Azure Security Centerの推奨事項とセキュリティスコア
Azure環境のセキュリティチェックを行ってくれるAzure Security Centerですが、推奨事項とセキュリティスコア、規制コンプライアンスについてよく分からないことがあって調べたのでそれを記事にします。
推奨事項とは
推奨事項とはAzureリソースに対し、Azureポリシーで定義されているルールに基づいてセキュリティチェックを行い、対処すべき内容を表示したものです。
セキュリティスコアとは
推奨事項に基づいて対象サブスクリプションにおけるセキュリティ状態を点数化したものです。計算方法等はこちらに詳しく書いてあるので割愛します。
推奨事項は何がベースになっている?
推奨事項については Azure Security Benchmark がベースとなっており、ルールセットは同一です。右側メニューの「セキュリティポリシー」でサブスクリプションを選択すると表示される「既定のポリシー」がこちらの設定です。
推奨事項とAzure Security Benchmarkで表示内容が違うのは、該当するリソースがない場合やカスタマイズした場合は表示されない項目があるためです。例えばサブスクリプション内にストレージアカウントがなければ、関連するルールは表示されません。
また、プレビューのルールについては表示されますが、セキュリティスコアの計算には反映されません。
また推奨事項の点数のカスタマイズや任意の項目の追加は現状できないようです。
「セキュリティスコアの推奨事項」と「すべての推奨事項」の違いは?
「セキュリティスコアの推奨事項」に表示されるのはAzure Security Benchmarkのルールです。「すべての推奨事項」に表示されるのはAzure Security Benchmarkに使われていないルールを含めたすべてのルールです。
デフォルトではすべての推奨事項にはASB、Azure CIS、未利用(空白)のものがあります。
こちらのいずれのページについても、該当するリソースがないルールについては推奨事項のページに表示されません。
規制コンプライアンス
Security Centerでは、各種規制コンプライアンス標準に対して、準拠状態をチェックできます。注意が必要なのは、本チェックをすべてクリアしていれば準拠できているというわけではなく、あくまでSecurity Centerでチェックできる範囲でしか実施していないため、完全な準拠状態の確認には別の手立てが必要です。
規制コンプライアンスのルールでは、基本的にAzure Policyで定義されているルールをもとに各コンプライアンスに対してマッピングしている形になります。すべてのルールが使われているわけではなく、適切に選択されている形になるため、各コンプライアンスで使われているルールに差異があります。(具体的にはレポートをcsv等でエクスポートし確認)
Azure CIS については新機能の追従が遅れるケースがあるため、 MSとしてはAzure Security Benchmarkの利用をお勧めしているようです。(参考)
カスタムのルールセット(イニシアティブ)作成
Security Center用にカスタムでルールセット(イニシアティブと呼ぶ)を作成することが可能です。カスタムイニシアティブを作成しサブスクリプションに割り当てると、規制コンプライアンスのダッシュボードとすべての推奨事項のページで確認することができます。
参考
セキュリティの推奨事項 - リファレンス ガイド
規制コンプライアンス ダッシュボードで標準セットをカスタイマイズする
カスタム セキュリティ イニシアチブとポリシーを作成する
Discussion