forked from Azure/review-checklists
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathasb_security_checklist.ja.json
125 lines (125 loc) · 9.52 KB
/
asb_security_checklist.ja.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
{
"categories": [
{
"name": "安全"
}
],
"items": [
{
"category": "安全",
"description": "Azure サービス バス プレミアムでは、保存データの暗号化が提供されます。独自のキーを使用する場合、データは引き続き Microsoft マネージド キーを使用して暗号化されますが、さらに Microsoft マネージド キーはカスタマー マネージド キーを使用して暗号化されます。",
"guid": "87af4a79-1f89-439b-ba47-768e14c11567",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/configure-customer-managed-key",
"severity": "低い",
"subcategory": "データ保護",
"text": "必要に応じて、保存データの暗号化でカスタマー マネージド キー オプションを使用する",
"training": "https://learn.microsoft.com/learn/modules/plan-implement-administer-conditional-access/"
},
{
"category": "安全",
"description": "クライアント アプリケーションと Azure Service Bus 名前空間間の通信は、トランスポート層セキュリティ (TLS) を使用して暗号化されます。Azure サービス バス名前空間を使用すると、クライアントは TLS 1.0 以降を使用してデータを送受信できます。より厳格なセキュリティ対策を適用するには、クライアントが新しいバージョンの TLS を使用してデータを送受信することを要求するように Service Bus 名前空間を構成できます。",
"guid": "5c1ea55b-46a9-448f-b8ae-7d7e4b475b6c",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/transport-layer-security-enforce-minimum-version",
"severity": "中程度",
"subcategory": "データ保護",
"text": "要求に最低限必要なバージョンのトランスポート層セキュリティ (TLS) を適用する",
"training": "https://learn.microsoft.com/learn/modules/secure-aad-users-with-mfa/"
},
{
"category": "安全",
"description": "Service Bus 名前空間を作成すると、その名前空間に対して RootManageSharedAccessKey という名前の SAS 規則が自動的に作成されます。このポリシーには、名前空間全体に対する管理アクセス許可があります。このルールは管理ルートアカウントのように扱い、アプリケーションでは使用しないことをお勧めします。 RBAC で認証プロバイダーとして AAD を使用することをお勧めします。",
"guid": "8bcbf59b-ce65-4de8-a03f-97879468d66a",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-sas#shared-access-authorization-policies",
"severity": "中程度",
"subcategory": "ID およびアクセス管理",
"text": "不要な場合はrootアカウントを使用しないでください",
"training": "https://learn.microsoft.com/learn/paths/azure-administrator-manage-identities-governance/"
},
{
"category": "安全",
"description": "Azure App Service アプリケーション内、または Azure リソースのサポートが有効になっているマネージド エンティティを持つ仮想マシンで実行されている Service Bus クライアント アプリは、SAS の規則とキー、またはその他のアクセス トークンを処理する必要はありません。クライアント アプリに必要なのは、Service Bus メッセージング名前空間のエンドポイント アドレスのみです。",
"guid": "786d60f9-6c96-4ad8-a55d-04c2b39c986b",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-managed-service-identity",
"severity": "中程度",
"subcategory": "ID およびアクセス管理",
"text": "可能であれば、アプリケーションはマネージド ID を使用して Azure Service Bus に対する認証を行う必要があります。そうでない場合は、ストレージ資格情報 (SAS、サービス プリンシパル資格情報) を Azure Key Vault または同等のサービスに配置することを検討してください。",
"training": "https://learn.microsoft.com/learn/modules/azure-ad-privileged-identity-management/"
},
{
"category": "安全",
"description": "アクセス許可を作成するときは、Azure Service Bus へのクライアントのアクセスをきめ細かく制御します。 Azure Service Bus のアクセス許可は、個々のリソース レベル (キュー、トピック、サブスクリプションなど) にスコープを設定でき、またそうする必要があります。",
"guid": "f615658d-e558-4f93-9249-b831112dbd7e",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/authenticate-application#azure-built-in-roles-for-azure-service-bus",
"severity": "高い",
"subcategory": "ID およびアクセス管理",
"text": "最小特権データ プレーン RBAC を使用する",
"training": "https://learn.microsoft.com/learn/modules/explore-basic-services-identity-types/"
},
{
"category": "安全",
"description": "Azure サービス バス リソース ログには、操作ログ、仮想ネットワーク、IP フィルタリング ログが含まれます。ランタイム監査ログは、Service Bus でのさまざまなデータ プレーン アクセス操作 (メッセージの送信や受信など) に関する集計された診断情報をキャプチャします。",
"guid": "af12e7f9-43f6-4304-922d-929c2b1cd622",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/monitor-service-bus-reference",
"severity": "中程度",
"subcategory": "モニタリング",
"text": "セキュリティ調査のログ記録を有効にします。Azure Monitor を使用してリソース ログとランタイム監査ログをトレースする (現在は Premium レベルでのみ使用可能)",
"training": "https://learn.microsoft.com/learn/paths/manage-identity-and-access/"
},
{
"category": "安全",
"description": "Azure サービス バスには既定でパブリック IP アドレスがあり、インターネットでアクセスできます。プライベート エンドポイントでは、仮想ネットワークと Azure Service Bus 間のトラフィックが Microsoft バックボーン ネットワーク経由で通過できます。それに加えて、パブリックエンドポイントが使用されていない場合は無効にする必要があります。",
"guid": "9ae669ca-48e4-4a85-b222-3ece8bb12307",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/private-link-service",
"severity": "中程度",
"subcategory": "ネットワーキング",
"text": "プライベート エンドポイントを使用して Azure Service Bus にアクセスし、該当する場合はパブリック ネットワーク アクセスを無効にすることを検討してください。",
"training": "https://learn.microsoft.com/learn/modules/azure-ad-privileged-identity-management/"
},
{
"category": "安全",
"description": "IP ファイアウォールを使用すると、パブリック エンドポイントを CIDR (クラスレス ドメイン間ルーティング) 表記の IPv4 アドレスまたは IPv4 アドレス範囲のセットのみに制限できます。",
"guid": "ca5f06f1-58e3-4ea3-a92c-2de7e2165c3a",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-ip-filtering",
"severity": "中程度",
"subcategory": "ネットワーキング",
"text": "特定の IP アドレスまたは範囲からの Azure Service Bus 名前空間へのアクセスのみを許可することを検討してください",
"training": "https://learn.microsoft.com/learn/paths/implement-resource-mgmt-security/"
}
],
"metadata": {
"name": "Azure Service Bus Review"
},
"severities": [
{
"name": "高い"
},
{
"name": "中程度"
},
{
"name": "低い"
}
],
"status": [
{
"description": "このチェックはまだ確認されていません",
"name": "未確認"
},
{
"description": "このチェックに関連付けられているアクションアイテムがあります",
"name": "開ける"
},
{
"description": "このチェックは検証済みであり、それ以上のアクションアイテムは関連付けられていません",
"name": "達成"
},
{
"description": "推奨事項は理解されていますが、現在の要件では必要ありません",
"name": "必須ではありません"
},
{
"description": "現在のデザインには適用できません",
"name": "該当なし"
}
]
}