Azure Security Center による Azure 仮想マシンの保護 (Defender for Cloud)

Azure Security Center による Azure 仮想マシンの保護 (Defender for Cloud)

2024 年 1 月 8 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Defender for Cloud (旧称 Azure Security Center) を使用して Azure 仮想マシン (VM) を保護する方法をガイドすることを目的としています。 Defender for Cloud は、包括的なクラウド セキュリティ体制管理 (CSPM) およびクラウド ワークロード保護 (CWPP) ソリューションであり、VM の可視性、セキュリティに関する推奨事項、脅威の検出、保護機能を提供し、VM の安全性とコンプライアンスを確保します [1]。

はじめに

仮想マシンは多くのクラウド インフラストラクチャの基本コンポーネントであり、重要なアプリケーション、データベース、および重要なサービスをホストします。ただし、クラウド内の VM のセキュリティは、クラウド プロバイダー (Azure) と顧客の間の共同責任です。構成ミス、古いソフトウェア、既知の脆弱性、不正アクセスにより、VM はさまざまなサイバー脅威にさらされる可能性があります。 Microsoft Defender for Cloud は、セキュリティ体制の統合ビューを提供し、脆弱性を積極的に特定し、高度な脅威保護を提供することにより、VM を保護するタスクを簡素化します。これらはすべて Azure 環境にネイティブに統合されています [2]。

この実践的なガイドでは、VM と Defender for Cloud の統合、Defender for Servers プランのアクティブ化、セキュリティ推奨事項の分析と実装、ジャストインタイム (JIT) アクセスの構成、脅威の検出について説明します。読者が堅牢な VM 保護戦略を実装して、攻撃対象領域を減らし、Azure インフラストラクチャのサイバー回復力を強化できるように、段階的な手順、Azure CLI コマンドの例と手順が提供されます。

Microsoft Defender for Cloud が VM にとって重要なのはなぜですか?

  • セキュリティ体制管理 (CSPM): セキュリティのベスト プラクティスおよび規制基準に照らして VM 構成を継続的に評価し、実用的な推奨事項を提供します。
  • ワークロード保護 (CWPP): マルウェア検出、アプリケーション制御、ファイル整合性監視、VM のネットワーク保護など、高度な脅威保護を提供します。
  • 一元的な可視性: 複数のソースからのセキュリティ アラートと推奨事項を 1 つのダッシュボードに統合し、セキュリティ管理を簡素化します。
  • ジャストインタイム (JIT) アクセス: 必要な場合に限られた期間のみ管理ポートへのアクセスを制限することで、VM の攻撃対象領域を削減します。
  • ネイティブ統合: 他の Azure サービスおよび Microsoft 365 Defender ソリューションとシームレスに統合し、統合されたセキュリティ エクスペリエンスを提供します。
  • 自動化: 脆弱性の修正とインシデント対応を自動化し、セキュリティ運用を最適化できます。

前提条件

Azure Security Center で Azure 仮想マシンを保護するには、次のものが必要です。

  1. アクティブな Azure サブスクリプション: リソースを作成および管理するための Azure サブスクリプション。
  2. 管理アクセス: Azure サブスクリプション、または VM が配置されているリソース グループ内の「所有者」、「共同作成者」、または「セキュリティ管理者」のロールを持つアカウント。
  3. 既存の Azure 仮想マシン: 保護する Azure VM。このチュートリアルでは、VM がすでにデプロイされていることを前提とします。
  4. オプション: Azure CLI または Azure PowerShell: コマンド ラインによる自動化と管理用。

ステップバイステップ: Security Center を使用した VM の保護

Azure VM を保護するために Security Center を構成しましょう。

1. サブスクリプションで Microsoft Defender for Cloud を有効にする

Defender for Cloud はサブスクリプション対応です。まだ有効になっていない場合は、次の手順に従います。

  1. ブラウザーを開き、Azure portal: https://portal.azure.com に移動します。
  2. 必要な権限を持つアカウントでログインします。
  3. 上部の検索フィールドに「Defender for Cloud」と入力し、結果からそれを選択します。
  4. Defender for Cloud ダッシュボードの左側のナビゲーション ウィンドウで [環境設定] を選択します。
  5. VM を含む Azure サブスクリプションを選択します。
  6. [Defender プラン] ページで、Defender for Servers プランが「A」であることを確認します。アクティブ化されます。有効になっていない場合は、「有効にする」をクリックし、指示に従って有効にしてください。この計画は、高度な VM 保護に不可欠です [4]。

