このセキュリティ ベースラインは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Batch に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azureでクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと Batch に適用できる関連ガイダンスによって定義されたセキュリティ コントロールによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloudを使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに表示されます。
機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。
注
Batch に適用できない機能は除外されています。 Batch が Microsoft クラウド セキュリティ ベンチマークにどのように完全にマップされるかについては、完全な Batch セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Batch の影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 価値 |
|---|---|
| 製品カテゴリ | Compute |
| 顧客はホスト/OS をaccessできます | [読み取り専用] |
| サービスは顧客のVirtual Networkにデプロイできます | 正しい |
| 顧客のコンテンツを静止状態で保存する | いいえ |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワークセグメント化の境界を確立する
Features
仮想ネットワーク統合
Description: サービスは、顧客のプライベート Virtual Network (VNet) へのデプロイをサポートします。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Virtual Network内にAzure Batch プールをデプロイします。 プライベート ネットワーク内のノードにaccessを制限し、インターネットからのノードの検出可能性を減らすために、パブリック IP アドレスなしでプールをプロビジョニングすることを検討してください。
Reference: 仮想ネットワーク内に Azure Batch プールを作成する
ネットワーク セキュリティ グループのサポート
[説明]: サービスのネットワーク トラフィックは、サブネットに対するネットワーク セキュリティ グループのルール割り当てに従います。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
機能ノート: 既定では、Batch は、コンピューティング ノードに接続されているネットワーク インターフェイス (NIC) レベルでネットワーク セキュリティ グループ (NSG) を追加します。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
Reference: 仮想ネットワーク内にAzure Batch プールを作成する
NS-2: ネットワーク制御によるセキュリティで保護されたcloud services
Features
Azure Private Link
Description: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG やAzure Firewallと混同しないでください)。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azure Batch アカウントのプライベート エンドポイントをデプロイします。 これにより、アクセスは、Batch アカウントが存在する仮想ネットワークまたはピアリングされた仮想ネットワークに制限されます。
Reference: Azure Batch アカウントでプライベート エンドポイントを使用します
パブリック ネットワーク アクセスを無効にする
Description: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG またはAzure Firewallではなく) を使用するか、"パブリック ネットワーク Accessを無効にする" トグル スイッチを使用して、パブリック ネットワーク accessを無効にできます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: [パブリック ネットワーク access] 設定を無効にして、Batch アカウントへのパブリック ネットワーク accessを無効にします。
Reference: パブリックネットワークアクセスを無効にする
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元化された ID と認証システムを使用する
Features
データプレーンへのアクセスに必要なAzure AD認証
Description: サービスでは、データ プレーン accessに対する Azure AD 認証の使用がサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azure Active Directory (Azure AD) を既定の認証方法として使用して、共有キーを使用するのではなく、データ プレーンのaccessを制御します。
Reference: authenticate with Azure AD
データプレーンアクセスのローカル認証方法
Description: ローカルユーザー名やパスワードなど、データ プレーンのaccessでサポートされるローカル認証方法。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、Azure AD を使用して可能な限り認証します。
構成ガイダンス: データ プレーンのアクセスに対するローカル認証方法の使用を制限します。 代わりに、既定の認証方法として Azure Active Directory (Azure AD) を使用して、データ プレーンのaccessを制御します。
Reference: 共有キーによる認証
IM-3: アプリケーション ID を安全かつ自動的に管理する
Features
マネージド ID
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | Shared |
構成ガイダンス: 可能な場合は、サービス プリンシパルの代わりにAzureマネージド ID を使用します。これは、Azure Active Directory (Azure AD) 認証をサポートするサービスとリソースAzure認証できます。 マネージド ID 資格情報は、完全に管理され、ローテーションされ、プラットフォームによって保護されるため、ソース コードまたは構成ファイルでハードコーディングされた資格情報を回避できます。
Reference: Batch プールでのマネージド ID の構成
サービス プリンシパル
[説明]: データ プレーンはサービス プリンシパルを使用した認証をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
追加のガイダンス: 無人で実行されるアプリケーションを認証するには、サービス プリンシパルを使用できます。 アプリケーションを登録したら、サービス プリンシパル用に Azure Portal で設定を適切に行います。具体的には、アプリケーションのシークレットを要求したり、Azure RBAC ロールを割り当てたりします。
Reference: Azure Active Directory で Batch サービス ソリューションを認証する
IM-7: 条件に基づいてリソースアクセスを制限する
Features
データプレーンのコンディショナルアクセス
Description: データプレーンアクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-8: 資格情報とシークレットの公開を制限する
Features
