目次
- 概要
- MCS PaaS 2.0で利用可能なAzure Defender for Cloudの機能
- Azureサービス
- 保護されるリソース
- Azure Defender for Cloudの実装プロセス
- Azure Defender for CloudのRACI
- PaaS 2.0向けの大まかなAzure Defender for Cloudの実装手順
- PaaS 2.0 Azure Defender for Cloud実装のRACI:初期設定
- PaaS 2.0 Azure Defender for Cloud実装のRACI:運用継続中
- Azure Defenderワークロード保護を使用したPaaS 2.0リファレンス アーキテクチャ
- シナリオ 1: ディザスター リカバリーなしでDefenderを有効化する
- シナリオ 2: ディザスター リカバリー込みでDefenderを有効化する
- ディザスター リカバリー ステータス = Protected
- ディザスター リカバリー ステータス = Failed Over
- ディザスター リカバリー ステータス = Failed Back / Re-protected
- Microsoftのドキュメント
- Azure Defender for Cloud:考慮事項とよくあるご質問
概要
この記事では、Managed Cloud PaaS 2.0デプロイでAzure Defender for Cloudを実装するためのサポートをリクエストするときに利用できるサービスとサポートの範囲について説明します。
Microsoft Defender for Cloudは、クラウドベースのアプリケーションをさまざまなサイバー脅威や脆弱性から保護するように設計されたセキュリティ対策とプラクティスで構成されるクラウドネイティブ アプリケーション保護プラットフォーム(CNAPP)です。
Microsoft Defender for Cloudは、リソースのセキュリティの可視性と制御を強化することで、脅威の防止、検出、対応を支援します。サブスクリプション全体で統合されたセキュリティ監視とポリシー管理を提供し、見逃されるおそれのある脅威の検出を支援し、セキュリティ ソリューションの広範なエコシステムと連携します。
Defender for Cloudは、次の機能を兼ね備えています。
- セキュリティ違反を防止するために取れるアクションを明らかにするクラウド セキュリティ態勢管理(CSPM)ソリューション。
- サーバー、コンテナ、ストレージ、データベース、その他のワークロードに特化した保護機能を備えたクラウド ワークロード保護プラットフォーム (CWPP)。
- Azure ポリシー*
* Azure Defender for CloudのAzureポリシーは、MCS PaaS 2.0上のAzure Defender for Cloudに含まれず、構成・有効化されることもありません。
MCS PaaS 2.0で利用可能なAzure Defender for Cloudの機能
Sitecore Managed Cloud Standard - PaaS 2.0には、クラウドCPSMとワークロード保護のためにAzure Defenderをプロビジョニングするオプションがあります。
Azure Defender for Cloudをデプロイする際の機能とサービスの包括的な概要については、Microsoft Azure Defender for Cloudの公式ドキュメントを参照してください。
Azureサービス
Sitecoreは、プライマリ ハブ環境のプロビジョニング時に、Azure Defender for Cloudの実装に必要なAzureサービスをデプロイします。 ハブ環境が既にデプロイされている場合は、Sitecore Managed Cloudカスタマー サービス ポータル(CSM)経由でAzure Defender for Cloudをリクエストできます。
非本番環境にAzure Defender for Cloudを適用することを検討しているお客様は、Sitecore Managed Cloudカスタマー サービス ポータル(CSM)経由でこれを追加でリクエストすることもできます。
ハブ環境に含まれるAzureサービスの詳細については、次の記事を参照してください:
Sitecore Managed Cloud Standard - Sitecore XP 10.3.1以上のバージョン用トポロジーと価格レベルについて(PaaS 2.0)
保護されるリソース
すべてのAzureリソースがDefenderワークロード保護の対象となるわけではないことにご注意ください。デプロイ時に、Sitecoreは次のリソース タイプでDefender for Cloudのワークロード保護を有効にします:
- サーバのDefender for Servers(サブプラン2)**
- ストレージのDefender **
- Azure SQLデータベースのDefender *
- App ServiceのDefender *
- Key VaultのDefender **
* PaaS 2.0 スポーク環境内にデプロイされたリソース
** PaaS 2.0 ハブ環境内にデプロイされたリソース
Azure Defender for Cloudの実装プロセス
- Sitecoreアドバンスド ハブ環境の展開 *
- Azure Defenderのワークロード保護が、本番スポークおよびプライマリ ハブ内の保護されたリソースに追加されます。
詳細については、上記の「保護されるリソース」セクションを参照してください。
Azure Defender for CloudのRACI
本ページの以降の図表では、次の記号を使用して各関係者の責任範囲を記載いたします。
