このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 の ガイダンスを Storage に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと Storage に適用される関連ガイダンスによって定義されたセキュリティ コントロールによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために、有料の Microsoft Defender プランが必要になる場合があります。
注
ストレージに適用できない機能は除外されています。 Storage を Microsoft クラウド セキュリティ ベンチマークに完全にマップする方法については、 Storage のセキュリティ ベースライン マッピング ファイル全体を参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、ストレージの影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 価値 |
|---|---|
| 製品カテゴリ | Storage |
| お客様は HOST/OS にアクセスできます | アクセス許可なし |
| サービスは顧客の仮想ネットワークにデプロイできます | 正しい |
| 顧客のコンテンツを静止状態で保存する | 正しい |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワークセグメント化の境界を確立する
Features
仮想ネットワーク統合
説明: サービスは、顧客のプライベート仮想ネットワーク (VNet) へのデプロイをサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
NS-2: ネットワーク制御によるクラウド サービスのセキュリティ保護
Features
Azure Private Link
説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG または Azure Firewall と混同しないでください)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azure Storage のプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。
リファレンス: Azure Storage にプライベート エンドポイントを使用する
パブリック ネットワーク アクセスを無効にする
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG または Azure Firewall ではない) を使用するか、[パブリック ネットワーク アクセスを無効にする] トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にすることができます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azure Storage サービス レベルの IP ACL フィルタリングまたはパブリック ネットワーク アクセスの切り替えスイッチを使用して、パブリック ネットワーク アクセスを無効にします。
リファレンス: 既定のネットワーク アクセス規則を変更する
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元化された ID と認証システムを使用する
Features
データ プレーン アクセスに必要な Azure AD 認証
説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
機能ノート: ストレージには、データ プレーンを承認する複数の方法が用意されています。 Azure には、ストレージ アカウント内のリソースへのクライアントのアクセスをきめ細かく制御するための Azure ロールベースのアクセス制御 (Azure RBAC) が用意されています。 セキュリティのベスト プラクティスとして可能な場合は、アカウント キーを使用するのではなく、Azure AD 資格情報を使用します。アカウント キーを使用すると、セキュリティが侵害される可能性があります。 アプリケーションの設計で Blob Storage へのアクセスに Shared Access Signature が必要な場合は、Azure AD 資格情報を使用して、可能な限り、セキュリティを強化するためにユーザー委任の Shared Access Signature (SAS) を作成します。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure Storage 内のデータへのアクセスを承認する
データ プレーン アクセスのローカル認証方法
説明: ローカル ユーザー名やパスワードなど、データ プレーン アクセスでサポートされるローカル認証方法。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証を行います。
構成ガイダンス: データ プレーン アクセスに対するローカル認証方法の使用を制限します。 代わりに、既定の認証方法として Azure Active Directory (Azure AD) を使用して、データ プレーンへのアクセスを制御します。
リファレンス: SFTP アクセス許可モデル
IM-3: アプリケーション ID を安全かつ自動的に管理する
Features
マネージド ID
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: 可能な場合は、サービス プリンシパルの代わりに Azure マネージド ID を使用します。これは、Azure Active Directory (Azure AD) 認証をサポートする Azure サービスとリソースに対して認証できます。 マネージド ID 資格情報は、完全に管理され、ローテーションされ、プラットフォームによって保護されるため、ソース コードまたは構成ファイルでハードコーディングされた資格情報を回避できます。
リファレンス: Azure リソースのマネージド ID を使用して BLOB データへのアクセスを承認する
サービス プリンシパル
説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
追加のガイダンス: Azure AD では、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、ユーザー、グループ、またはアプリケーション サービス プリンシパルである可能性があるセキュリティ プリンシパルにアクセス許可を付与できます。 セキュリティ プリンシパルは、OAuth 2.0 トークンを返すために Azure AD によって認証されます。 その後、トークンを使用して、Blob service に対する要求を承認できます。
リファレンス: Azure Active Directory を使用して BLOB へのアクセスを承認する