サービス資格情報とシークレットは、Azure Key Vaultでの統合とStorageをサポートします
Description: データ プレーンでは、資格情報とシークレット ストアに対するAzure Key Vaultのネイティブな使用がサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
特権アクセス
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
Features
データ プレーンのAzure RBAC
Description: Azure Role-Based Access Control (Azure RBAC) を使用して、サービスのデータ プレーン アクションに対するaccessを管理できます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azureロールベースのアクセス制御 (Azure RBAC) を使用して、組み込みのロール割当を通じてAzureリソースへのアクセスを管理します。 Azure Batchでは、アカウント、ジョブ、タスク、プールなどのリソースの種類に対するaccessを管理するためのAzure RBAC がサポートされています。
Reference: Azure RBAC をアプリケーションに割り当てる
データ保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-2: 機密データを対象とする異常と脅威を監視する
Features
データ漏えい/損失防止
説明: サービスは、機密データの移動 (顧客のコンテンツ内) を監視するための DLP ソリューションをサポートしています。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-3: 転送中の機密データの暗号化
Features
転送中のデータの暗号化
説明: サービスは、データ プレーンの転送中のデータ暗号化をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
DP-4: 保存データ暗号化を既定で有効にする
Features
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされています。保存中の顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
機能ノート: アカウント証明書、ジョブとタスクのメタデータ、タスクのコマンド ラインなど、Batch API で指定された情報の一部は、Batch サービスによって格納されるときに自動的に暗号化されます。 既定では、このデータは、各 Batch アカウントに固有Azure Batchプラットフォームマネージド キーを使用して暗号化されます。
カスタマー マネージド キーを使用してこのデータを暗号化することもできます。 Azure Key Vaultは、Batch アカウントに登録されているキー識別子を使用して、キーを生成して格納するために使用されます。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
DP-5: 必要に応じて保存データの暗号化でカスタマー マネージド キー オプションを使用する
Features
静止データの暗号化にCMKを使用
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって保存される顧客コンテンツでサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 これらのサービスのカスタマー マネージド キーを使用して、保存データの暗号化を有効にして実装します。
Reference: カスタマー マネージド キーの構成
DP-6: セキュリティで保護されたキー管理プロセスを使用する
Features
Azure Key Vaultでのキー管理
Description: このサービスは、カスタマー キー、シークレット、または証明書のAzure Key Vault統合をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | Shared |
構成ガイダンス: Azure Key Vaultを使用して、キーの生成、配布、storageなど、暗号化キーのライフ サイクルを作成および制御します。 定義されたスケジュールに基づいて、またはキーの廃止や侵害が発生した場合に、Azure Key Vaultとご利用のサービスのキーを回転させて無効化します。 ワークロード、サービス、またはアプリケーションレベルでカスタマーマネージドキー (CMK) を使用する必要がある場合は、キー管理のベストプラクティスに従ってください。キー階層を使用し、キーボールト内でキー暗号化キー (KEK, Key Encryption Key) を用いて個別のデータ暗号化キー (DEK, Data Encryption Key) を生成します。 キーがAzure Key Vaultに登録され、サービスまたはアプリケーションからキー ID を介して参照されていることを確認します。 独自のキー (BYOK) をサービスに取り込む必要がある場合 (オンプレミスの HSM から Azure Key Vault に HSM で保護されたキーをインポートする場合など)、初期キー生成とキー転送を実行するために推奨されるガイドラインに従ってください。
注: お客様は、カスタマー マネージド キーを使用することをオプトインする必要があります。それ以外の場合、既定では、サービスは Microsoft によって管理されるプラットフォーム キーを使用します。
Reference: Azure Key Vaultとマネージド ID を使用してAzure Batch アカウントのカスタマー マネージド キーを構成します
DP-7: セキュリティで保護された証明書管理プロセスを使用する
Features
Azure Key Vaultでの証明書管理
Description: このサービスは、顧客証明書のAzure Key Vault統合をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | Shared |
構成ガイダンス: Azure Key Vaultを使用して、証明書の作成、インポート、ローテーション、失効、storage、消去など、証明書のライフサイクルを作成および制御します。 キー サイズが不十分、有効期間が長すぎ、暗号化が安全でないなど、セキュリティで保護されていないプロパティを使用せずに、証明書の生成が定義された標準に従っていることを確認します。 定義されたスケジュールまたは証明書の有効期限に基づいて、Azure Key Vaultおよび Azure サービス (サポートされている場合) で証明書の自動ローテーションを設定します。 アプリケーションで自動回転がサポートされていない場合は、Azure Key Vaultとアプリケーションで手動の方法を使用して回転していることを確認します。
Reference: 証明書を使用して、Batch を通じて安全に Azure Key Vault にアクセスします
資産管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みサービスのみを使用する
Features
Azure ポリシーのサポート
Description: サービス構成は、Azure Policy経由で監視および適用できます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Microsoft Defender for Cloudを使用してAzure Policyを構成し、Azure リソースの構成を監査および適用します。 Azure Monitor を使用して、リソースで構成の偏差が検出されたときにアラートを作成します。 Azure Policy の [deny] エフェクトと [deploy if not exists] エフェクトを使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
組み込みのポリシー定義が存在しないシナリオでは、"Microsoft.Batch" 名前空間のAzure Policyエイリアスを使用してカスタム ポリシーを作成できます。
