2020年の9月にAzureのセキュリティ機能として新たにAzure Defenderというサービスが開始しました。
正式には既存のセキュリティ強化サービス「Security Center」と新機能「Azure Defender」を統合させ、名称が「Azure Defender」となったわけですが、今回にアップデートにより追加された点を紐解いていきたいと思います。
Azure Defenderとは
Azure Defenderについて、Azure Portal上では以下のように記載されております。
- Azure独自のセキュリティスコアを使用してセキュリティ推奨事項を確認することができます。
- 構成と脆弱性の管理、ワークロードの強化、サーバーの EDRをWindows、Linux、オンプレミスのサーバーを保護します。
- App Service プラン、ストレージ アカウント、SQL Server などの PaaS ワークロードで脅威を防止し、通常と異なるアクティビティを検出します
また、Microsoft公式ドキュメントとしては以下のように記載されています。
https://docs.microsoft.com/ja-jp/azure/security-center/azure-defender
「Security Center の統合クラウド ワークロード保護プラットフォーム (CWPP) である Azure Defender は、Azure とハイブリッド リソースおよびワークロードの高度でインテリジェントな保護を実現します。」
上記を紐解いていくと、これまでのSecurity Centerにも上記の機能は備わっていましたが、価格ごとのレベルを設けたのが今回の更新点になるかと思います。
Azure Defender有効化方法
Azure Defenderの有効化は簡単です。既存のSecurity CenterからアップデートおよびAzure Defenderエージェントを対象のサブスクリプションにインストールすることでAzure Defenderが有効化されます。
1.Azure Portalからセキュリティセンターを選択します。
2.「はじめに」を選択し「Azure Defenderを有効にするワークスペース」から有効化したいワークスペースを選択し、「アップグレード」を押下します。
Azure Defenderの各機能について
Azure Defenderの機能として、主に以下がAzure Defenderの機能として存在しております。
・Azure Defender for servers
・Azure Defender for App Service
・Azure Defender for Storage
・Azure Defender for SQL
・Azure Defender for Key Vault
・Azure Defender for Kubernetes
・Azure Defender for container registries
こちらについても既存Security Centerの既存機能とあまり変更はされておらず、管理管轄がAzure Defenderに移管されたのみとなります。
Azure Defenderのリソース保護状況の確認
Azure Defenderで実際に保護しているリソースをどのように確認していくのかを以下に記載します。
1.1.Azure Portalからセキュリティセンターを選択します。
2.「はじめに」を選択し「Azure Defenderを有効にするワークスペース」から有効化したいワークスペースを選択し、「アップグレード」を押下します。
3.こちらでAzure Defenderのリソース保護状況は確認できますが、ここで実際にリソースを新規デプロイした際にどのようにステータスが変化するのかを検証していきます。今回はAKS(Azure Kubernetes Service)クラスタのデプロイとノードプール(1VM単位)を2つデプロイしました。結果、Azure Defenderでリソース保護されていることが確認できます。
感想
基本的にSecurity Centerで一括管理していた内容と大幅な変化はないものの、UIの部分で形態が大きく変更されており、事前に更新内容を把握しておく必要があると実感しました。またAzureのセキュリティ機能は月次でアップデートされているため、今後も変化があった際は都度検証しまとめていくのがベストと思います。