🕌

Azure Security Center使いだしたらまず見るべきところ

2021/03/11に公開

前回、Security Centerのさわりの部分を説明する記事を書きました。
https://zenn.dev/tomot/articles/445f9a2bc379d9
今回は続きとして、Security Centerの主要機能の一つであるCSPM機能について、掘り下げていきましょう。

CSPM機能で見えること

Security Centerでは、簡単に言って3つの機能が備わっています。

  1. 監視するルールを設定して
  2. ルールに従って定期的に診断して
  3. それを可視化する

セキュリティセンターを有効にすると(そしてしばらくして最初の評価が終わると)、下記のような画面になるのですが、この中の「セキュリティスコア」と言うところが「可視化」の結果となっています

ではそれぞれ、どういった機能なのか解説していきます。

監視するルールを設定する

前回の記事の最後で、「Azureポリシーの機能を使って、サブスクリプションのセキュリティ順守状況をチェックし、その採点結果を表示してくれている」機能と書きました。
Security Centerが有効化されると、環境に対してまず「Azure セキュリティ ベンチマーク」というイニシアチブ[1]が有効化されます。このイニシアチブにより、環境が評価されていきます。

ポリシーが「〇〇でなければいけない」というルールだとしたら、イニシアチブは「ルール集」です。パラメータで見てみると「policyset」という表現で書かれていることもあるくらいで、複数のルールを束ねて一つの規則にしたがったルール集になっています

Azure セキュリティ ベンチマーク

Azure セキュリティ ベンチマーク(ASB)[2]は、Center for Internet Security (CIS) コントロール バージョン 7.1 および米国標準技術研究所 (NIST) SP 800-53などの持つベンチマーク等を取り込みながら、Azureのベストプラクティスを取り込んだガイドラインになっています。

こういった項目を正しく設定していますか?という判例のリストのようなものなので、「何が出来ていないと危険なのか」という設定を知る意味でも、とても有用なものです。Azure利用し始めたばかりの方だけでなく、慣れてきた方にもおすすめできます

その他のルール

Security Centerでは、「クラウドセキュリティ」>「規制コンプライアンス」というメニューからその他のイニシアチブを追加し、監視に加えることができます。例えば、業界特有のルールなどが対象になっており、

  • HIPAA HITRUST
  • PCIDSS

など、医療や金融業界で使われるような厳しい基準に則ったルールを追加することができます。(どんどん増えているので、ここで全部列挙するのは控えますね)
ただし、この機能は有料となっており、「Azure Defender」を有効化しないと使うことができません。

ここでお伝えしたのは「有償だから使いたくないなー」ではなく、「ASBのチェックが無償で使えるって太っ腹じゃない??」ということです。ASB自体、Azureにより更新されていきますし、ASB対応のイニシアチブもUpdateがかかって対応できるルールが増えていっています。(Previewから人知れず消えたポリシーなどもありますが…)

定期的に診断する

ポリシーによる診断はリソースが作成されたときに加え、24時間に一度再評価されているようです[3]。これにより、Security Centter側でも違反状況が見えてきます。

ポリシーに違反した状態のリソースを作成してしまった場合も自動的に評価されますし、なんらかの理由で設定が変わったことによる違反も検知できるようになります。

可視化する

可視化については、全体感を見る機能と、個別のリソースを掘り下げていく機能とがあります。

全体感

最初に見せた「セキュリティスコア」が全体感を表すスコアです。

リソース数や、リソースの種類により満点は変わってきますが、「どれくらいポリシー違反リソースがあるのか」と言うことがザックリではありますが定量的に見ることができます。
セキュリティ対策を行う人は、このスコアの向上を目指して環境の設定を修正していくことになりますが、ここで満点を目指すのは非常に難しいです。
例えば、ストレージアカウントでは「PrivateLinkを利用すること」といったルールがASBに存在しています。しかし、実態として、パブリックにオープンにするようなストレージの利用方法もありますので、全てに確実に準拠させることは難しいと思います。
大事なのは、「どういったルールがあって、何に違反しているのか?」「その場合どういうリスクがあるのか?」「そのリスクを緩和できるような設定は他にないのか?」という検討を重ねることです。

個別リソース

「規制コンプライアンス」メニューの中を見ていくと、割り当てたイニシアチブに対応したリストが見えてきます。

例として、「Data Protection」のDP2.Protect sensitive dataの項目を見ていきましょう
具体的な評価項目と、対象リソースの種類、および違反しているリソース数が見えてきます。

さらに項目名をクリックすると、ポリシーに違反しているリソースが一覧化されます。こうして、違反しているリソースを見つけ出していきます。

おわりに

今回は、Security Centerを有効化したらまず何を見ていけばよいのか(何が見えるのか/どう見たらよいか)を説明してきました。次は、見つけた「違反リソース」にどうやって手を打っていけばよいのか、少し運用に踏み込んで解説したいと思います。

脚注
  1. https://docs.microsoft.com/ja-jp/azure/governance/policy/overview ↩︎

  2. https://docs.microsoft.com/ja-jp/azure/security/benchmarks/overview ↩︎

  3. https://docs.microsoft.com/ja-jp/azure/governance/policy/how-to/get-compliance-data ↩︎

Discussion