2. 仮想マシンのオンボーディング

Security Center で VM を監視および保護するには、Log Analytics エージェント (Microsoft Monitoring Agent - MMA とも呼ばれます) がインストールされている必要があります。 Azure VM の場合、これは通常、Defender for Servers プランがアクティブ化されたときに自動的に行われます。 Azure 以外の VM の場合は、Azure Arc 経由でオンボードする必要があります。

  1. Defender for Servers を有効にすると、Defender for Cloud はサブスクリプション内のすべての Azure VM に Log Analytics エージェントを自動的にプロビジョニングしようとします。
  2. Security Center の Asset Inventory でエージェントのステータスを確認できます。 「リソース タイプ」 = 「仮想マシン」でフィルターします。
  3. VM をクリックして、その健全性ステータスとエージェントがインストールされているかどうかを確認します。

3. セキュリティに関する推奨事項の確認

Security Center は VM を継続的に評価し、セキュリティ体制を改善するための推奨事項を提供します。

  1. Defender for Cloud ダッシュボードの左側のナビゲーション ウィンドウで [推奨事項] を選択します。
  2. 「リソース タイプ」 = 「仮想マシン」で推奨事項をフィルタリングします。

  3. 「仮想マシンの脆弱性にパッチを適用する必要がある」、「管理ポートへの JIT アクセスを仮想マシンに適用する必要がある」、または「サブスクリプションの読み取り権限を持つアカウントで MFA を有効にする必要がある」などの推奨事項のリストが表示されます。

  4. 推奨事項 (例: 「仮想マシンの脆弱性にはパッチを適用する必要があります」) をクリックして詳細を表示します。

    • 脆弱性の説明、潜在的な影響、影響を受ける VM のリストが表示されます。
    • Defender for Cloud は Microsoft Defender Vulnerability Management と統合して、VM の包括的な脆弱性評価を提供します。

4. VM へのジャストインタイム (JIT) アクセスの実装

JIT アクセスは、管理ポート (RDP 3389、SSH 22 など) が必要な場合に限られた時間だけ開かれるようにすることで、VM の攻撃対象領域を減らします。

  1. Security Center ダッシュボードで、ワークロード保護 > ジャストインタイム VM アクセス を選択します。

  2. JIT に適格な VM のリストが表示されます。 VM を選択し、[VM で JIT を有効にする] をクリックします。

  3. JIT によって保護する必要があるポートを構成します (例: RDP の場合は 3389、SSH の場合は 22)。

  4. 「最大リクエスト時間」 (例: 3 時間) と許可される「プロトコル」を定義します。
  5. 「承認された送信元 IP アドレス」を設定します (アクセスをさらに制限するためのオプション)。
  6. [保存] をクリックします。

JIT アクセスのリクエスト

ユーザーが VM にアクセスする必要がある場合:

  1. Security Center ダッシュボードで、ワークロード保護 > ジャストインタイム VM アクセス を選択します。
  2. アクセスしたい VM を選択し、アクセスのリクエスト をクリックします。
  3. ポート、アクセス時間、送信元 IP アドレスを指定します。
  4. [ポートを開く] をクリックします。

5. 脅威の検出とセキュリティ警告

Defender for Cloud は、不審なアクティビティや脅威がないか VM を継続的に監視します。

  1. Defender for Cloud ダッシュボードの左側のナビゲーション ウィンドウで [セキュリティ アラート] を選択します。

  2. VM に対して生成されたアラートのリストが重大度別に分類されて表示されます (例: 「VM ブルート フォース試行」、「不審な PowerShell アクティビティ」)。

  3. アラートをクリックすると、次のような詳細が表示されます。

    • 説明: 脅威の性質を説明します。
    • 影響を受けるリソース: 関係する VM。
    • 推奨されるアクション: アラートを調査して修正する手順。
    • 攻撃タイムライン: 一連のイベントを視覚的に表現したもの。

検証とテスト

Security Center を使用した VM の保護の検証には、推奨事項が生成され、保護が適用され、アラートが検出されることを確認することが含まれます。

1. セキュリティ推奨事項の確認

  1. 推奨されるセキュリティ設定をすべて適用せずに、新しい Azure VM を作成します (例: ディスク暗号化なし、セキュリティ更新なし)。
  2. Security Center が VM を評価するまで数時間待ちます。
  3. セキュリティ センターの 推奨事項 ダッシュボードをチェックして、新しい VM に対するセキュリティに関する推奨事項が生成されているかどうかを確認します。

