Azure Security Center でセキュリティ ポスチャと脅威に対する保護を強化
Azure Security Center でセキュリティ ポスチャと脅威に対する保護を強化:
執筆者: Gilad Elyashar (Principal PM Manager, Azure Security Center)
このポストは、2018 年 9 月 26 日に投稿された Strengthen your security posture and protect against threats with Azure Security Center の翻訳です。
先日、お客様と話した際に、そのお客様が直面しているオンプレミスのセキュリティ課題をシェアしていただきました。具体的にどのような課題があるかというと、セキュリティ エキスパートをどのように雇用し維持するか、増え続ける脅威にどうすれば迅速に対処できるか、自社のコンプライアンス要件に合ったセキュリティ ポリシーを用意できるかなどです。
このような課題は、クラウドへ移行することで解決できます。Microsoft Azure は、インフラストラクチャやアプリケーションをホストするための安全な基盤を提供しています。また、組み込みのセキュリティ サービスや独自のインテリジェンスにより、ワークロードをすばやく保護したり、脅威を未然に防止したりできます。マイクロソフトのセキュリティ ツールは、ID、ネットワーク、データ、IoT など、幅広く脅威の対策やセキュリティ ポスチャの管理にお役立ていただけます。今回は、純正サービスとして統合されている Azure Security Center をご紹介します。
Security Center は Azure プラットフォームに組み込まれており、わずか数ステップの簡単な操作を行うだけで大規模なワークロードを保護できます。エージェント ベースのアプローチを採用しているため、Azure 以外のクラウドやオンプレミスも含めた環境全体のセキュリティ状態の継続的な監視や評価が可能です。Icertis (英語) や Stanley Healthcare (英語) などのお客様は、セキュリティ監視の強化や簡素化にこのサービスを活用しています。Azure Security Center は、問題を迅速に分析して柔軟に対応できる、マイクロソフトやサードパーティ製の統合型ソリューションを提供します。わずか数クリックの操作でサービスを有効化すれば、複雑なセキュリティ管理から解放されます。
このたび、ハイブリッド環境全体でのセキュリティ ポスチャと脅威に対する保護を強化するための機能を複数発表しました。
新しいネットワーク トポロジ マップとの連携: 新しいネットワーク トポロジ マップを使用して仮想ネットワーク、サブネット、ノードのセキュリティ状態を明確に示すことができます。ネットワーク コンポーネントを確認する際に、表示される推奨事項に従ってネットワーク内で検出された問題に迅速に対応できます。また、Security Center でワークロードのネットワーク セキュリティ グループのルールを継続的に分析し、ワークロードでアクセス可能なすべての VM を含むグラフをネットワーク トポロジ マップ上に表示します。
組織レベルのセキュリティ ポリシー定義でコンプライアンス要件に準拠: セキュリティ ポリシーを企業レベルで設定し、すべてのサブスクリプションをコンプライアンス要件に準拠させることができます。さらに、企業内の管理グループでもセキュリティ ポリシーを設定できます。企業全体、各サブスクリプション、各管理グループのコンプライアンス スコアによってセキュリティ ポリシーが準拠しているかどうか簡単に確認できるため、問題点をすばやく把握して対応できます。
新しいコンプライアンス ダッシュボードで状況を監視して報告: コンプライアンス ダッシュボードは、クラウド環境のコンプライアンス状況を監視するための機能です。CIS、PCI、SOC、ISO などのコンプライアンス標準に準拠するための推奨事項を提示します。
ポリシーをカスタマイズして Azure のデータ リソースの情報を保護: 情報ポリシーをカスタマイズして、Azure データ リソース内の機密データの検出、分類、ラベル付け、保護などができるようになりました。このデータ保護機能は、コンプライアンス要件やプライバシー要件への準拠、および特に機密性が高い情報にアクセス可能なユーザーを制限する際に役立ちます。データ セキュリティの詳細については、こちらのドキュメント (英語) をご覧ください。
コンテナーと Docker ホストのセキュリティ評価: Linux 仮想マシンで実行されているコンテナーのセキュリティ状態を把握できます。ここでは、Docker で実行中の仮想マシンの分析結果や CIS 製の Docker 用ベンチマークに基づくセキュリティ評価が表示されます。
Linux での脅威検出: さまざまな Linux ディストリビューションで、Security Center の高度な脅威検出機能を使用できます。ワークロードが実行されているオペレーティング システムや場所にかかわらず、脅威への対応に必要な情報をすばやく取得できます。この機能では、不審なプロセス、ログイン試行、カーネル モジュール改ざんなどを検出します。
