このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Logic Apps に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Logic Apps に適用される関連ガイダンスによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために、有料の Microsoft Defender プランが必要になる場合があります。
注
Logic Apps に適用できない機能は除外されています。 Logic Apps を Microsoft クラウド セキュリティ ベンチマークに完全にマップする方法については、 Logic Apps のセキュリティ ベースライン マッピング ファイル全体を参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Logic Apps の影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 価値 |
|---|---|
| 製品カテゴリ | Integration |
| お客様は HOST/OS にアクセスできます | アクセス許可なし |
| サービスは顧客の仮想ネットワークにデプロイできます | 正しい |
| 顧客のコンテンツを静止状態で保存する | 正しい |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワークセグメント化の境界を確立する
Features
仮想ネットワーク統合
説明: サービスは、顧客のプライベート仮想ネットワーク (VNet) へのデプロイをサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: この機能は、Logic Apps Standard オファリングの App Services を通じてサポートされます。 お客様は、ASE V3 を使用して Logic Apps Standard アプリをデプロイすることもできます。
構成ガイダンス: Logic Apps Standard アプリケーションをいずれかのワークフロー標準 ASP または ASE V3 ベースの ASP にデプロイします。 お客様は、上記の推奨オプションの両方を使用して、VNET 統合とプライベート エンドポイントを構成できます。
リファレンス: Logic Apps Vnet 統合
ネットワーク セキュリティ グループのサポート
説明: サービス ネットワーク トラフィックは、そのサブネットでのネットワーク セキュリティ グループルールの割り当てを尊重します。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: Logic Apps Standard の場合、これは App Services と関数を通じてサポートされます。
構成ガイダンス: ネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスによってトラフィックを制限または監視します。 NSG 規則を作成して、サービスのオープン ポートを制限します (信頼されていないネットワークから管理ポートにアクセスできないようにするなど)。 既定では、NSG はすべての受信トラフィックを拒否しますが、仮想ネットワークと Azure Load Balancer からのトラフィックを許可することに注意してください。
注: Logic Apps Standard アプリケーションを、いずれかのワークフロー標準 ASP または ASE V3 ベースの ASP にデプロイします。 お客様は、上記の推奨オプションの両方を使用して、VNET 統合とプライベート エンドポイントを構成できます。 その後、お客様はサブネットに必要な NSG ルールを構成できます。
NS-2: ネットワーク制御によるクラウド サービスのセキュリティ保護
Features
Azure Private Link
説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG または Azure Firewall と混同しないでください)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: Logic Apps Standard の場合、これは App Services と Functions を通じてサポートされます。
構成ガイダンス: Logic Apps Standard アプリケーションをいずれかのワークフロー標準 ASP または ASE V3 ベースの ASP にデプロイします。 お客様は、上記の推奨オプションの両方を使用して、VNET 統合とプライベート エンドポイントを構成できます。
リファレンス: Logic Apps のプライベート リンク
パブリック ネットワーク アクセスを無効にする
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG または Azure Firewall ではない) を使用するか、[パブリック ネットワーク アクセスを無効にする] トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にすることができます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: この機能は、Azure App Services for Logic Apps Standard を通じてサポートされています。
構成ガイダンス: ASE v3 またはワークフロー Standard App Service プランで Logic Apps Standard を使用して、パブリック ネットワーク アクセスを無効にします。 ASE v3 では、お客様は内部 ASE V3 を選択するように構成できます。 通常のワークフロー標準 App Service プランでは、プライベート エンドポイントを有効にしてパブリック ネットワーク アクセスを無効にすることができます。
リファレンス: App Service アプリのプライベート エンドポイントの使用
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元化された ID と認証システムを使用する
Features
データ プレーン アクセスに必要な Azure AD 認証
説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: この機能は、さまざまなモデルを使用しており、Logic Apps Consumption と Logic Apps Standard の両方でサポートされています。Logic Apps Standard モデルは App Services 上で実行されます。
詳細については、「 従量課金 と 標準」を参照してください。
構成ガイダンス: 既定の認証方法として Azure Active Directory (Azure AD) を使用して、データ プレーンへのアクセスを制御します。