- R = 実行責任者(Responsible): タスクを直接実施・完了する責任者です。
- A = 説明責任者(Accountable): 成果物またはタスクの正確かつ完全な完了に対する最終的な責任を負い、作業を実行責任者に委任している責任者です。
- C = 協業先(Consulted): その他の責任者等から相談を受ける有識者(すなわち、内容領域専門家)であり、双方向のコミュニケーションを行う担当者です。
- I = 報告先(Informed): 随時タスクの進捗について(もしくはタスクの完了または成果物についてのみ)報告を受ける担当者です。
PaaS 2.0向けの大まかなAzure Defender for Cloudの実装手順
| RACIの説明 | 顧客・パートナー | Sitecore |
|
お客様からベーシックまたはアドバンスド ハブのご依頼
|
R, A | C, I |
| Sitecore Managed Cloudオペレーション チームが Azure Defenderワークロード保護をデプロイする | C, I | R, A |
| お客様のLog Analyticsワークスペース内でAzure Defenderのログを有効化する | C, I | R, A |
| Cloud Defenderログおよび推奨事項の継続的なモニタリング | R, A | C, I |
* すべての仮想ネットワークは、Sitecore環境の最初のプロビジョニング プロセス(スポーク)中にSitecoreによって作成されます。
PaaS 2.0 Azure Defender for Cloud実装のRACI:初期設定
| 本番スポークの実装アクション | 顧客・パートナー | Sitecore |
| App Servicesに対してAzure Defender for Cloudのワークロード保護を有効化する | C, I | R, A |
| SQL Serverに対してAzure Defender for Cloudのワークロード保護を有効化する | C, I | R, A |
| ストレージ アカウントに対してAzure Defender for Cloudのワークロード保護を有効化する | C, I | R, A |
| プライマリ ハブの実装アクション | 顧客・パートナー | Sitecore |
| 仮想マシンに対してAzure Defender for Cloudのワークロード保護を有効化する | C, I | R, A |
| Key Vaultに対してAzure Defender for Cloudのワークロード保護を有効化する | C, I | R, A |
| ストレージ アカウントに対してAzure Defender for Cloudのワークロード保護を有効化する | C, I | R, A |
PaaS 2.0 Azure Defender for Cloud実装のRACI:運用継続中
| Sitecoreハブ環境 - プロビジョニング | 顧客・パートナー | Sitecore |
| Azure Defender for Cloudログと推奨事項のレビュー | R, A | C, I |
| お客様定義のSIEMへのAzure Defender for Cloudログの取り込み | R, A | C, I |
Azure Defenderワークロード保護を使用したPaaS 2.0リファレンス アーキテクチャ
シナリオ 1: ディザスター リカバリーなしでDefenderを有効化する
以下の図は、Azure Defenderが有効になっている典型的なSitecore Managed Cloud: PaaS 2.0 デプロイを示しています。ここにはディザスター リカバリー サービスは含まれていません。
本番スポーク内で保護されるリソースは次のとおりです。
- Azure App Services
- Azure SQL Server
- Azureストレージ アカウント
プライマリ ハブ内で保護されるリソースは次のとおりです。
- Azure VM
- Azure Key Vault
- Azureストレージ アカウント
アドバンスド ハブを選択したお客様は、本番スポークとプライマリ ハブに対するAzure Defenderワークロード保護の恩恵を自動的に受けることができます。
ベーシック ハブを選択したお客様でも、Azure Defenderワークロード保護の恩恵を受けることができますが、これには追加のアドオンの購入が必要であり、Sitecore Managed Cloudチケット発行システムを使用してリクエストする必要があります。
シナリオ 2: ディザスター リカバリー込みでDefenderを有効化する
以下の図は、ディザスター リカバリー サービス込みでAzure Defenderが有効化されている典型的なSitecore Managed Cloud: PaaS 2.0デプロイを示しています。
本番スポーク内で保護されるリソースは次のとおりです。
- Azure App Services
- Azure SQL Server
- Azureストレージ アカウント
プライマリ ハブとセカンダリ ハブ内で保護されるリソースは次のとおりです。
- Azure VM
- Azure Key Vault
- Azureストレージ アカウント
アドバンスド ハブを選択したお客様は、本番スポークとプライマリ ハブとセカンダリ ハブに対するAzure Defenderワークロード保護の恩恵を自動的に受けることができます。
ベーシック ハブを選択したお客様でも、Azure Defenderワークロード保護の恩恵を受けることができますが、これには追加のアドオンの購入が必要であり、Sitecore Managed Cloudチケット発行システムを使用してリクエストする必要があります。