適応型ネットワーク制御: パブリック クラウド上のワークロードに対する攻撃では、パブリック インターネットとの接続部分が特に狙われやすくなります。Security Center は、Azure ワークロードのネットワーク接続パターンを学習し、ネットワーク セキュリティ グループにおけるネットワーク アクセス ポリシーの構成に関するさまざまな推奨事項を提示して、攻撃の可能性を抑制します。マイクロソフトの膨大な脅威インテリジェンス レポートに基づき、過去に効果の低かった措置はこの推奨事項から除外されます。
Azure Storage Blob および Azure Postgre SQL の脅威検出: Security Center では、仮想マシンだけでなく、Azure ストレージ アカウントや Azure PostgreSQL サーバーのデータを狙う脅威も検出できます。異常なアクセス試行やデータ侵害にすばやく対応し、問題を調査します。
また、Azure App Service に対する脅威を検出し、アプリケーションを保護するための推奨事項も提示します。
Fileless Attack Detection: Security Center では、幅広い高度なメモリ フォレンジック手法を使用して、これまで検出されなかったメモリに潜伏するマルウェアを特定します。リッチなコンテキスト情報に基づいて、アラートのトリアージ、関連付け、分析、パターン抽出を実行します。
適応型アプリケーション制御: 不正なアプリケーションを監査し、仮想マシンでの実行をブロックできる機能です。アプリケーションでの不審な動作や設定ポリシーからの逸脱に対応できるように、Security Center がホワイトリストのポリシー違反に関するアラートを生成します。また、[Not recommend] カテゴリに分類された仮想マシンのグループでこの機能を有効化すると、Azure の Windows 仮想マシン上の全アプリケーションを確実にホワイトリストに適合させることができます。
Just-in-Time VM Access: 管理ポートをロックダウンし、一定の時間内のみ開くようにして、ブルート フォース攻撃を受けるリスクを軽減します。ポートへの接続方法やユーザー アクセス可能な時間などのルールを設定できます。また、Just-in-Time VM Access で設定したルールが、ネットワーク セキュリティ グループの既存構成に相反しないようにします。
ファイル整合性監視 (FIM): オペレーティング システムやアプリケーション ソフトウェアを攻撃から守るために、Windows のファイルとレジストリ、および Linux ファイルの動作を継続的に監視します。Windows ファイルの場合、再帰、ワイルドカード、環境変数, (英語) を使用して変更を検出できます。異常なファイル変更が行われた場合、または不審な動作が検出された場合、Security Center がアラートを生成するため、ファイルを常に管理できます。
パブリック プレビュー中の機能: コンテナーのセキュリティ状態、ネットワーク トポロジ マップ、Azure SQL の情報の保護、Azure Storage Blob および Azure Postgre SQL の脅威検出、Secure Score
コンプライアンス ダッシュボード (英語) や適応型ネットワーク制御 (英語) などの機能は限定プレビューとして提供中です。お問い合わせのうえ、早期プレビューにご参加ください。
Security Center の機能を実装する方法は、こちらのドキュメントをご覧ください。
執筆者: Gilad Elyashar (Principal PM Manager, Azure Security Center)
このポストは、2018 年 9 月 26 日に投稿された Strengthen your security posture and protect against threats with Azure Security Center の翻訳です。
先日、お客様と話した際に、そのお客様が直面しているオンプレミスのセキュリティ課題をシェアしていただきました。具体的にどのような課題があるかというと、セキュリティ エキスパートをどのように雇用し維持するか、増え続ける脅威にどうすれば迅速に対処できるか、自社のコンプライアンス要件に合ったセキュリティ ポリシーを用意できるかなどです。
このような課題は、クラウドへ移行することで解決できます。Microsoft Azure は、インフラストラクチャやアプリケーションをホストするための安全な基盤を提供しています。また、組み込みのセキュリティ サービスや独自のインテリジェンスにより、ワークロードをすばやく保護したり、脅威を未然に防止したりできます。マイクロソフトのセキュリティ ツールは、ID、ネットワーク、データ、IoT など、幅広く脅威の対策やセキュリティ ポスチャの管理にお役立ていただけます。今回は、純正サービスとして統合されている Azure Security Center をご紹介します。
