forked from Azure/review-checklists
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathacr_security_checklist.ja.json
204 lines (204 loc) · 12.4 KB
/
acr_security_checklist.ja.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
{
"categories": [
{
"name": "安全"
}
],
"items": [
{
"category": "安全",
"description": "データの流出を防ぐために画像のエクスポートを無効にします。これにより、別の ACR インスタンスへのイメージのインポートが防止されることに注意してください。",
"guid": "ab91932c-9fc9-4d1b-a880-37f5e6bfcb9e",
"link": "https://learn.microsoft.com/azure/container-registry/data-loss-prevention",
"severity": "高い",
"subcategory": "データ保護",
"text": "Azure コンテナー レジストリ イメージのエクスポートを無効にする"
},
{
"category": "安全",
"description": "監査コンプライアンスの可視性を有効にするには、Azur eContainer レジストリの Azure Policy を有効にします。",
"guid": "d503547c-d447-4e82-9128-a7100f1cac6d",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-azure-policy",
"severity": "高い",
"subcategory": "データ保護",
"text": "Azure コンテナー レジストリの Azure ポリシーを有効にする"
},
{
"category": "安全",
"description": "Azure Key Vault (AKV) は、コンテナー イメージやその他の成果物に署名して検証するために、AKV プラグイン (azure-kv) という表記法で使用できる署名キーを格納するために使用されます。Azure コンテナー レジストリ (ACR) を使用すると、az または oras CLI コマンドを使用してこれらの署名をアタッチできます。",
"guid": "d345293c-7639-4637-a551-c5c04e401955",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-tutorial-sign-build-push",
"severity": "高い",
"subcategory": "データ保護",
"text": "表記法を使用したコンテナーの署名と検証 (公証人 v2)"
},
{
"category": "安全",
"description": "Azure コンテナー レジストリでは、格納するイメージやその他の成果物が自動的に暗号化されます。既定では、Azure はサービス マネージド キーを使用して保存時のレジストリ コンテンツを自動的に暗号化します。カスタマー マネージド キーを使用すると、既定の暗号化を追加の暗号化レイヤーで補完できます。",
"guid": "0bd05dc2-efd5-4d76-8d41-d2500cc47b49",
"link": "https://learn.microsoft.com/azure/container-registry/tutorial-customer-managed-keys",
"severity": "中程度",
"subcategory": "データ保護",
"text": "カスタマー マネージド キーを使用したレジストリの暗号化"
},
{
"category": "安全",
"description": "マネージド ID を使用して、クライアント アプリケーションからの ACRPull/プッシュ RBAC アクセスをセキュリティで保護する",
"guid": "8f42d78e-79dc-47b3-9bd2-a1a27e7a8e90",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication-managed-identity",
"severity": "高い",
"subcategory": "ID とアクセス制御",
"text": "サービス プリンシパルの代わりにマネージド ID を使用して接続する"
},
{
"category": "安全",
"description": "ローカル管理者アカウントは既定で無効になっているため、有効にしないでください。代わりにトークンまたは RBAC ベースのアクセス方法を使用する",
"guid": "be0e38ce-e297-411b-b363-caaab79b198d",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication-managed-identity",
"severity": "高い",
"subcategory": "ID とアクセス制御",
"text": "管理プレーンアクセスのローカル認証を無効にする"
},
{
"category": "安全",
"description": "管理者アカウントを無効にし、ACR プル/プッシュ操作のプリンシパルに RBAC ロールを割り当てる",
"guid": "387e5ced-126c-4d13-8af5-b20c6998a646",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-roles?tabs=azure-cli",
"severity": "高い",
"subcategory": "ID とアクセス制御",
"text": "ID プリンシパルに管理アクセス権を付与するのではなく、AcrPull & AcrPush RBAC ロールを割り当てる"
},
{
"category": "安全",
"description": "匿名プル/プッシュアクセスを無効にする",
"guid": "e338997e-41c7-47d7-acf6-a62a1194956d",
"link": "https://learn.microsoft.com/azure/container-registry/anonymous-pull-access#configure-anonymous-pull-access",
"severity": "中程度",
"subcategory": "ID とアクセス制御",
"text": "匿名プルアクセスを無効にする"
},
{
"category": "安全",
"description": "トークン認証では、AAD プリンシパルへの割り当てはサポートされていません。提供されたトークンは、トークンにアクセスできるすべてのユーザーが使用できます",
"guid": "698dc3a2-fd27-4b2e-8870-1a1252beedf6",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication?tabs=azure-cli",
"severity": "高い",
