オンプレ、クラウドの管理が
行き届かないサーバーを統合管理する
Microsoft Defender for Cloudとは？

 

本ブログは、Microsoft Top Partner Engineer Award 2023の21日目のブログです。
▶ Microsoft Top Partner Engineer’s Advent Calendar 2023 – ZDNET Japan

こんにちは、日商エレクトロニクス髙橋です。

この度、「Azure」、「Security」、「Business Application」の3カテゴリで受賞させていただきました！
日商エレ、マイクロソフト ジャパン トップ パートナー エンジニア アワード 2023「Azure」「Business Applications」「Security」を受賞| NEWS | 日商エレクトロニクス (nissho-ele.co.jp)

そこで本日は、最近よくご相談をいただくセキュリティサービス、「Defender for Cloud」について解説しようと思います。

 

---

---

マルチクラウド環境でのセキュリティ管理の課題

ハイブリッド、マルチクラウドの現在、オンプレとクラウドに点在するサーバーの管理が大変とお困りのIT管理者の方が多いと思います。

• オンプレミスやマルチクラウドに点在するサーバー管理が大変
• インフラ全体のセキュリティ強化が急務
• ストレージやデータベースといった重要なリソースのセキュリティが心配

こういった課題があることで、様々なセキュリティリスクが増加します。

例えば、パッチの未適用や脆弱性を放置してしまう、サーバーの設定不備が放置されコンプライアンスのリスクが増加するなどです。

またコスト面においても、オンプレとクラウドにサーバーが乱立し無駄なコストが発生したり、ガバナンスが効かないため管理体制が統合できず管理コストが増加したりと様々な問題が発生します。

こういったオンプレとクラウドのサーバーセキュリティを1つの画面で最新化できるソリューションがDefender for Cloud です。

 

Defender for Cloud でのマルチクラウド環境のセキュリティ管理

Defender for Cloud を利用することで、よくあるマルチクラウド時代のサーバーセキュリティ課題を解決することができます。

• 1 つの管理画面でオンプレミスとクラウドのサーバーセキュリティを最適化
• すべての環境の脆弱性や設定ミスを早期に発見し対処
• ストレージとデータベースを保護しデータの損失や漏洩を防止

ではDefender for Cloud でどのような機能が提供されているのか具体的に見てみましょう。

 

Defender for Cloud とは何か？

Defender for Cloudは、クラウド上でのセキュリティインシデントを防止するための機能を提供するサービスです。

CSPMとCWPPの2つの機能があります。

 

CSPM：クラウドの設定ミスを防止するための機能で、コンプライアンス評価、リスク特定、運用監視、ポリシー強制、DevSecOpsとの統合、脅威からの保護などが可能です。

CWPP：脅威に対する検査と対処ができる機能で、脆弱性スキャンによる脆弱性管理やファイル改ざん検知、アプリケーション制御、サーバーのハーデニングなどが可能です。

 

詳細の機能についてはこちらのブログをご覧ください。

Microsoft Defender for Cloudとは？ ～概要、メリット、コストを解説～ | Azure導入支援デスク (nissho-ele.co.jp)

 

 

Defender for Cloud でのマルチクラウド環境のセキュリティ管理の実装方法

今回は以下を対象にDefender for Cloud でセキュリティ管理を行ってみます。

監視対象

・Azure VM（Windows Server 2016）

・AWS EC2のLAMPサーバー（Amazon Linux 2023）

・Hyper-V上のWindows Server 2012R2

 

EC2環境の準備

LAMP サーバーの構築

事前にEC2環境上にLAMP Serverをデプロイしておきます。デプロイ方法はこちらを参照しました。

 

Defender for Cloud へ EC2環境追加

Defender for Cloud > 環境設定 > 環境を追加 から「アマゾン ウェブ サービス」を選択します。

 

コネクタ名は任意で設定し、AWSアカウントIDを入力します。

AWSアカウントIDはこちらから確認できます。

 

Defender for Cloud のプランを選択します。今回は、「CSPM」「CWPP」のすべての機能をオンにしてみます。

 

アクセス許可の種類は「既定のアクセス」、デプロイ方法を「AWS CloudFormation」を選択します。

その後、デプロイテンプレートをダウンロードし、「AWS CloudFormation スタック」をクリックします。

 

「テンプレートの準備完了」、「テンプレートファイルのアップロード」を選択します。

 

ファイルの選択で、Defender for Cloud の設定画面からダウンロードしたデプロイテンプレートをアップロードし、次へ進みます。

 

スタック名は任意でOKです。そのまま最後まで進みます。

 

Defender for Cloud も作成まで進めます。

 

GCPの準備

VMインスタンスの作成

GCP上にVMインスタンスを作成します。

Defender for Cloud へGCPプロジェクトの追加

GCPプロジェクト番号とGCPプロジェクトIDを入力します。

番号とIDはGCPのプロジェクト画面から確認できます。

 

 

CSPMとCWPPのすべての機能を有効にします。

 

既定のアクセスを選択します。GCP Cloud Shellを選択し、テンプレートのスクリプトをコピーします。その後Cloud ShellをクリックしてGCPのCloudShell上にスクリプトを貼り付けて、実行します。

Defender for Cloud の画面は作成まで進めます。

 

オンプレミスサーバーの準備

オンプレミスのWindows Server をAzure Arcで接続します。

今回は1台のサーバーを対象とするため、こちらを参考にオンボードスクリプトを生成し、サーバー上で実行します。

 

オンボードが正常に完了すると、Azure Arc 上に表示されます。

 

Defender for Cloud でのマルチクラウド環境のセキュリティ管理のメリット

オンプレミス、Azure、AWS、GCPなど複数のプラットフォームに渡り点在するサーバーを統合してセキュリティ管理が可能です。

 

セキュリティスコア

セキュリティとコンプライアンスに関するベストプラクティスに対する評価が表示されます。

対象は、ネットワーク、コンピュータリソース、データベースなどクラウドの重要なリソースがすべてカバーされます。

 

推奨事項

標準で450以上の推奨事項が利用できる上に、要件に合わせたカスタム推奨事項も作成することができます。

 

マルチクラウドセキュリティベンチマーク

Azure、AWS、GCPの環境を横断的かつ継続的に評価を行い、単一のダッシュボードで管理できます。

業界標準や、規制コンプライアンス、各クラウド特有のベンチマークを利用可能です。（CIS, PCI-DSS, NISTなど）

 

ワークロード保護

Defender for Serversを利用して、未知の脅威対策（ふるまい検知やマルウェア対策）も可能です。

 

脆弱性管理

Azure、AWS、GCP上の脆弱性のあるサーバーの可視化が可能です。

 

また脆弱性の詳細や、重要度の確認ができます。

 

まとめ

いかがでしたでしょうか。ハイブリッド、マルチクラウドで課題となる点在するサーバーのセキュリティ管理が

一つの画面でできることがお分かりいただけたかと思います。

Defender for Cloud は他にも様々な機能を持つサービスのため本ブログですべては紹介できていませんが、他にも役立つ機能がありますので、さらに詳しく知りたい方は以下のドキュメントもご参照ください。

Microsoft Defender for Cloud のドキュメント – Microsoft Defender for Cloud | Microsoft Learn