Azure Virtual Machines を防御するためのベスト プラクティス

検出および対応チーム (DART) およびカスタマー サービスおよびサポート (CSS) のセキュリティ チームが顧客インシデントの調査中に頻繁に目にするものの 1 つは、インターネットからの仮想マシンへの攻撃です。

これは、お客様のテナントがセキュリティを担当するクラウド セキュリティ共有責任モデルの 1 つの領域です。セキュリティは、Microsoft と顧客の間で共有される責任であり、Azure または任意のクラウドに仮想マシンを 1 つだけ配置するとすぐに、適切なセキュリティ コントロールを確実に適用する必要があります。

以下の図は、セキュリティ責任のレイヤーを示しています。

顧客、サービス、およびクラウドの責任を示す共有責任モデルの画像

幸いなことに、Azure には、仮想マシンを含むワークロードを保護し、絶えず進化する脅威からそれらを安全に保つのに役立つように設計された一連のベスト プラクティスがあります。このブログでは、仮想マシンの保護に役立つ最も重要なセキュリティのベスト プラクティスを共有します。

このブログで取り上げる共有責任モデルの領域は次のとおりです。

  • ツール
  • ID とディレクトリ インフラストラクチャ
  • アプリケーション
  • ネットワーク コントロール
  • オペレーティング·システム

それぞれに該当する Azure セキュリティのトップ 10 のベスト プラクティスを参照します。

ベストプラクティス

1. Azure Security Center のAzure セキュア スコアをガイドとして使用する

Azure Security Center 内のセキュリティ スコアは、セキュリティ体制の数値ビューです。 100% の場合は、ベスト プラクティスに従っています。それ以外の場合は、最も優先度の高い項目に取り組み、現在のセキュリティ体制を改善してください。以下の推奨事項の多くは、Azure セキュア スコアに含まれています。

2. 仮想マシンの管理ポートをインターネットから分離し、必要な場合にのみ開く

リモート デスクトップ プロトコル (RDP) は、Windows 管理者に非常に人気のあるリモート アクセス ソリューションです。その人気の高さから、攻撃者にとって非常に魅力的な標的となっています。 RDP の既定のポートを変更することが実際の目的に役立つと思い込まないでください。攻撃者は常にポート範囲全体をスキャンしており、たとえば、3389 から 4389 に変更したことは簡単にわかります。

インターネットから Azure VM への RDP アクセスを既に許可している場合は、ネットワーク セキュリティ グループの構成を確認する必要があります。 RDP を公開しているルールを見つけて、送信元 IP アドレスがワイルドカード (*) であるかどうかを確認します。その場合は、心配する必要があります。VM が現在ブルート フォース攻撃を受けている可能性は十分にあります。

VM がブルート フォース攻撃を受けているかどうかを判断するのは比較的簡単です。以下で説明する少なくとも 2 つの方法があります。

  • Azure Defender (以前の Azure Security Center Standard) は、VM がブルート フォース攻撃を受けている場合にアラートを出します。
  • Security Center Standard レベルを使用していない場合は、Windows イベント ビューアーを開き、Windows セキュリティ イベント ログを見つけます。イベント ID 4625 (アカウントがログオンに失敗した) をフィルター処理します。このようなイベントが立て続けに (数秒または数分) 発生している場合は、ブルート フォース攻撃を受けていることを意味します。

その他の一般的に攻撃されるポートには、SSH (22)、FTP (21)、Telnet (23)、HTTP (80)、HTTPS (443)、SQL (1433)、LDAP 389 などがあります。これは、一般的に公開されているポートのリストの一部です。 .そのマシンのビジネス ニーズに必要でない限り、無制限の送信元 IP アドレス範囲からのインバウンド ネットワーク トラフィックを許可することには常に注意する必要があります。

Azure VM への受信アクセスを管理するためのいくつかの方法:

ジャスト イン タイムにより、攻撃サービスを削減できると同時に、正当なユーザーが必要に応じて仮想マシンにアクセスできるようになります。

ネットワーク セキュリティ グループには、VM を含むいくつかの種類の Azure リソースへの受信トラフィックまたは送信トラフィックを許可または拒否する規則が含まれています。ルールの数には制限があり、さまざまなネットワークの場所から多数のユーザーが VM にアクセスする必要がある場合、ルールの管理が難しくなる可能性があります。

詳細については、次のトップ Azure セキュリティ ベスト プラクティスを参照してください。

3. パスワードとユーザー アカウント名を複雑にする

ビジネス上の理由で VM へのインバウンド トラフィックを許可する必要がある場合、この次の領域は非常に重要です。このマシンへのアクセスを許可されるユーザー アカウントが、複雑なユーザー名とパスワードの組み合わせを使用していることを完全に確信していますか?この VM がドメインにも参加している場合はどうなりますか?ローカル アカウントについて心配することは 1 つのことですが、その仮想マシンにログオンする権利を持つドメイン内のすべてのアカウントについて心配する必要があります。

詳細については、次のトップ Azure セキュリティ ベスト プラクティスを参照してください。

4.オペレーティングシステムにパッチを適用したままにする

オペレーティング システムの脆弱性は、公開される可能性が高いポートやサービスと組み合わされた場合に特に懸念されます。その好例が、「 BlueKeep 」と呼ばれるリモート デスクトップ プロトコルに影響を与える最近の脆弱性です。一貫したパッチ管理戦略は、全体的なセキュリティ体制の改善に大いに役立ちます。

5.サードパーティのアプリケーションを最新の状態に保ち、パッチを適用する

アプリケーション、特に Azure VM にインストールされているサード パーティ製アプリケーションは、見落とされがちなもう 1 つの領域です。可能な限り最新バージョンを使用し、既知の脆弱性にパッチを適用してください。例として、既知の脆弱性を持つサードパーティのコンテンツ管理システム (CMS) アプリケーションを使用する IIS サーバーがあります。インターネットで CMS の脆弱性を簡単に検索すると、悪用可能な多くの脆弱性が明らかになります。

詳細については、次のトップ Azure セキュリティ ベスト プラクティスを参照してください。

6.脅威を積極的に監視する

Azure Security Centerの Standard レベルを利用して、脅威を積極的に監視していることを確認してください。 Security Center は機械学習を使用して、Microsoft のシステムとサービス全体のシグナルを分析し、環境に対する脅威を警告します。そのような例の 1 つは、リモート デスクトップ プロトコル (RDP) ブルート フォース攻撃です。

詳細については、次のトップ Azure セキュリティ ベスト プラクティスを参照してください。

7. Azure バックアップ サービス

セキュリティを有効にすることに加えて、常にバックアップを作成することをお勧めします。 Azure に仮想マシンをバックアップするように指示しない限り、自動バックアップは行われません。幸いなことに、オンにするのは数回クリックするだけです。

次のステップ

この記事に含まれる知識があれば、Azure で VM が侵害される可能性は低くなると思います。セキュリティは、階層化された (多層防御) アプローチを使用し、環境を完全に保護するために 1 つの方法に依存しない場合に最も効果的です。 Azure には、この階層化されたアプローチの適用に役立つさまざまなソリューションが用意されています。

この情報が役に立った場合は、 csssecblog@microsoft.comまでご連絡ください。

Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧くださいセキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参照: https://www.microsoft.com/en-us/security/blog/2020/10/07/best-practices-for-defending-azure-virtual-machines/

コメント

タイトルとURLをコピーしました