Windows Azureのためのセキュリティのベストプラクティス(その弐)

Windows Azureのためのセキュリティのベストプラクティス(その弐)前回の続きですが、記事を翻訳していきます。

仮想マシン

さまざまな脅威からWindows Azureの仮想マシンを保護するために、 ベストプラクティスを設定していきます。

1 )強固なパスワードになるように、パスワードを設定します。

2018.clip_image002_4C197077

3482.clip_image004_52604705

注:p@assword1、 password@1のようなパスワードは、ハッカーを推測することは非常に簡単です。ココのサイトで強固なパスワードの例を見つけることができます。

更新:セキュリティのためにWindows Azureのポータルでは他のサイトで使用している共通のパスワードを使用することはお勧めしません。

2 )仮想マシンを作成する際は、一般的ではないランダムな名前を選択します。

6648.image_735D143C

注: ここでは覚えやすい名前を選択していますが、ADMSQLVMのような簡単なユーザー名を使用しないでください。セキュリティのために、ポータルでは一般的な名前を使用しないでください。

3 )リモート接続のポート(3389)を変更してください。デフォルトのままだとハッカー等に簡単に接続されてしまいます。

8371.clip_image008_71A2EDD8

7128.clip_image010_1151C7A1

更新:現在では、ポータルはリモート接続のデフォルト(3389)を割り当てるのではなく、ランダムなポートを生成します。

4 )特定のIPからのみリモート接続が行えるようにする。(これを設定しない場合、それは潜在的には、VMへの接続を失うことになります)あなたが何らかの理由であなたのオンプレミス環境から接続を失う場合は、仮想ネットワークの一部として、新しいVMをスピンアップし、接続できるようにIP /サブネット範囲の仮想ネットワークを作成し、ここにホワイトリストにその範囲を追加仮想ネットワーク内でVMに接続します。

6116.clip_image012_232E5B6E

0358.clip_image014_297531FC

詳細については:Firewall Rule Properties Page: Scope Tab

5 )監査イベントを設定し、失敗したログオン試行を監視し、 IPアドレスをブロックする。

  1. 4625,4648のように失敗したログオンイベントの監査を設定し、アラートを設定したり、イベントログエントリからIPを抽出して、ファイアウォールルールを追加することによって、それをブロックするバッチファイルを実行するようにタスクをスケジュールする。
  2. 自動的にこれらのIPアドレスをブロックする利用可能な多くのサードパーティのツールがあるようです。私が出会った一つがRDPGuardです。http://rdpguard.com/

Security and Protection in Windows Server 2008 , R2

Security and Protection in Windows Server 2012

6 )パスワードを頻繁に変更し、すべての仮想マシンに同じパスワードを使用しないでください。

7 )パスワードポリシーは、認証に対する辞書や総当たり攻撃に対する脆弱性を軽減するために設立されています。パスワードポリシーを設定し管理をしてください。

  1. 強力なパスワードが必要です。強力なパスワードポリシーは、パスワードの最小長を包含し、英数字と特殊文字を使用する必要があります。
  2. パスフレーズを使用する場合の要件を適用します。パスフレーズは、あまりにも文字の数、潜在的な特殊文字の最小要件を持っている必要があります。
  3. 数字と特殊大文字の組み合わせ、小文字、(例えば句読点など)文字で長いパスワードを要求することにより、パスワードの複雑さの要件を適用します。これは、辞書攻撃による脅威を軽減するのに役立ちます。
  4. パスワードの有効期間を適用します。
  5. エンドユーザーアカウントのアカウントロックアウトポリシーを使用します。
  6. 管理アカウントの無効化をサポートしています。
  7. パスワードの履歴を維持するが、前述のように実際のパスワードを保存しない。
  8. パスワードを配布するために電子メールを使用して、またはパスワードのリセット手続きの一環として、注意してください。代わりに電子メールでユーザーの資格情報を渡すのは、ユーザーがUIで自分自身を(例えば秘密など)を識別し、パスワードをリセットするための代替手段を使用することができます別のアプローチを考えてみましょう。

8 )ベストプラクティスアナライザを実行して、ツールによって報告されたセキュリティ上の問題を修正するために適切な行動を取る

5732.clip_image016_1B36B90C

9)自動更新を無効にするか、 VMがパッチの観点から最新であることを確認しないでください。

10 ) Windows Azureの仮想マシンで使用するための市場で利用可能な最高の適切なアンチウイルスソフト/侵入検知ソフトウェアを評価してください。

翻訳
http://blogs.msdn.com/b/narahari/archive/2013/02/05/security-best-practices-for-windows-azure.aspx