Security Center は Azure プラットフォームに組み込まれており、わずか数ステップの簡単な操作を行うだけで大規模なワークロードを保護できます。エージェント ベースのアプローチを採用しているため、Azure 以外のクラウドやオンプレミスも含めた環境全体のセキュリティ状態の継続的な監視や評価が可能です。Icertis (英語) や Stanley Healthcare (英語) などのお客様は、セキュリティ監視の強化や簡素化にこのサービスを活用しています。Azure Security Center は、問題を迅速に分析して柔軟に対応できる、マイクロソフトやサードパーティ製の統合型ソリューションを提供します。わずか数クリックの操作でサービスを有効化すれば、複雑なセキュリティ管理から解放されます。
このたび、ハイブリッド環境全体でのセキュリティ ポスチャと脅威に対する保護を強化するための機能を複数発表しました。
セキュリティ ポスチャの強化
Secure Score でセキュリティを総合的に強化: Secure Score を活用することで企業のセキュリティ ポスチャを明確化することができます。この機能は、サブスクリプションや管理グループ全体のすべての推奨事項に優先順位を付け、まずどの脆弱性から対応するべきかを示します。影響の大きい問題を迅速に修正することで Secure Score が大きく上がり、セキュリティ ポスチャがどれくらい改善されたかを把握できます。
新しいネットワーク トポロジ マップとの連携: 新しいネットワーク トポロジ マップを使用して仮想ネットワーク、サブネット、ノードのセキュリティ状態を明確に示すことができます。ネットワーク コンポーネントを確認する際に、表示される推奨事項に従ってネットワーク内で検出された問題に迅速に対応できます。また、Security Center でワークロードのネットワーク セキュリティ グループのルールを継続的に分析し、ワークロードでアクセス可能なすべての VM を含むグラフをネットワーク トポロジ マップ上に表示します。
組織レベルのセキュリティ ポリシー定義でコンプライアンス要件に準拠: セキュリティ ポリシーを企業レベルで設定し、すべてのサブスクリプションをコンプライアンス要件に準拠させることができます。さらに、企業内の管理グループでもセキュリティ ポリシーを設定できます。企業全体、各サブスクリプション、各管理グループのコンプライアンス スコアによってセキュリティ ポリシーが準拠しているかどうか簡単に確認できるため、問題点をすばやく把握して対応できます。
新しいコンプライアンス ダッシュボードで状況を監視して報告: コンプライアンス ダッシュボードは、クラウド環境のコンプライアンス状況を監視するための機能です。CIS、PCI、SOC、ISO などのコンプライアンス標準に準拠するための推奨事項を提示します。
ポリシーをカスタマイズして Azure のデータ リソースの情報を保護: 情報ポリシーをカスタマイズして、Azure データ リソース内の機密データの検出、分類、ラベル付け、保護などができるようになりました。このデータ保護機能は、コンプライアンス要件やプライバシー要件への準拠、および特に機密性が高い情報にアクセス可能なユーザーを制限する際に役立ちます。データ セキュリティの詳細については、こちらのドキュメント (英語) をご覧ください。
コンテナーと Docker ホストのセキュリティ評価: Linux 仮想マシンで実行されているコンテナーのセキュリティ状態を把握できます。ここでは、Docker で実行中の仮想マシンの分析結果や CIS 製の Docker 用ベンチマークに基づくセキュリティ評価が表示されます。
進化する脅威からの保護
Windows Defender Advanced Threat Protection サーバー (WDATP) との統合: Security Center は、インフラストラクチャを狙うさまざまな脅威を検出します。WDATP との統合により、Windows Server 用エンドポイント脅威検出機能 (Server EDR) を使用できるようになりました。マイクロソフトの豊富な脅威インテリジェンスに基づいて WDATP が攻撃ツールや手法を通知するため、管理者は脅威の詳細を把握して対処することができます。侵害に関する情報は、[Security Center] ブレードのインタラクティブな [Investigation Path] で確認できます。Azure や Security Center に登録しているオンプレミスの Windows Server では、WDATP は自動的に有効化されています。Linux での脅威検出: さまざまな Linux ディストリビューションで、Security Center の高度な脅威検出機能を使用できます。ワークロードが実行されているオペレーティング システムや場所にかかわらず、脅威への対応に必要な情報をすばやく取得できます。この機能では、不審なプロセス、ログイン試行、カーネル モジュール改ざんなどを検出します。
