュリティ要件に準拠するようにするためのものです。ポリシーに準拠していないリソースがあれば以下のように一目瞭然です。ポリシー非準拠のリソースを見逃すことはありません!
2018-12-10 16_29_55-[プレビュー]_ Azure Security Center での監視を有効にする @@@ - Microsoft Azure.png

ちなみに、セキュリティポリシーはAzureポリシーのうち、カテゴリが「Security Center」に設定されたものです。(ポリシー定義を見ると組み込みのセキュリティポリシーを確認できます。)
2018-12-09 22_10_51-Window.png

Azure Security Center では上の画面にあるような組み込みのセキュリティポリシー が提供されておりAzureのユーザーであればすぐに利用することができます。

セキュリティポリシーの仕組み

Azure ポリシーは、次のコンポーネントで構成されています。

  • ポリシー
  • イニシアティブ
  • 割り当て

「ポリシー」は、Azureのリソースに適用される規則(ルール)です。
「イニシアティブ」は、ポリシーのコレクションで複数のポリシーをまとめたものです。
「割り当て」は、特定のスコープ (管理グループ、サブスクリプション、またはリソース グループ) にイニシアティブまたはポリシーを適用することです。例えば、「VM の脆弱性の監視」というイニシアティブをサブスクリプションに割り当てると、このイニシアティブに含まれる複数のポリシーがサブスクリプションに属するリソース全体に適用されます。


セキュリティポリシーを設定してみる

では、実際にセキュリティポリシーを設定してみましょう。以下の流れで設定します。

  1. イニシアティブの作成
  2. ポリシーをイニシアティブに紐づけ
  3. サブスクリプションにイニシアティブを割り当て

1. イニシアティブの作成

まず、Azureポータルでポリシーを開いてください。
2018-12-09 22_41_13-Window.png
ポリシーの概要 画面が開きます。2018-12-09 22_43_48-概要 - Microsoft Azure.png

「定義」を選択し、「イニシアティブ定義」ボタンをクリックします。
2018-12-09 22_53_51-Window.png

イニシアティブ定義 画面で「定義の場所」「名前」「カテゴリ」を入力します。
今回、定義の場所はイニシアティブを割り当てる対象のサブスクリプション、カテゴリは既存のもので Security Center を選択しました。
2018-12-09 22_58_18-Window.png

2. ポリシーをイニシアティブに紐づけ

次にこのイニシアティブにポリシーを紐づけます。

イニシアティブ定義 画面の右側の 「使用可能な定義」 でこのイニシアティブに含めたいポリシーの + ボタンをポチポチクリックしていきます。
2018-12-09 23_02_42-イニシアティブ定義 - Microsoft Azure.png

追加されたポリシーは画面左側に表示されます。保存ボタンを押してイニシアティブを保存します。
2018-12-09 23_08_50-Greenshot.png

3. サブスクリプションにイニシアティブを割り当て

最後に作成したイニシアティブをサブスクリプションに割り当てます。

ポリシー定義画面から先ほど作成したイニシアティブを見つけ、右側の ・・・ をクリックします。
2018-12-09 23_16_19-Window.png
ポップアップしたメニューの中から「割り当て」を選択します。
2018-12-09 23_19_14-Window.png

イニシアティブを割り当てるスコープ(今回はサブスクリプション)を確認し、「割り当て」ボタンをクリックし、割り当てを実行します。
2018-12-09 23_21_07-MyInitiative - Microsoft Azure.png

割り当てが成功するとポータルに以下のような通知が表示され、完了です。
2018-12-09 23_23_25-Greenshot.png

まとめ

今日はAzure Security Center の推奨事項セキュリティポリシー の基本についてお伝えし、セキュリティポリシーの設定手順をご紹介しました。
Security Center は、Azureをご利用の全ての方が今すぐ使える、だけどすごく強力なサービスです。他のクラウド事業者では提供していないAzureならではのサービスでもありますので、これを機会にぜひ使ってみてください!

12
6
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
12
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?