マルチクラウドとハイブリッド インフラストラクチャを Azure Arc で保護するための 3 つのステップ

世界中の企業が、産業化され、組織化された攻撃者エコシステムの成長に取り組んでいるため、顧客がマルチクラウドおよびハイブリッド インフラストラクチャとワークロードを保護する必要性がますます緊急になっています。

今日、組織は、マルチクラウドおよびハイブリッド ワークロードのセキュリティ問題を悪用する経済的な動機が非常に強い攻撃者のエコシステムに直面しています。これは、ハッカーが毎日平均 5,000 万回のパスワード攻撃を仕掛けていることからも明らかです。 2 つ目)、Web シェル攻撃の台頭、 ¹およびファームウェア攻撃の増加。 ²この進化する脅威環境におけるほとんどの攻撃ベクトルと同様に、防止と検出が重要です。

これらの脅威は、オンプレミス、ハイブリッド、マルチクラウドのインフラストラクチャとワークロードを組み合わせて使用する組織にとって、ますます大きな課題となる可能性があります。この分散型インフラストラクチャでは、セキュリティ管理、ポリシー、シグナルが統一されていない場合、動機のある攻撃者からリソースを保護することが困難になる可能性があります。

3 つのステップでマルチクラウドとハイブリッド インフラストラクチャを保護する

インフラストラクチャを保護することは、すべてのビジネスにとってビジネスの基本です。では、マルチクラウド、オンプレミス、およびハイブリッド インフラストラクチャ セキュリティのソリューションとはどのようなものでしょうか?強力な防御は、統一され、簡素化され、実用的でなければなりません。デジタル トランスフォーメーションの実現を容易にし、この重要な分野の進歩を遅らせないようにする必要があります。マルチクラウド、オンプレミス、およびハイブリッド インフラストラクチャを保護する必要がある企業の場合、セキュリティ スタンスの強化は、次の 3 つの簡単な手順から始めることができます。

1. ハイブリッド インフラストラクチャをAzure Arcに接続します。
2. Microsoft Defender for Cloudを使用して、Azure Arc 接続ハイブリッド インフラストラクチャのセキュリティを強化します。
3. Secured-core for Azure Stack HCIを使用して、オンプレミス ワークロードのセキュリティをさらに強化します。

1. Azure Arc を使用して、オンプレミスおよびハイブリッド インフラストラクチャを Microsoft セキュリティ サービスに接続する

今日の多くの組織は、マルチクラウド、ハイブリッド、およびエッジ環境全体で異種のツールを使用してインフラストラクチャを保護するという複雑さの増大という課題に直面しています。これらの資産の保護を開始するには、Azure Arc を使用して、リソースがデプロイされている場所から Microsoft Azure に接続し、Azure セキュリティ サービスでアドレス指定できるようにして、Azure Resource Manager の単一の画面からそれらを管理できるようにします。 Azure Arc は、コントロール プレーンをこれらのリソースに拡張し、クラウド拡張検出および応答 (XDR) ソリューション、 Microsoft Defender for Cloud 、または安全なキー管理ツールであるAzure Key Vaultなどのツールを使用して一元的に管理および保護できるようにします。

「Azure のセキュリティとコンプライアンス機能がオンプレミスのインフラストラクチャにどのように役立つかを理解すると、クラウドの機能と利点について安心することができます。また、攻撃者の標的になりにくくなります。それが私たちが達成したいと考えていることです。」 — ASAPCLOUD、マーケティングおよびセールス担当マネージャー、Lody Mustamu 氏。

ASAPCLOUD のストーリーについて詳しくは、こちらをご覧ください。

2. Microsoft Defender for Cloud を使用して Azure Arc 対応インフラストラクチャをセキュリティで保護する

これらの分散型マルチクラウドおよびハイブリッド環境が Azure Arc を介して接続されると、Microsoft Defender for Cloud を使用して、構成全体の弱点を見つけ、全体的なセキュリティ体制を強化し、Azure、Amazon 全体のリソースに関連するコンプライアンス要件を満たすことができます。 Web サービス (AWS)、および Google クラウド プラットフォーム (GCP)。

防御が重要であると同時に、攻撃が巧妙化するにつれて、組織は包括的な脅威保護戦略を整備する必要があります。 Microsoft Defender for Cloud は、業界をリードするセキュリティ研究からの洞察を使用して脆弱性評価を提供し、仮想マシン、コンテナー、データベース、ストレージなど、クラウドとオンプレミスの幅広いワークロードに対して高度な脅威保護を提供します。