IM-7: 条件に基づいてリソースへのアクセスを制限する
Features
データ プレーンの条件付きアクセス
説明: データ プレーン アクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: ワークロード内の Azure Active Directory (Azure AD) の条件付きアクセスに適用される条件と条件を定義します。 特定の場所からのアクセスのブロックや許可、危険なサインイン動作のブロック、特定のアプリケーションに対する組織が管理するデバイスの要求など、一般的なユース ケースを検討してください。
リファレンス: Azure AD 条件付きアクセスを使用するための共有キーの承認を禁止する
IM-8: 資格情報とシークレットの公開を制限する
Features
Azure Key Vault でのサービス資格情報およびシークレットの統合と保存サポート
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vault のネイティブな使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: シークレットと資格情報は、コードまたは構成ファイルに埋め込むのではなく、Azure Key Vault などのセキュリティで保護された場所に格納されていることを確認します。
リファレンス: Key Vault と Azure CLI を使用してストレージ アカウント キーを管理する
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つユーザーまたは管理ユーザーを分離して制限する
Features
ローカル管理者アカウント
説明: サービスには、ローカル管理アカウントの概念があります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
Features
Azure RBAC for Data Plane
説明: Azure Role-Based アクセス制御 (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azure Storage では、Azure Active Directory (Azure AD) を使用して BLOB データへの要求を承認できます。 Azure AD では、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、セキュリティ プリンシパル (ユーザー、グループ、またはアプリケーション サービス プリンシパル) にアクセス許可を付与できます。
Azure AD を使用して Azure Storage に対する要求を承認すると、共有キー承認よりも優れたセキュリティと使いやすさが提供されます。 可能であれば、最小限の必要な特権でアクセスを確保するために、BLOB アプリケーションで Azure AD 承認を使用することをお勧めします。
リファレンス: Azure Active Directory を使用して BLOB へのアクセスを承認する
PA-8: クラウド プロバイダーサポートのアクセス プロセスを決定する
Features
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して確認し、Microsoft の各データ アクセス要求を承認または拒否します。
リファレンス: カスタマー ロックボックス
データ保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-1: 機密データの検出、分類、ラベル付け
Features
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: ストレージと Azure purview の統合は、現在プライベート プレビュー段階です。
構成ガイダンス: Azure Purview を使用して、Azure Storage に存在する機密データをスキャン、分類、ラベル付けします。
リファレンス: Microsoft Purview で Azure Blob Storage に接続する
DP-2: 機密データを対象とする異常と脅威を監視する
Features
データ漏えい/損失防止
説明: サービスは、機密データの移動 (顧客のコンテンツ内) を監視するための DLP ソリューションをサポートしています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Defender for Storage は、Azure Blob Storage および Azure Files サービスによって生成されたテレメトリ ストリームを継続的に分析します。 悪意のある可能性のあるアクティビティが検出されると、セキュリティ アラートが生成されます。 これらのアラートは、疑わしいアクティビティの詳細と、関連する調査手順、修復アクション、セキュリティに関する推奨事項と共に、Microsoft Defender for Cloud に表示されます。
Microsoft Defender for Storage は、Microsoft Defender for Cloud に組み込まれています。 サブスクリプションで Microsoft Defender for Cloud の強化されたセキュリティ機能を有効にすると、すべてのストレージ アカウントに対して Microsoft Defender for Storage が自動的に有効になります。 特定のサブスクリプションの個々のストレージ アカウントに対して Defender for Storage を有効または無効にすることができます。
リファレンス: Microsoft Defender for Storage を構成する
DP-3: 転送中の機密データの暗号化
Features
転送中のデータの暗号化
説明: サービスは、データ プレーンの転送中のデータ暗号化をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: ストレージ アカウントへの要求に必要な最小バージョンのトランスポート層セキュリティ (TLS) を適用する
DP-4: 保存データ暗号化を既定で有効にする
Features
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされています。保存中の顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: 静止データに対する Azure Storage の暗号化
DP-5: 必要に応じて保存データの暗号化でカスタマー マネージド キー オプションを使用する
Features
CMK を使用した静止データの暗号化
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって格納される顧客コンテンツでサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 Azure Storage のカスタマー マネージド キーを使用して、スコープ内データの保存データ暗号化を有効にして実装する