リファレンス: Azure Logic Apps AAD 認証
データ プレーン アクセスのローカル認証方法
説明: ローカル ユーザー名やパスワードなど、データ プレーン アクセスでサポートされるローカル認証方法。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: この機能は、Azure App Services と Functions for Logic Apps Standard を通じてサポートされています。 ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証を行います。
構成ガイダンス: データ プレーン アクセスに対するローカル認証方法の使用を制限します。 代わりに、既定の認証方法として Azure Active Directory (Azure AD) を使用して、データ プレーンへのアクセスを制御します。
リファレンス: Azure App Service と Azure Functions での認証と承認
IM-3: アプリケーション ID を安全かつ自動的に管理する
Features
マネージド ID
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: Logic Apps へのマネージド ID による認証がサポートされています。 さらに、サービス (従量課金と Standard の両方) では、マネージド ID を利用して他のサービスに対する認証を行うことができます。
詳細については、「 マネージド ID を使用した Logic Apps 認証」を参照してください。
構成ガイダンス: 可能な場合は、サービス プリンシパルの代わりに Azure マネージド ID を使用します。これは、Azure Active Directory (Azure AD) 認証をサポートする Azure サービスとリソースに対して認証できます。 マネージド ID 資格情報は、完全に管理され、ローテーションされ、プラットフォームによって保護されるため、ソース コードまたは構成ファイルでハードコーディングされた資格情報を回避できます。
リファレンス: 認証をサポートするコネクタの認証の種類
サービス プリンシパル
説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: お客様は App Services Easy Auth を使用して、Standard オファリングでこのサポートを構成できます。 または、従量課金プランで AAD 認証のサポートを使用できます。
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 組織でこのセキュリティ機能を構成するかどうかを確認して決定してください。
リファレンス: Logic Apps 要求トリガーの AAD 認証
IM-8: 資格情報とシークレットの公開を制限する
Features
Azure Key Vault でのサービス資格情報およびシークレットの統合と保存サポート
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vault のネイティブな使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: Logic Apps Standard オファリングは、お客様がすべてのエンタープライズ統合シナリオで使用するために推奨される製品です。
Logic Apps Standard では、App Services に基づいているため、お客様はアプリ設定を使用して Key Vault 内のシークレットを参照し、ワークフローのアプリ設定を参照できます。
詳細については、「 Logic Apps 式からプログラムでアプリ設定にアクセスする」を参照してください。
構成ガイダンス: シークレットと資格情報は、コードまたは構成ファイルに埋め込むのではなく、Azure Key Vault などのセキュリティで保護された場所に格納されていることを確認します。
リファレンス: Logic Apps の標準アプリ設定
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
Features
Azure RBAC for Data Plane
説明: Azure Role-Based アクセス制御 (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
PA-8: クラウド プロバイダーサポートのアクセス プロセスを決定する
Features
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して確認し、Microsoft の各データ アクセス要求を承認または拒否します。
リファレンス: Logic Apps カスタマー ロックボックス
データ保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-2: 機密データを対象とする異常と脅威を監視する
Features
データ漏えい/損失防止
説明: サービスは、機密データの移動 (顧客のコンテンツ内) を監視するための DLP ソリューションをサポートしています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-3: 転送中の機密データの暗号化
Features
転送中のデータの暗号化
説明: サービスは、データ プレーンの転送中のデータ暗号化をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: ロジック アプリをセキュリティで保護する
DP-4: 保存データ暗号化を既定で有効にする
Features
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされています。保存中の顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
機能ノート: 従量課金プランの場合、顧客のデータは Microsoft マネージド ストレージ アカウントに格納され、データは保存時のストレージ暗号化機能を使用して保存時に暗号化されます。
Standard オファリングの場合、お客様はストレージを管理します。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
DP-5: 必要に応じて保存データの暗号化でカスタマー マネージド キー オプションを使用する
Features
CMK を使用した静止データの暗号化
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって格納される顧客コンテンツでサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: この機能は、Logic Apps Standard でサポートされています。 Standard オファリングでは、ランタイム データを格納するための独自のストレージ アカウントを構成できます。 お客様がストレージを所有している場合は、ストレージ アカウントで必要に応じて CMK ポリシーを構成できます。
