Microsoftセキュリティチーム、「Azure」で仮想マシンを保護するためのベストプラクティスを紹介：Azureセキュリティスコアの使用、管理ポートの扱いなど

Microsoftのセキュリティインシデントレスポンスチームは、「Microsoft Azure」で仮想マシンを含むワークロードを保護するためのベストプラクティスを紹介した。

[＠IT]

　Microsoftのセキュリティインシデントレスポンスチームは2020年10月7日（米国時間）、クラウドセキュリティに関するベストプラクティスを紹介した。

　Microsoftの検知／対応チーム（DART）とカスタマーサービスサポート（CSS）のセキュリティチームはユーザーのインシデントを調査する際、インターネットから攻撃を受けた仮想マシン（VM）を目にすることが多いのだという。

　クラウドセキュリティの責任共有モデルでは、クラウドプロバイダーとユーザーがどのレイヤーに責任を持つのか理解しておく必要がある。

クラウドの責任共有モデル（出典：Microsoft）

　今回のベストプラクティスでは、クラウドプロバイダーと顧客の責任共有モデルが適用される対象の1つとしてVMを取り上げ、「Microsoft Azure」でVMを含むワークロードを保護するための7つの手法を紹介した。

（1）Azure DefenderのAzureセキュリティスコアをガイドとして使用する

　「Azure Defender」（旧称：Azure Security Center）の「Azureセキュリティスコア」は、セキュリティ状態を数値化して示す。このスコアが100％であれば、ベストプラクティスに完全に従っていることになる。そうでない場合は、スコアとともに示される推奨事項の中で優先順位の高いものから取り組み、セキュリティ状態の改善を図る。以下のベストプラクティスの多くは、Azureセキュリティスコアに含まれている。

（2）VMの管理ポートをインターネットから分離し、必要な場合にのみ開く

　リモートデスクトッププロトコル（RDP）は、Windows管理者の間で一般的なリモートアクセスソリューションだ。だが、そのためにサイバー攻撃の格好の標的となっている。

　RDPのデフォルトポートを変更することにはあまり意味がない。なぜならサイバー攻撃ではポートの全範囲をスキャンすることが珍しくないからだ。

　インターネットからAzure VMへRDPアクセスを許可している場合は、ネットワークセキュリティグループの構成を確認する必要がある。RDPを公開しているルールがあり、送信元IPアドレスがワイルドカード（*）となっていた場合、そのVMは、すでにブルートフォース攻撃を受けている恐れがある。

　VMがブルートフォース攻撃を受けているかどうかを判断するのは比較的簡単だ。少なくとも2つの方法がある。

• 「Azure Defender for Servers」（旧称：Azure Security Center Standard Edition）がブルートフォース攻撃のアラートを出していないか
• Azure Defender for Serversを使っていない場合は、「イベントビューアー」を開き、WindowsセキュリティイベントログをイベントID 4625（アカウントがログオンに失敗）でフィルタリングする。こうしたイベントが数秒または数分間隔で連続して発生していた場合は、ブルートフォース攻撃を受けていることになる

　攻撃を受けやすいポートは他にもある。例えば、SSH（22）、FTP（21）、Telnet（23）、HTTP（80）、HTTPS（443）、SQL（1433）、LDAP（389）などだ。これらは公開されていることが多いポートの一部だ。ビジネス上の必要がない場合にもかかわらず、任意の送信元IPアドレスからの受信ネットワークトラフィックを許可していた場合、RDP同様、常に注意する必要がある。

　Azure VMへの受信アクセスを管理する方法は幾つかある。

• ジャストインタイム（JIT）VMアクセスを使用する（Microsoftの公開情報）
• ネットワークセキュリティグループ（NSG）を使用する（Microsoftの公開情報）
• 「Azure Firewall」を使用する（Microsoftの公開情報）

（3）複雑なパスワード／ユーザーアカウント名の組み合わせを使用する