適応型ネットワーク制御: パブリック クラウド上のワークロードに対する攻撃では、パブリック インターネットとの接続部分が特に狙われやすくなります。Security Center は、Azure ワークロードのネットワーク接続パターンを学習し、ネットワーク セキュリティ グループにおけるネットワーク アクセス ポリシーの構成に関するさまざまな推奨事項を提示して、攻撃の可能性を抑制します。マイクロソフトの膨大な脅威インテリジェンス レポートに基づき、過去に効果の低かった措置はこの推奨事項から除外されます。
Azure Storage Blob および Azure Postgre SQL の脅威検出: Security Center では、仮想マシンだけでなく、Azure ストレージ アカウントや Azure PostgreSQL サーバーのデータを狙う脅威も検出できます。異常なアクセス試行やデータ侵害にすばやく対応し、問題を調査します。
また、Azure App Service に対する脅威を検出し、アプリケーションを保護するための推奨事項も提示します。
Fileless Attack Detection: Security Center では、幅広い高度なメモリ フォレンジック手法を使用して、これまで検出されなかったメモリに潜伏するマルウェアを特定します。リッチなコンテキスト情報に基づいて、アラートのトリアージ、関連付け、分析、パターン抽出を実行します。
適応型アプリケーション制御: 不正なアプリケーションを監査し、仮想マシンでの実行をブロックできる機能です。アプリケーションでの不審な動作や設定ポリシーからの逸脱に対応できるように、Security Center がホワイトリストのポリシー違反に関するアラートを生成します。また、[Not recommend] カテゴリに分類された仮想マシンのグループでこの機能を有効化すると、Azure の Windows 仮想マシン上の全アプリケーションを確実にホワイトリストに適合させることができます。
Just-in-Time VM Access: 管理ポートをロックダウンし、一定の時間内のみ開くようにして、ブルート フォース攻撃を受けるリスクを軽減します。ポートへの接続方法やユーザー アクセス可能な時間などのルールを設定できます。また、Just-in-Time VM Access で設定したルールが、ネットワーク セキュリティ グループの既存構成に相反しないようにします。
ファイル整合性監視 (FIM): オペレーティング システムやアプリケーション ソフトウェアを攻撃から守るために、Windows のファイルとレジストリ、および Linux ファイルの動作を継続的に監視します。Windows ファイルの場合、再帰、ワイルドカード、環境変数, (英語) を使用して変更を検出できます。異常なファイル変更が行われた場合、または不審な動作が検出された場合、Security Center がアラートを生成するため、ファイルを常に管理できます。
Azure Security Center の新機能をご利用ください
一般提供中の機能: 企業レベルのセキュリティ ポリシー、適応型アプリケーション制御、特定のロールに対する Just-in-Time VM Access、Just-in-Time VM Access のネットワーク セキュリティ グループのルールの調整、ファイル整合性監視 (FIM)、Linux 向けの脅威検出、Azure App Service での脅威検出、Fileless Attack Detection、アラートの Confidence Score、Windows Defender Advanced Threat Protection (ATP) の統合パブリック プレビュー中の機能: コンテナーのセキュリティ状態、ネットワーク トポロジ マップ、Azure SQL の情報の保護、Azure Storage Blob および Azure Postgre SQL の脅威検出、Secure Score
コンプライアンス ダッシュボード (英語) や適応型ネットワーク制御 (英語) などの機能は限定プレビューとして提供中です。お問い合わせのうえ、早期プレビューにご参加ください。
Azure Security Center の詳細
オーランドで開催される Ignite 2018 にご参加の方は、ぜひ Azure セキュリティ ブースにお立ち寄りください。9 月 26 日 (水) 午後 2 時 15 分~ 3 時 (米国東部夏時間) (9 月 27 日 (木) 午前 4 時 15 分~ 5 時 (日本時間)) に開催される Azure Security Center のセッションへのご参加もお待ちしております。会場でお会いできることを楽しみにしています。Security Center の機能を実装する方法は、こちらのドキュメントをご覧ください。
コメント
コメントを投稿