Reference: Azure Policy Azure Batch の組み込み定義
AM-5: 仮想マシンで承認済みアプリケーションのみを使用する
Features
Microsoft Defender for Cloud - 適応型アプリケーション制御
Description: サービスは、Microsoft Defender for Cloudのアダプティブ アプリケーション制御を使用して、仮想マシン上で実行される顧客アプリケーションを制限できます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
ログ記録と脅威の検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
Features
Microsoft Defender サービス/製品提供
Description: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有のMicrosoft Defender ソリューションがあります。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
LT-4: セキュリティ調査のためにログ記録を有効にする
Features
Azureのリソースログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 顧客はこれらのリソース ログを構成し、storage アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: ServiceLog と AllMetrics のAzure BatchのAzureリソース ログを有効にします。
Reference: 診断評価と監視のためのバッチメトリック、アラート、ログ
体制と脆弱性の管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 体制と脆弱性管理」を参照してください。
PV-3: コンピューティング リソースのセキュリティで保護された構成を定義して確立する
Features
Azure Automation State Configuration(Azure オートメーション ステート構成)
Description: オペレーティング システムのセキュリティ構成を維持するためにAzure Automation State Configurationを使用できます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
Azure Policy ゲスト構成エージェント
Description: Azure Policyゲスト構成エージェントは、コンピューティング リソースの拡張機能としてインストールまたはデプロイできます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
カスタム VM イメージ
説明: サービスでは、特定のベースライン構成が事前に適用された、ユーザー指定の VM イメージまたはマーケットプレースからの事前構築済みイメージの使用がサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | Shared |
構成ガイダンス: 可能な場合は、Microsoft などの信頼できるサプライヤーから事前に構成された強化されたイメージを使用するか、VM イメージ テンプレートに必要なセキュリティで保護された構成基準を構築します。
お客様は、Azure Batchにカスタム オペレーティング システム イメージを使用することもできます。 Azure Batchに仮想マシン構成を使用する場合は、カスタム イメージが組織のニーズに合わせて強化されていることを確認します。 ライフサイクル管理のために、プールはイメージをShared Image Galleryに格納します。 Azure Image Builder などのAzure Automation ツールを使用して、セキュリティで保護されたイメージ ビルド プロセスを設定できます。
Reference: マネージド イメージを使用してカスタム イメージ プールを作成します
カスタム コンテナー イメージ
説明: サービスでは、特定のベースライン構成が事前に適用された、ユーザー指定のコンテナー イメージまたは Marketplace の事前構築済みイメージの使用がサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | Shared |
構成ガイダンス: Batch プールを使用してノード上の Docker と互換性のあるコンテナーでタスクを実行する場合は、Microsoft などの信頼できるサプライヤーから事前に構成されたセキュリティで強化されたコンテナー イメージを使用するか、目的のセキュリティで保護された構成基準をコンテナー イメージ テンプレートに構築します。
PV-5: 脆弱性評価を実行する
Features
Microsoft Defenderを使用した脆弱性評価
Description: Microsoft Defender for Cloudまたは埋め込まれた脆弱性評価機能を持つその他のMicrosoft Defenderサービス (Microsoft Defender for Server、コンテナー レジストリ、App Service、SQL、DNSを含む) を使用して、サービスの脆弱性のスキャンを実行できます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
PV-6: 脆弱性を迅速かつ自動的に修復する
Features
Azure Automation Update Management
Description: Service では、Azure Automation Update Management を使用して、パッチと更新プログラムを自動的に展開できます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
エンドポイントのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: エンドポイント セキュリティ」を参照してください。
ES-1: エンドポイントの検出と応答 (EDR) を使用する
Features
EDR ソリューション
Description: Azure Defender for servers などのエンドポイント検出と応答 (EDR) 機能をエンドポイントに展開できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
ES-2: 最新のマルウェア対策ソフトウェアを使用する
Features
マルウェア対策ソリューション
Description: Microsoft Defender ウイルス対策などのマルウェア対策機能Microsoft Defender for Endpointエンドポイントに展開できます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
ES-3: マルウェア対策ソフトウェアと署名が更新されていることを確認する
Features
マルウェア対策ソリューションの正常性の監視
説明: マルウェア対策ソリューションでは、プラットフォーム、エンジン、および自動署名の更新プログラムの正常性状態の監視が提供されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと復旧を参照してください。
BR-1: 定期的な自動バックアップを確保する
Features
Azure Backup
Description: Azure Backup サービスによってサービスをバックアップできます。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
サービス ネイティブ バックアップ機能
Description: サービスでは、独自のネイティブ バックアップ機能がサポートされます (Azure Backupを使用しない場合)。 詳細情報。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
次のステップ
- Microsoft クラウド セキュリティ ベンチマークの概要を参照してください
Azure セキュリティ ベースライン