"subcategory": "ID とアクセス制御",
"text": "リポジトリスコープのアクセストークンを無効にする"
},
{
"category": "安全",
"description": "信頼されたネットワーク内のプライベート エンドポイントの背後にある ACR にコンテナー イメージをデプロイする",
"guid": "b3bec3d4-f343-47c1-936d-b55f27a71eee",
"severity": "高い",
"subcategory": "ID とアクセス制御",
"text": "信頼できる環境からイメージを展開する"
},
{
"category": "安全",
"description": "ACR 対象ユーザーを持つトークンのみを認証に使用できます。ACR の条件付きアクセス ポリシーを分析するときに使用",
"guid": "3a041fd3-2947-498b-8288-b3c6a56ceb54",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-enable-conditional-access-policy",
"severity": "中程度",
"subcategory": "ID とアクセス制御",
"text": "認証のために Azure ARM 対象ユーザー トークンを無効にする"
},
{
"category": "安全",
"description": "ログ記録と監視の中心的な宛先として Log Analytics に \"リポジトリ イベント\" と \"ログイン イベント\" を送信するように診断設定を設定します。これにより、ACR リソース自体のコントロール プレーン アクティビティを監視できます。",
"guid": "8a488cde-c486-42bc-9bd2-1be77f26e5e6",
"link": "https://learn.microsoft.com/azure/container-registry/monitor-service",
"severity": "中程度",
"subcategory": "ログ記録と監視",
"text": "診断ログを有効にする"
},
{
"category": "安全",
"description": "サービスでは、サービス レベルの IP ACL フィルター規則 (NSG または Azure Firewall ではない) を使用するか、[パブリック ネットワーク アクセスを無効にする] トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にすることができます。",
"guid": "21d41d25-00b7-407a-b9ea-b40fd3290798",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-private-link",
"severity": "中程度",
"subcategory": "ネットワークセキュリティ",
"text": "プライベート リンクを使用した受信ネットワーク アクセスの制御"
},
{
"category": "安全",
"description": "受信ネットワーク アクセスが Private Link を使用してセキュリティで保護されている場合は、パブリック ネットワーク アクセスを無効にする",
"guid": "cd289ced-6b17-4db8-8554-62f2aee4553a",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-access-selected-networks#disable-public-network-access",
"severity": "中程度",
"subcategory": "ネットワークセキュリティ",
"text": "パブリックネットワークアクセスを無効にする"
},
{
"category": "安全",
"description": "ACR プレミアム SKU のみがプライベート リンク アクセスをサポートします",
"guid": "fc833934-8b26-42d6-ac5f-512925498f6d",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-skus",
"severity": "中程度",
"subcategory": "ネットワークセキュリティ",
"text": "プライベート リンク (Premium SKU) をサポートする Azure コンテナー レジストリ SKU を使用する"
},
{
"category": "安全",
"description": "コンテナーまたは同等のサービス用の Azure Defender を使用して、コンテナー イメージの脆弱性をスキャンする必要があります",
"guid": "bad37dac-43bc-46ce-8d7a-a9b24604489a",
"link": "https://learn.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction",
"severity": "低い",
"subcategory": "ネットワークセキュリティ",
"text": "コンテナーの Defender が Azure コンテナー レジストリの脆弱性をスキャンできるようにする"
},
{
"category": "安全",
"description": "DevSecOps プラクティスに従って脆弱性が検証およびスキャンされた信頼できるコードをデプロイします。",
"guid": "4451e1a2-d345-4293-a763-9637a551c5c0",
"severity": "中程度",
"subcategory": "脆弱性管理",
"text": "検証済みのコンテナー イメージをデプロイする"
},
{
"category": "安全",
"description": "サポートされているプラットフォーム、プログラミング言語、プロトコル、およびフレームワークの最新バージョンを使用します。",
"guid": "4e401955-387e-45ce-b126-cd132af5b20c",
"severity": "高い",
"subcategory": "脆弱性管理",
"text": "最新のプラットフォーム、言語、プロトコル、フレームワークを使用する"
}
],
"metadata": {
"name": "Azure Container Registry Security Review"
},
"severities": [
{
"name": "高い"
},
{
"name": "中程度"
},
{
"name": "低い"
}
],
"status": [
{
"description": "このチェックはまだ確認されていません",
"name": "未確認"
},
{
"description": "このチェックに関連付けられているアクションアイテムがあります",
"name": "開ける"
},
{
"description": "このチェックは検証済みであり、それ以上のアクションアイテムは関連付けられていません",
"name": "達成"
},
{
"description": "現在のデザインには適用できません",
"name": "該当なし"
},
{
"description": "必須ではありません",
"name": "必須ではありません"
}
]
}