IoT ワークロードのセキュリティ要件を指定する
このユニットでは、IoT ワークロードの新しい要件仕様を作成するのに役立つ IoT Hub の Azure セキュリティ ベースラインについて概説します。
Microsoft Cloud セキュリティ ベンチマークの詳細な背景については、「Microsoft サイバーセキュリティ リファレンス アーキテクチャとクラウド セキュリティ ベンチマークの概要」を参照してください。
以下に示す表には、次の場合の完全なベースラインからの制御が含まれています。
- セキュリティ制御は "サポートされていた" が、既定で有効になって "いなかった"
- 顧客側で実行するアクションを含む明示的なガイダンスがあった
| 領域 | コントロール | 特徴量 | ガイダンスのまとめ |
|---|---|---|---|
| ネットワークのセキュリティ | NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する | Azure Private Link | Private Link 機能をサポートするすべての Azure リソース用にプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。 |
| NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する | パブリック ネットワーク アクセスの無効化 | サービス レベルの IP ACL フィルタリング規則またはパブリック ネットワーク アクセスの切り替えスイッチを使用して、パブリック ネットワーク アクセスを無効にします。 | |
| ID 管理 | IM-1: 一元的な ID および認証システムを使用する | データ プレーン アクセスのローカル認証方法 | データ プレーン アクセスのためのローカル認証方法の使用を制限します。 代わりに、データ プレーン アクセスを制御するための既定の認証方法として Microsoft Entra ID を使用します。 |
| IM-3: アプリケーション ID を安全かつ自動的に管理する | マネージド ID | 可能な限り、サービス プリンシパルではなく、Microsoft Entra 認証をサポートする Azure サービスやリソースを認証できる Azure マネージド ID を使います。 マネージド ID の資格情報は、プラットフォームによって完全に管理、ローテーション、保護されており、ソース コードまたは構成ファイル内でハードコーディングされた資格情報を使用せずに済みます。 | |
| サービス プリンシパル | この機能の構成に関する現在の Microsoft ガイダンスはありません。 組織でこのセキュリティ機能を構成するかどうかを確認して決定してください。 | ||
| IM-7: 条件に基づいてリソースへのアクセスを制限する | データ プレーンへの条件付きアクセス | ワークロードでMicrosoft Entra 条件付きアクセスに適用できる条件を定義します。 | |
| 特権アクセス | PA-7: 必要十分な管理 (最小限の特権) の原則に従う | データ プレーン用の Azure RBAC | Azure AD と RBAC を使用する場合、IoT Hub では、API を要求するプリンシパルに、承認のために適切なレベルのアクセス許可があることが求められます。 プリンシパルにアクセス許可を付与するには、ロールの割り当てを付与します。 |
| データ保護 | DP-6: セキュア キー管理プロセスの使用 | Azure Key Vault でのキー管理 | Azure Key Vault を使って暗号化キーのライフ サイクルを作成、制御します (キーの生成、配布、保管を含む)。 定義されたスケジュールに基づいて、またはキーの廃棄や侵害があったときに、Azure Key Vault とサービス内のキーをローテーションおよび失効させます。 |
| アセット管理 | AM-2: 承認済みのサービスのみを使用する | Azure Policy のサポート | Microsoft Defender for Cloud を使用して、Azure リソースの構成の監査と適用を行うように Azure Policy を構成します。 |
| ログと脅威検出 | LT-4: セキュリティ調査のためのログを有効にする | Azure リソース ログ | サービスのリソース ログを有効にします。 |