このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Azure VMware Solution に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Azure VMware Solution に適用される関連ガイダンスによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために、有料の Microsoft Defender プランが必要になる場合があります。
注
Azure VMware Solution に適用できない機能は除外されています。 Azure VMware Solution を Microsoft クラウド セキュリティ ベンチマークに完全にマップする方法については、 完全な Azure VMware Solution セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Azure VMware Solution の影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 価値 |
|---|---|
| 製品カテゴリ | Compute |
| 顧客が HOST または OS にアクセスできる | アクセス許可なし |
| サービスは顧客の仮想ネットワークにデプロイできます | 正しい |
| 顧客のコンテンツを静止状態で保存する | 正しい |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワークセグメント化の境界を確立する
Features
仮想ネットワーク統合
[説明]: サービスは顧客のプライベート仮想ネットワーク (VNet) へのデプロイをサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: 仮想ネットワークにサービスをデプロイします。 パブリック IP をリソースに直接割り当てる強い理由がない限り、リソースにプライベート IP を割り当てます (該当する場合)。
注: Azure VMware Solution プライベート クラウドには、Azure Virtual Network が必要です。 Azure VMware Solution はオンプレミスの vCenter Server をサポートしていないため、オンプレミス環境と統合するための追加の手順を実行する必要があります。 ExpressRoute 回線と仮想ネットワーク ゲートウェイの設定も必要です。
リファレンス: チュートリアル: Azure で VMware プライベート クラウドのネットワークを構成する
ネットワーク セキュリティ グループのサポート
[説明]: サービスのネットワーク トラフィックは、サブネットに対するネットワーク セキュリティ グループのルール割り当てに従います。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: NSG はサポートされていますが、ExpressRoute またはその他のセキュリティで保護されたネットワークへのネットワーク接続のイングレスとエグレスを検討してください。 たとえば vCenter Server などの管理サービスをインターネット上で公開しないようにします。
NS-2: ネットワーク制御によるクラウド サービスのセキュリティ保護
Features
Azure Private Link
説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG または Azure Firewall と混同しないでください)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
パブリック ネットワーク アクセスを無効にする
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG または Azure Firewall ではない) を使用するか、[パブリック ネットワーク アクセスを無効にする] トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にすることができます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure VMware Solution のネットワークと相互接続の概念
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元化された ID と認証システムを使用する
Features
データ プレーン アクセスには Azure AD 認証が必要です。
[説明]: サービスはデータ プレーン アクセスに Azure AD 認証を使用することをサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
データ プレーン アクセスのローカル認証方法
説明: ローカル ユーザー名やパスワードなど、データ プレーン アクセスでサポートされるローカル認証方法。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証します。
構成ガイダンス: Azure VMware Solution の ID アクセス管理の構成については、以下のリンクを参照してください。
リファレンス: vCenter Server のアクセスと ID
IM-3: アプリケーション ID を安全かつ自動的に管理する
Features
マネージド ID
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
サービス プリンシパル
[説明]: データ プレーンはサービス プリンシパルを使用した認証をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-7: 条件に基づいてリソースへのアクセスを制限する
Features
データ プレーンへの条件付きアクセス
[説明]: データ プレーン アクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
機能ノート: AVS アクセスは VMware vSphere RBAC によって制御されます
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-8: 資格情報とシークレットの公開を制限する
Features
Azure Key Vault におけるサービス資格情報とシークレットの統合およびストレージのサポート
[説明]: データ プレーンは、資格情報とシークレット ストアのための Azure Key Vault のネイティブな使用をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つユーザーまたは管理ユーザーを分離して制限する
Features
ローカル管理者アカウント
説明: サービスには、ローカル管理アカウントの概念があります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証します。
構成ガイダンス: Azure VMware Solution プライベート クラウド vCenter で Azure VMware Solution CloudAdmin ロールに付与された特権を表示します。 詳細については、リンクを参照してください
リファレンス: vCenter Server のアクセスと ID
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
Features
データプレーンのためのAzure RBAC
[説明]: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
機能ノート: Azure RBAC はサポートされていません。 Azure VMware ソリューションでは、お客様に Azure AD と統合する機能を提供する vCenter RBAC ロールを使用します。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
PA-8: クラウド プロバイダーサポートのアクセス プロセスを決定する
Features
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
データ保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-3: 転送中の機密データの暗号化
Features
転送中のデータの暗号化
説明: サービスは、データ プレーンの転送中のデータ暗号化をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
DP-4: 保存データ暗号化を既定で有効にする
Features
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされています。保存中の顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: 保存データの暗号化
DP-5: 必要に応じて保存データの暗号化でカスタマー マネージド キー オプションを使用する
Features
静止データの暗号化にCMKを使用
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって保存される顧客コンテンツでサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
機能ノート: この機能は現在作業中ですが、プライベート プレビュー用の ETA はありません。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-6: セキュリティで保護されたキー管理プロセスを使用する
Features
Azure Key Vault でのキー管理
説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault 統合がサポートされます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-7: セキュリティで保護された証明書管理プロセスを使用する
Features
Azure Key Vault での証明書の管理
説明: このサービスは、顧客証明書に対する Azure Key Vault 統合をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
機能ノート: 今後、これをサポートする特定の機能を追加する予定ですが、現時点では追加しません。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
資産管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みサービスのみを使用する
Features
Azure Policy のサポート
[説明]: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
機能ノート: Azure VMWare ソリューションでは現在、ワークロード VM リソースを管理するための Azure Policy がサポートされています。 VMWare ソリューション用の Azure Arc Server をデプロイする場合は、Azure Policy のサポートが付属します。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
ログ記録と脅威の検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
Features
サービスおよび製品提供のためのMicrosoft Defender
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: VMware 上の VM に Azure Arc 対応サーバーを使用します。これにより、Microsoft Defender for Cloud で次の機能を提供できます。
- ファイルの整合性の監視
- ファイルレス攻撃の検出
- オペレーティング システムのパッチ評価
- セキュリティの誤った構成の評価
- Endpoint Protection の評価
リファレンス: Microsoft Defender for Cloud と Azure VMware Solution の統合
LT-4: セキュリティ調査のためにログ記録を有効にする
Features
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
機能ノート: Azure VMware Solution のログ記録用。 VMware syslog で構成を有効にします。 詳細については、リンクを参照してください。 Azure VMware Solution の VMware Syslog の構成
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと復旧を参照してください。
BR-1: 定期的な自動バックアップを確保する
Features
Azure Backup
説明: サービスは Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: (Azure Backup の一部として) Azure Backup Server を使用して、VM レベルのバックアップを実行します。 Azure Backup Server では、バックアップ データをディスクに格納できます。短期的なストレージの場合、Azure Backup Server はデータをディスク プールにバックアップします。 Azure クラウド: ディスク プールに格納されている Azure Backup Server データは、オンプレミスの短期ストレージと長期ストレージの両方で、Azure Backup を使用して Microsoft Azure クラウドにバックアップできます。
リファレンス: Azure VMware Solution 用に Azure Backup Server を設定する
サービス ネイティブ バックアップ機能
説明: サービスは、独自のネイティブ バックアップ機能をサポートします (Azure Backup を使用していない場合)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 組織でこのセキュリティ機能を構成するかどうかを確認して決定してください。
リファレンス: VMware Site Recovery Manager を使用してディザスター リカバリーを展開する