Prosegurのテクノロジおよびシステム担当ディレクターである Iñigo Martinez Lasala 氏は、次のように述べています。 「他にもツールはありますが、Microsoft Defender は、コンプライアンス ルールの確立、サーバーの強化、サーバーの問題を修正するためのスクリプトの起動など、他のツールにはない追加機能を提供します。」

Prosegur のストーリーの詳細については、こちらをご覧ください。

Azure サブスクリプションで Microsoft Defender for Cloud を有効にすることから始め、他の環境を簡単にオンボードして、現在のセキュリティ体制を理解します。次に、 強化された機能を有効にして、すべて Azure Arc を介して接続された中央の場所から、クラウドおよびオンプレミス環境全体で関連するすべてのワークロードのセキュリティを保護および管理できます。

図 1. Microsoft Defender for Cloud でワークロードを保護します。

3. Azure Stack HCI の Secured-core を使用して、オンプレミスおよびハイブリッド インフラストラクチャをさらに保護する

セキュリティの脅威がますます巧妙化するにつれて、それらはスタック内でオペレーティング システム、ファームウェア、およびハードウェア レベルの下位に移動しているため、これらの下位レベルでの追加のセキュリティの必要性が高まっています。これらの攻撃に対する保護を強化する 1 つの方法は、 Secured-coreと呼ばれる統合ソリューションであり、Azure Stack HCI で利用できるようになりました。 セキュア コア サーバーは、強化された保護を備えたすぐに使用できるセーフガードを提供します。たとえば、セキュア コア サーバーは、 仮想化ベースのセキュリティ (VBS) やハイパーバイザー ベースのコード整合性(HVCI) などの機能により、Web アプリケーションのセキュリティ侵害が成功した場合に攻撃を阻止するのに役立ちます。 Azure Stack HCI の資格情報保護は、VBS を使用して独自の仮想マシンで資格情報を分離することにより、資格情報の盗難の一般的な攻撃を軽減するのに役立ちます。これは、セキュア コア サーバーで既定でオンになっている機能です。これらの機能は、他の方法でははるかに大きな侵害になる可能性があるものを防ぐのに役立ちます。

セキュア コア サーバーには、次の 3 つの柱があります。

1. ハードウェア ルート オブ トラストによる保護: トラステッド プラットフォーム モジュール (TPM) により、ファームウェア マルウェアであっても、デバイス上で実行されたファームウェアのハードウェア記録が改ざんされることはありません。
2. ファームウェア レベルの攻撃から防御する: システム ガードで保護された VBS は、信頼のためにファームウェアに依存しないことで保護します。
3. 検証されていないコードへのアクセスを防止: HVCI は、既知の脆弱なドライバーとすべての問題クラスの両方から保護します。

Secured-core サーバーに組み込まれたこれらすべての機能により、サーバーはすぐに保護され、ハードウェアに対する信頼が得られます。また、セキュリティで保護されたコア サーバーの状態と構成の管理は、Windows Server と Azure Stack HCI ソリューションの両方について、ブラウザー ベースの Windows Admin Center から簡単に行うことができます。

図 2. Windows Admin Center でのセキュリティで保護されたコア サーバー クラスターの管理。

「お客様の安全を確保し、ビジネスの成果を加速させるために、Hewlett Packard Enterprise (HPE) は Azure Stack HCI 21H2 および Windows Server 2022 向けの新しい Gen 10 Plus (v2) 製品をリリースできることを嬉しく思います。これは HPE GreenLake エッジで提供できます。 -to-cloud プラットフォームです。これらは、HPE のセキュリティ テクノロジとセキュア コア サーバー機能を組み合わせて安全なハイブリッド実装を実現することで、前例のないホスト保護を提供します。」

オンプレミスおよびハイブリッド インフラストラクチャを保護するための対策を今すぐ講じてください

• オンプレミスのワークロードを Azure Arc に接続します。
  • サーバーを Azure Arc に追加する方法
  • Azure Arc 対応サーバーの計画と展開
• オンプレミスのワークロードでMicrosoft Defender for Cloudおよびその他の該当する Microsoft Defender 製品をアクティブ化します。
• HCI ソリューション用のセキュアコア サーバーをお求めください。

Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

¹Web シェル攻撃は増加し続けています, Detection and Response Team (DART), Microsoft 365 Defender Research Team, Microsoft Security. 2021 年 2 月 11 日。

²新しい Security Signals の調査では、ファームウェアへの攻撃が増加していることが示されています。 Microsoft Security Team、Microsoft Security. 2021 年 3 月 30 日。