リファレンス: Azure Storage 暗号化のカスタマー マネージド キー
DP-6: セキュリティで保護されたキー管理プロセスを使用する
Features
Azure Key Vault でのキー管理
説明: このサービスは、顧客キー、シークレット、または証明書に対する Azure Key Vault 統合をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azure Key Vault を使用して、キーの生成、配布、ストレージなど、暗号化キーのライフ サイクルを作成および制御します。 定義されたスケジュールに基づいて、またはキーの廃止や侵害が発生した場合に、Azure Key Vault とサービスのキーをローテーションして無効化します。 ワークロード、サービス、またはアプリケーション レベルでカスタマー マネージド キー (CMK) を使用する必要がある場合は、キー管理のベスト プラクティスに従ってください。キー階層を使用して、キー コンテナー内のキー暗号化キー (KEK) を使用して個別のデータ暗号化キー (DEK) を生成します。 キーが Azure Key Vault に登録され、サービスまたはアプリケーションからキー ID を介して参照されていることを確認します。 独自のキー (BYOK) をサービスに取り込む必要がある場合 (オンプレミスの HSM から Azure Key Vault に HSM で保護されたキーをインポートする場合など)、推奨されるガイドラインに従って初期キーの生成とキー転送を実行します。
リファレンス: Key Vault と Azure CLI を使用してストレージ アカウント キーを管理する
資産管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みサービスのみを使用する
Features
Azure Policy のサポート
説明: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azure Policy を使用して、Azure ストレージ アカウントに関連付けられているネットワーク リソースの標準的なセキュリティ構成を定義して実装します。 "Microsoft.Storage" 名前空間と "Microsoft.Network" 名前空間の Azure Policy エイリアスを使用して、ストレージ アカウント リソースのネットワーク構成を監査または適用するカスタム ポリシーを作成します。
ストレージ アカウントに関連する組み込みのポリシー定義を使用することもできます。ストレージ アカウントでは仮想ネットワーク サービス エンドポイントを使用する必要があります
リファレンス: Azure Storage の Azure Policy 組み込み定義
ログ記録と脅威の検出
詳細については、 Microsoft クラウド セキュリティ ベンチマーク「ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
Features
Microsoft Defender サービス/製品提供
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Microsoft Defender for Storage を使用して、ストレージ アカウントにアクセスしたり、ストレージ アカウントを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を検出するセキュリティ インテリジェンスの追加レイヤーを提供します。 高度な脅威検出機能と Microsoft Threat Intelligence データを使用して、コンテキストに応じたセキュリティ アラートを提供します。 これらのアラートには、検出された脅威を軽減し、将来の攻撃を防ぐための手順も含まれます。
リファレンス: Microsoft Defender for Storage の概要
LT-4: セキュリティ調査のためにログ記録を有効にする
Features
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azure Monitor を介してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されたセキュリティ データを集計します。 Azure Monitor 内では、Log Analytics ワークスペースを使用してクエリを実行し、分析を実行し、必要に応じて不変ストレージや強制保持保持などのセキュリティ機能を使用して、長期/アーカイブ ストレージに Azure ストレージ アカウントを使用します。
リファレンス: Azure Blob Storage の監視
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。
BR-1: 定期的な自動バックアップを確保する
Features
Azure Backup
説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: Azure Backup は現在、Azure Blob Storage でのみサポートされています。 キューとテーブルのデータは、AzCopy コマンド ライン ツールを使用してバックアップできます。
構成ガイダンス: Azure Backup を有効にし、必要な頻度で必要なリテンション期間でバックアップ ソースを構成します。 Azure Backup を使用すると、ストレージ アカウント内のブロック BLOB を保護するための運用バックアップを簡単に構成できます。 BLOB のバックアップは、ストレージ アカウント レベルで構成されます。 そのため、ストレージ アカウント内のすべての BLOB は、運用バックアップで保護されます。
バックアップ センターを使用して、複数のストレージ アカウントのバックアップを構成できます。 ストレージ アカウントのデータ保護プロパティを使用して、ストレージ アカウントのバックアップを構成することもできます。
リファレンス: Azure BLOB の運用バックアップの概要
サービス ネイティブ バックアップ機能
説明: サービスは、独自のネイティブ バックアップ機能をサポートします (Azure Backup を使用していない場合)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
追加のガイダンス: BLOB の運用バックアップは、ローカル バックアップ ソリューションです。 そのため、バックアップ データは Backup コンテナーに転送されず、ソース ストレージ アカウント自体に格納されます。 ただし、Backup コンテナーは引き続きバックアップを管理する単位として機能します。 また、これは継続的バックアップ ソリューションです。つまり、バックアップをスケジュールする必要がなく、すべての変更が選択した時点で状態から保持および復元可能になります。
リファレンス: Azure BLOB の運用バックアップの概要