構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 これらのサービスのカスタマー マネージド キーを使用して、保存データの暗号化を有効にして実装します。
DP-6: セキュリティで保護されたキー管理プロセスを使用する
Features
Azure Key Vault でのキー管理
説明: このサービスは、顧客キー、シークレット、または証明書に対する Azure Key Vault 統合をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: Logic Apps Standard は App Services と Functions の上で実行されるため、この機能は App Services を通じてサポートされます。
構成ガイダンス: Azure Key Vault を使用して、キーの生成、配布、ストレージなど、暗号化キーのライフ サイクルを作成および制御します。 定義されたスケジュールに基づいて、またはキーの廃止や侵害が発生した場合に、Azure Key Vault とサービスのキーをローテーションして無効化します。 ワークロード、サービス、またはアプリケーション レベルでカスタマー マネージド キー (CMK) を使用する必要がある場合は、キー管理のベスト プラクティスに従ってください。キー階層を使用して、キー コンテナー内のキー暗号化キー (KEK) を使用して個別のデータ暗号化キー (DEK) を生成します。 キーが Azure Key Vault に登録され、サービスまたはアプリケーションからキー ID を介して参照されていることを確認します。 独自のキー (BYOK) をサービスに取り込む必要がある場合 (オンプレミスの HSM から Azure Key Vault に HSM で保護されたキーをインポートする場合など)、推奨されるガイドラインに従って初期キーの生成とキー転送を実行します。
DP-7: セキュリティで保護された証明書管理プロセスを使用する
Features
Azure Key Vault での証明書の管理
説明: このサービスは、顧客証明書に対する Azure Key Vault 統合をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: Logic Apps Standard では、この機能は、Key Vault から証明書を参照する App Services のサポートを通じてサポートされます。
詳細については、「 Key Vault から証明書をインポートする」を参照してください。
構成ガイダンス: Azure Key Vault を使用して、証明書の作成、インポート、ローテーション、失効、ストレージ、消去など、証明書のライフサイクルを作成および制御します。 キー サイズが不十分、有効期間が長すぎ、暗号化が安全でないなど、セキュリティで保護されていないプロパティを使用せずに、証明書の生成が定義された標準に従っていることを確認します。 定義されたスケジュールまたは証明書の有効期限に基づいて、Azure Key Vault と Azure サービス (サポートされている場合) に証明書の自動ローテーションを設定します。 アプリケーションで自動ローテーションがサポートされていない場合は、Azure Key Vault とアプリケーションで手動の方法を使用してローテーションされていることを確認します。
資産管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みサービスのみを使用する
Features
Azure Policy のサポート
説明: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: Logic Apps Standard は App Services 上で実行されるため、お客様は App Services と Functions 用に構成する方法と同様のポリシーを構成できます。 これに加えて、Logic Apps 固有のポリシーも使用できます。
構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するように Azure Policy を構成します。 Azure Monitor を使用して、リソースで構成の偏差が検出されたときにアラートを作成します。 Azure Policy の [拒否] および [存在しない場合はデプロイ] の効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
リファレンス: Logic Apps の組み込みポリシー
ログ記録と脅威の検出
詳細については、 Microsoft クラウド セキュリティ ベンチマーク「ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
Features
Microsoft Defender サービス/製品提供
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: この機能は、App Services for Logic Apps Standard でサポートされています。
構成ガイダンス: 管理プレーンのアクセスを制御するための既定の認証方法として Azure Active Directory (Azure AD) を使用します。 Microsoft Defender for Key Vault からアラートを受け取ったら、そのアラートを調査して対応します。
リファレンス: Azure App Service Web アプリと API を保護するための Defender for App Service の概要
LT-4: セキュリティ調査のためにログ記録を有効にする
Features
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: サービスのリソース ログを有効にします。 たとえば、Key Vault は、キー ボールトからのシークレット取得アクションに対する追加のリソース ログをサポートしており、また、Azure SQL にはデータベースへの要求を追跡するリソース ログがあります。 リソース ログの内容は、Azure サービスとリソースの種類によって異なります。
リファレンス: Azure Logic Apps でのワークフローの診断データの監視と収集
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。
BR-1: 定期的な自動バックアップを確保する
Features
Azure Backup
説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。