2. JIT アクセスのテスト

  1. JIT で保護されたポート (RDP など) にアクセスしてみます。JIT アクセスを要求しない VM。
    • 期待される結果: 接続は拒否されるはずです。
  2. 目的の VM とポートに対する JIT アクセスを要求します。
  3. 割り当てられた時間内にポートへのアクセスを再試行します。
    • 期待される結果: 接続は成功するはずです。

3. セキュリティ警告のシミュレーション

  1. Security Center によって保護されたテスト VM 上で、アラートを生成する可能性のあるアクティビティを実行してみます (例: ブルート フォースをシミュレートするために、RDP 経由で間違った資格情報を使用してログインを複数回試行します)。
  2. 数分間待ちます。
  3. Defender for Cloud セキュリティ アラート ダッシュボードをチェックして、VM に対してアラートが生成されているかどうかを確認します。

セキュリティのヒントとベスト プラクティス

  • Defender for Servers を有効にする: 最も包括的な保護を実現するために、すべてのサブスクリプションと VM に対して Defender for Servers プランが有効になっていることを確認します。
  • 推奨事項に従う: Defender for Cloud によって提供されるセキュリティに関する推奨事項を定期的に監視して実装し、堅牢なセキュリティ体制を維持します。
  • 管理ポートの JIT アクセス: 攻撃対象領域を最小限に抑え、ブルート フォース攻撃やポート スキャンから保護するために、VM 管理ポートには常に JIT アクセスを使用します。
  • Azure Policy との統合: Azure Policy を使用してセキュリティ標準を適用し、VM が最初から安全な構成でデプロイされるようにします。
  • パッチ管理: 最新のセキュリティ パッチを適用して、VM 上のオペレーティング システムとアプリケーションを最新の状態に保ちます。
  • 最小特権の原則: VM と対話するユーザーとサービスに、必要なアクセス許可のみを付与します。
  • ログ監視: VM セキュリティ ログを Azure Monitor および Microsoft Sentinel と統合して、一元的な分析と高度な脅威検出を実現します。

一般的なトラブルシューティング

  • VM が Defender for Cloud に表示されない: サブスクリプションがオンボードされていること、および Defender for Servers プランがアクティブであることを確認してください。 Log Analytics エージェントが VM にインストールされ、実行されていることを確認します。 Log Analytics エンドポイントへの VM のネットワーク接続を確認します。
  • VM に対する推奨事項は生成されません: オンボード後に Security Center が VM を評価するのに時間がかかる場合があります。エージェントがデータを送信していることを確認してください。評価を妨げている可能性のある除外設定がないか確認してください。
  • JIT アクセスが機能しない: VM と正しいポートに対して JIT が有効になっていることを確認してください。 JIT アクセス要求の送信元 IP アドレスがパブリック IP アドレスと一致していることを確認してください。 Azure アクティビティ ログで JIT 関連のエラーを確認します。
  • セキュリティ アラートが見つからない: Defender for Servers プランがアクティブであることを確認します。 Log Analytics エージェントがセキュリティ データを送信していることを確認してください。アラートの除外が設定されているかどうかを確認してください。
  • エージェントのパフォーマンスの問題: Log Analytics エージェントが VM 上でパフォーマンスの問題を引き起こしている場合は、リソース要件を確認し、データ収集設定の調整を検討してください。

結論

Microsoft Defender for Cloud は、Azure Virtual Machines を保護するために不可欠なツールであり、セキュリティ体制管理と高度な脅威保護への統合アプローチを提供します。 Defender for Servers プランを有効にし、セキュリティに関する推奨事項を実装し、ジャストインタイム アクセスを構成し、アラートを監視することで、組織はクラウド VM に関連するリスクを大幅に軽減できます。 Security Center を効果的に使用し、セキュリティのベスト プラクティスと他の Azure サービスとの統合を組み合わせることで、VM がクラウド インフラストラクチャ内で安全で復元力のある資産となることが保証されます。この実践的なガイドを使用すると、セキュリティ専門家は、安全で準拠した環境を維持しながら Azure 仮想マシンを保護するための十分な準備を整えることができます。

参考文献:

[1] Microsoft Learn。 Microsoft Defender for Cloud とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [2] Microsoft Learn。 Defender for Servers を使用してサーバーを保護します。入手可能場所: [https://learn.microsoft.com/pt-br/azure/de]fender-for-cloud/tutorial-enable-servers-plan](https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-servers-plan) [3] Microsoft Learn。 VM への Just-in-Time (JIT) アクセス。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-usage [4] Microsoft Learn。 仮想マシンのサポート マトリックス。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/support-matrix-compute