こちらの記事は Microsoft Azure Tech Advent Calendar 2018 の企画のエントリです。(11日目)
こんにちは!
突然ですが Azure Security Center ってご存知ですか???
存在は知っているけど使い方も分からないし、特に気にもしていない。そんな方もいらっしゃるのではないでしょうか。
Azure Security Center は、Azureをご利用のユーザーがAzure上のリソースのセキュリティ上の脆弱性をチェックしたり、セキュリティ面での推奨設定を提示してくれたりするかなり便利なサービスです。Azure上のサービスとして提供されていますので今すぐ使えます!
今日はそんなSecurity Centerの数ある機能のうち、基本的だけどとても役立つ2つの機能をご紹介し、後半部分では実際にセキュリティポリシーを設定する手順をお見せします。
以下2つのセクションに分かれています。
- Azure Security Center の「推奨事項」と「セキュリティポリシー」
- セキュリティポリシーを設定してみる(Security Centerの基本を理解されている方はこちらだけでも結構です。)
Azure Security Center の「推奨事項」と「セキュリティポリシー」
Security Center のダッシュボードを開くと以下の3つのカテゴリーの概要情報が確認できます。
・ポリシーとコンプライアンス
・リソース セキュリティの検疫
・脅威の防止
これら3つのカテゴリー、一見しただけで何を表すのか知らないと分からないですよね。。。
なので簡単にまとめてみました。
| 機能 | 説明 |
|---|---|
| ポリシーとコンプライアンス | Azureで設定済み(またはユーザーが設定した)セキュリティポリシーに準拠しているかどうかを評価した結果を表示 |
| リソース セキュリティの検疫 | Azure Security Center の組み込みのセキュリティ対策の推奨事項に準拠しているかどうかを評価した結果を表示 |
| 脅威の防止 | Azure Security Center に集まったデータを自動分析し検知した脅威の情報を表示 |
「ポリシーとコンプライアンス」はユーザーが個別にカスタマイズ可能なセキュリティポリシーに基づいて評価するもの、
「リソース セキュリティの検疫」は Azure Security Center に組み込みの推奨事項に基づいて評価するもの、と言い換えても良いかもしれません。
「脅威の防止」は収集されたデータに対するより高度な分析を提供するもので、様々な脅威からAzure上のリソースを保護するための情報を提供してくれます。どんな脅威を検出してくれるか興味ある方は 「Azure Security Center における各種のセキュリティ アラート」 も参照してみてください。
今日は、上記に出てきた**「推奨事項」と「セキュリティポリシー」**についてもう少し見てみて、実際にセキュリティポリシーも設定してみたいと思います。
推奨事項
Asure Security Center は、Azure リソースのセキュリティの状態を分析し、セキュリティ対策についての推奨事項を提供してくれます。Azureを使い始めたけど、セキュリティ対策をどこからどのように実施すべきか分からない!という方にもこれさえ見ればやるべきことが一目で分かります!すごく便利です。
推奨事項は大きく分けると以下の4つのカテゴリーに分類されます。
- コンピューター リソースとアプリ (Azureの画面では「計算とアプリ」と翻訳されています)
- ネットワーク リソース
- SQL サービス と データ
- ID と アクセス
推奨事項の具体例としては、仮想マシンなどのコンピューターリソースであれば、セキュリティアップデートを適用するよう推奨したり、サブネットのリソースであれば、NSG(ネットワークセキュリティグループ)を有効にするよう推奨するようなものです。
こうした推奨事項が上記の4つのカテゴリーごとに数多く用意されています。
推奨事項についてもう少し詳しく見てみたい場合は、Azure Security Center でのセキュリティに関する推奨事項の管理 を参照してみてください。
セキュリティポリシー
次にセキュリティポリシーとその仕組みについて簡単ですが見てみます。
セキュリティポリシー は、Azureのリソースに対してのポリシーを定義し、各リソースがセキュリティ要件に準拠するようにするためのものです。ポリシーに準拠していないリソースがあれば以下のように一目瞭然です。ポリシー非準拠のリソースを見逃すことはありません!
![2018-12-10 16_29_55-[プレビュー]_ Azure Security Center での監視を有効にする @@@ - Microsoft Azure.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.amazonaws.com%2F0%2F320829%2F4d3737c9-ad3e-9c0e-f80a-ef6a0f08ff1d.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=383eda700d65a81571351d9dc9b104e4)
ちなみに、セキュリティポリシーはAzureポリシーのうち、カテゴリが「Security Center」に設定されたものです。(ポリシー定義を見ると組み込みのセキュリティポリシーを確認できます。)
Azure Security Center では上の画面にあるような組み込みのセキュリティポリシー が提供されておりAzureのユーザーであればすぐに利用することができます。
セキュリティポリシーの仕組み
Azure ポリシーは、次のコンポーネントで構成されています。
- ポリシー
- イニシアティブ
- 割り当て
**「ポリシー」**は、Azureのリソースに適用される規則(ルール)です。
**「イニシアティブ」**は、ポリシーのコレクションで複数のポリシーをまとめたものです。
**「割り当て」**は、特定のスコープ (管理グループ、サブスクリプション、またはリソース グループ) にイニシアティブまたはポリシーを適用することです。例えば、「VM の脆弱性の監視」というイニシアティブをサブスクリプションに割り当てると、このイニシアティブに含まれる複数のポリシーがサブスクリプションに属するリソース全体に適用されます。
セキュリティポリシーを設定してみる
では、実際にセキュリティポリシーを設定してみましょう。以下の流れで設定します。
- イニシアティブの作成
- ポリシーをイニシアティブに紐づけ
- サブスクリプションにイニシアティブを割り当て
1. イニシアティブの作成
まず、Azureポータルでポリシーを開いてください。
ポリシーの概要 画面が開きます。
「定義」を選択し、「イニシアティブ定義」ボタンをクリックします。
イニシアティブ定義 画面で「定義の場所」「名前」「カテゴリ」を入力します。
今回、定義の場所はイニシアティブを割り当てる対象のサブスクリプション、カテゴリは既存のもので Security Center を選択しました。
2. ポリシーをイニシアティブに紐づけ
次にこのイニシアティブにポリシーを紐づけます。
イニシアティブ定義 画面の右側の 「使用可能な定義」 でこのイニシアティブに含めたいポリシーの + ボタンをポチポチクリックしていきます。
追加されたポリシーは画面左側に表示されます。保存ボタンを押してイニシアティブを保存します。
3. サブスクリプションにイニシアティブを割り当て
最後に作成したイニシアティブをサブスクリプションに割り当てます。
ポリシー定義画面から先ほど作成したイニシアティブを見つけ、右側の ・・・ をクリックします。
ポップアップしたメニューの中から「割り当て」を選択します。
イニシアティブを割り当てるスコープ(今回はサブスクリプション)を確認し、「割り当て」ボタンをクリックし、割り当てを実行します。
割り当てが成功するとポータルに以下のような通知が表示され、完了です。
まとめ
今日はAzure Security Center の推奨事項とセキュリティポリシー の基本についてお伝えし、セキュリティポリシーの設定手順をご紹介しました。
Security Center は、Azureをご利用の全ての方が今すぐ使える、だけどすごく強力なサービスです。他のクラウド事業者では提供していないAzureならではのサービスでもありますので、これを機会にぜひ使ってみてください!