Security Centerの「運用」を考える
はじめに
4回に渡って、Azure Security Centerを使ってクラウドの設定をどう守るか(Posture Managementをどうやるか)を書きました。ここまで読むと可視化されたリスクに対して、優先度をつけて対応していくことができます。
次に考えること
日々の運用
Azureに限らず、パブリッククラウドを使っている皆さんなら実感していると思いますが、常にリソースは増減し、設定は変更され、クラウド上の設定が同じ状態のまま…なんてことは、一日たりともありません。いかに旧来的な本番システムで、本番リリース後は構成変更なんてしてない!と言っても、障害対応やテストに伴い、誰かがこっそり変えて戻し忘れるものです。
とすると、Security Centerのチェックでパスした項目も、いつしかNGになっているかもしれません。
「じゃあSecurityCenterって毎日見なきゃいけないの?」
では毎日Security Centerを見て、スコアが悪化していないか確認しなければならないのか。そんな人間監視システムみたいなことやってられませんよね。ということで自動化を考えます。
現実的な運用
設定すべきこと
自動化で必要なことは1つのみ。継続的に監視することと、何かあった場合に能動的に通知を行い、管理者が受け身でも気づくようにすることです。
Logic Apps
Security Centerの管理画面上、「ワークフローの自動化」と言う項目があります。
ここで「特定の条件に従ってLogicAppsを呼び出す」ルールを設定できます。
設定内容
自動化できる内容は、下記の通りです。
トリガーの条件
Logic Appsを発動する条件を記載できます。
上記のように設定することで「コンプライアンス標準に違反したリソースがあれば、Logic Appsを実行する」という簡単なワークフローにすることができます。
なお、この条件(コンプライアンス標準違反)は最近まで選択できませんでした。有償機能(Azure Defender)で検知する、脅威検出アラート用の連携機能でしたので、つまり「攻撃を受けたから気付いてね!」という使い方を想定されていたものと思われます。しかし、前述の通り設定の監視と言う観点でも、監視を自動化しなければ現実的には運用は回りません。その名残か、このトリガーに「規制コンプライアンス標準」を選択するためにも、Azure Defenderを有効化しておく必要があります。無償の場合は、やっぱり人間監視システムが必要になってしまいます。
注意点としては、調子に乗って「合格」や「スキップ」を対象にしないことです。問題のないリソースについても通知が飛んできてしまい、オオカミ少年化してしまうため意味が無くなります。
Logic Apps
ロジックアップの設定としては、標準で「Security Center Regulatory Compliance…」というパーツが用意されており、勝手に情報を取得してくれます。この後続としてメール送信のパーツを使えば、簡単に自動化をすることができます。o365アカウントでもあれば、一瞬ですね。
検知と通知
さて、最後に検知通知がどのように行われるか整理します。
頻度
ドキュメント上どこにも見つけられなかったのですが、再評価によるトリガーの再実行は1週間に一度のようです。私の環境の場合は、特定の曜日・時間にズラズラっとメールが届きます。多分、"2:22(UTC)"なのではないかと…
また、Security Center有効化後に新しく作ったリソースについては、やはりその日起点で週に一回通知が来るようです。
通知内容
届くメールの内容は下記の通りです。「どの項目に」「Failedしたリソースが何件あったか」が表示されます。
惜しいのは、違反したリソースがリストアップされないことです。そこまで出来たら最強だと思うんですが、現時点では「メールをトリガーにSecurity Centerを見に行く」という運用が最善かと思います。
おわりに
5回もかかりましたが、Security Center使うための基本を説明してきました。今回の内容を踏まえると、Security Centerを使った運用までイメージアップできたかと思います。普段使用されている方は、きっともっと高度な運用されてると思いますので、コメントやDMいただけるととてもうれしいです。
Security Centerシリーズは一旦ここまで。次回は何か違うネタにしたいと思います。
ご参考(前回までの記事)
Discussion