オンプレミスや単一のパブリッククラウドの利用以外にもハイブリッドクラウドやマルチクラウド環境の利用が増加しています。この状況に伴い、各環境に対するセキュリティ対策もより求められています。
そこで、セキュリティ脅威に対するCNAPPであるMicrosoft Defender for Cloud(以下、Defender for Cloud)の概要と、その機能の一部であるCSPMとCWPについて説明します。
Defender for Cloudとは
Defender for Cloud とはクラウド環境上のサービスを脅威や脆弱性から保護するためのセキュリティ対策とベストプラクティスを提供し、セキュリティの一元管理(マルチクラウド/オンプレミス)を可能とするクラウドネイティブ アプリケーション保護プラットフォーム (CNAPP)です。
また、Defender for Cloudは、Azureのみに限らず、AWSやGCP、オンプレミスの保護も可能なサービスです。
※ Azure以外の環境を保護対象とする場合は、Azure Arcを構成する必要があります。
Defender for Cloudには主にCSPM(クラウドセキュリティ態勢管理)とCWP(クラウドワークロード保護)の2つの機能があり、本記事ではそれらについて説明します。
CSPMとは
CSPMの概要
CSPM(クラウドセキュリティ態勢管理)は、クラウド上の構成を適切に行うために、セキュリティベストプラクティス(CIS、PCI、NISTなど)に従いクラウド環境全体の構成を評価し、セキュリティ推奨事項などを提供します。
セキュリティ推奨事項にて提供される情報には、クラウド環境の適切な構成に準拠させるための具体的なアクションや、推奨事項に準拠していないリソースなどがあります。
CSPMを構成することで、クラウド環境全体を評価し、構成ミスを検出することが可能となります。
CSPMプラン
CSPMプランには、「基本的なCSPM」と「Defender CSPM」の2つのプランがあります。
「基本的なCSPMプラン」では、セキュリティに関する推奨事項やMicrosoft クラウド セキュリティ ベンチマークなどが既定で利用可能となっています。「基本的なCSPMプラン」は既定で有効となっており、無料で利用が可能となっています。
「Defender CSPMプラン」では、「基本的なCSPMプラン」の機能に加えて、エージェントレススキャンや攻撃パス分析などの機能も追加で利用可能となります。
「Defender CSPM」プランの課金は、Defender for Cloudを有効化しているサブスクリプション内のすべての対象リソースが課金対象となり、対象1リソースにつき 5 ドル/月 が課金されます。
「Defender CSPMプラン」の課金対象リソースと各CSPMプランの機能の詳細については、下記公開情報をご参照ください。
CWPとは
CWPの概要
CWP(クラウドワークロード保護)は、クラウド上で実行されるサービスである各ワークロードのプランを有効化することで、ワークロード固有の推奨事項が提供されます。
また、CWPプランの有効化により各ワークロードで脅威を検出し、調査し、対応することが可能となります。
CWPプラン
各ワークロードのCWPプランを有効にすることで、ワークロード固有の脅威や脆弱性の検出と対応が実行可能になります。
例えば、以下のDefender for Cloud設定画面にて[Defender for Cloud]>[Defender プラン]>[クラウド ワークロード保護]>[サーバー]の状態を[オン]にすることで、Defender for Serversが有効となり、サーバにおけるセキュリティ推奨事項に加えてマルウェア対策や脆弱性管理などの機能が利用可能となります。
CSPMとCWPの利用イメージ
ここまでのCSPMとCWPの利用イメージについてまとめます。
- CSPM:クラウド環境全体の構成ミスの検知などのために利用します。
- CWP:各ワークロードの脅威や脆弱性の検出と対応などに利用します。
おわりに
Defender for CloudのCSPMプランとCWPプランを組み合わせることで、システム環境におけるセキュリティ保護の一貫性と一元管理の実現が可能となります。
また、Defender for Cloudの利用を始める際には、CSPMプランとCWPプランについては必ずと言っていいほど確認する項目になると思いますので、その際には本記事が参考になれば幸いです。
コメント