ディザスター リカバリー ステータス = Protected
Azure Defender for Cloudのワークロード保護は、DRスポークには意図的に適用されません。ディザスター リカバリーが呼び出された場合にAzure Defender for Cloudのワークロード保護がどのように適用されるかの詳細につきましては、以下のセクションを参照してください。
ディザスター リカバリー ステータス = Failed Over
DRがフェイルオーバーされると、Azure Defender for Cloudのワークロード保護がDRスポーク リソースに追加されます。本番リソースおいてリソースが適切な保護を確実に受けられるようにするため、DRフェイルオーバーのプロセスは本番スポークまたはプライマリ ハブからのワークロード保護の削除を試みません。
ディザスター リカバリー ステータス = Failed Back / Re-protected
DRスポークがフェイルバックされて再保護されると、Azure Defender for Cloudのワークロード保護はDRスポーク リソースから削除されます。
Microsoftのドキュメント
Microsoft Azure Defender for Cloudを実装するにあたって最も信頼のおけるガイドといたしましては、Microsoftが提供する以下のドキュメントを参照してください。
- Defender for Servers
- Defender for Storage
- Defender for Azure SQL Databases
- Defender for App Service
- Defender for Key Vault
Azure Defender for Cloud:考慮事項とよくあるご質問
Azure Defender for Cloud はManaged Cloudを購入したすべての顧客に提供されますか?
いいえ。Defender for Cloudは、PaaS 2.0のお客様のみを対象としたアドオン サービスとして利用できます。PaaS 2.0アドバンスド ハブを選択したお客様は、本番スポークとプライマリ ハブ リソースに対するワークロード保護の恩恵を受けることができます。
Paas 2.0アドバンスド ハブを選択する場合、Managed CloudにはどのAzure Defender for Cloudワークロード保護サービスが提供されますか?
Sitecore Managed Cloud Standard - PaaS 2.0には、Azure Defender for Cloudの有効化が含まれています。リクエストに応じて、次のリソースがワークロード保護の恩恵を受けることができます。
- Defender for Servers **
- Defender for Storage **
- Defender for Azure SQL Databases *
- Defender for App Service *
- Defender for Key Vault **
* PaaS 2.0スポーク環境内にデプロイされたリソース
** PaaS 2.0ハブ環境内にデプロイされたリソース
上記のサービスは、Defender for Cloudデプロイ パイプラインの実行後に自動的に保護されます。
Azure DefenderはDR環境および非本番環境で利用できますか?
はい、利用できます。お客様は、PaaS 2.0の非本番環境およびDR環境へのAzure Defenderワークロード保護のデプロイを依頼していただけます。設計上、アドバンスド ハブを購入する場合、ワークロード保護は本番スポークとプライマリ ハブのみが対象となることに注意してください。
DRフェイルオーバーが発生した場合はどうなりますか? Defenderはフェイルオーバーの一部として有効化されますか?
DRフェイルオーバー(プライマリからセカンダリへ) 中、Sitecoreはプライマリ リージョンにDefenderのワークロード保護が設定されているかどうかを確認します。プライマリ リージョンにAzure Defenderワークロード保護が設定されている場合、フェイルオーバー プロセスの一環として、Sitecoreは関連付けられたDR SKUsに同等レベルの保護を追加します。
Azure Defender for Cloudがプライマリ リージョンでカスタマイズされている場合、DRフェイルオーバー後にサービスが有効になったときに、これらのカスタマイズはDRリージョンにレプリケートされますか?
Sitecore は、既定で保護されるサービスを制御するトップレベルの Azure Defender for Cloud プロパティのみを保持します。それ以上の構成やログのカスタマイズはDRサイトにはレプリケートされません。お客様は、DRフェイルオーバーの場合にこれらの設定を再適用できるように、Azure Defenderへのデプロイ後の構成が十分に文書化されていることを確認していただく必要があります。
SitecoreはDefender for Cloudの検出事項や推奨事項を積極的に分析していますか?
Sitecoreは、Defender for Cloudの検出事項や推奨事項の継続的な分析を提供していません。このサービスは、Microsoftが開発した標準の保護機能をお客様に提供することを目的としています。
このサービスは、既存のSIEMを置き換えることを目的としていますか?
いいえ。これを既に導入されている既存のSIEMツールの代替とは捉えないようにしてください。Azure Defender for Cloudによって提供されるログを既存のログ管理ツールとSIEMツールに拡張していただくことが推奨されます。